Produits et services Adobe et loi HIPAA

[Dernière mise à jour : janvier 2025]

Adobe n’a de cesse d’innover et de s’adapter pour répondre aux besoins de sa clientèle en matière de confidentialité et de sécurité dans le secteur de la santé.

Loi HIPAA (Health Insurance Portability and Accountability Act)

La subdivision dédiée à la simplification administrative de la loi HIPAA (Health Insurance Portability and Accountability Act) de 1996 confère au ministère américain de la Santé et des Services sociaux le pouvoir de promulguer des normes régissant la confidentialité et la sécurité de certaines informations de santé à caractère personnel. La loi HIPAA a été sensiblement modifiée par la loi HITECH (Health Information Technology Act for Economic and Clinical Health) de 2009, qui a introduit des exigences de notification en cas de violation et élargi le champ d’application de la loi HIPAA. Les règles de cette dernière en matière de confidentialité, de sécurité et de notification des violations établissent des mesures de protection importantes vis-à-vis des informations de santé à caractère personnel, appelées informations de santé protégées (Protected Health Information ou PHI), lorsqu’elles sont créées, reçues, conservées ou transmises par une entité couverte ou un partenaire commercial soumis à la loi HIPAA. Une entité couverte désigne un prestataire de santé, un régime de santé ou un organisme de traitement des données de santé. Un partenaire commercial constitue une entité ou une personne, autre qu’un membre du personnel d’une entité couverte, exerçant des fonctions ou des activités pour son compte, ou lui fournit certains services impliquant la création, la réception, la conservation ou la transmission d’informations de santé protégées.

Conformément aux règles de la loi HIPAA en matière de confidentialité et de sécurité, une entité couverte doit obtenir de la part d’un partenaire commercial des garanties écrites, sous la forme d’un accord d’association commerciale (Business Associate Agreement ou BAA) exigeant que le partenaire en question garantisse la confidentialité et la sécurité des informations de santé protégées de l’entité couverte.

Transmission d’informations de santé protégées à Adobe

Adobe propose à sa clientèle exerçant dans le secteur de la santé des services conformes à la loi HIPAA. Dédiés à la gestion des informations de santé protégées, ces services offrent des fonctionnalités avancées permettant à la clientèle, qu’il s’agisse d’entités couvertes ou de partenaires commerciaux, ainsi qu’à Adobe, de respecter leurs obligations respectives en vertu de la loi HIPAA. Des frais de licence ou d’abonnement peuvent s’appliquer dans le cadre de ces fonctionnalités avancées.

La clientèle qui utilise des services conformes à la loi HIPAA pour traiter des informations de santé protégées doit avoir conclu avec Adobe un BAA applicable auxdits services. Les informations de santé protégées ne peuvent être fournies qu’au moyen d’un service conforme à la loi HIPAA, en vertu du contrat de licence et du BAA conclu entre Adobe et l’entreprise cliente. La clientèle n’est pas autorisée à créer, à recevoir, à conserver ou à transmettre des informations de santé protégées via des produits et services Adobe non conformes à la loi HIPAA, ces derniers ne permettant pas de garantir la conformité HIPAA d’Adobe ni de l’entreprise cliente.

Liste actuelle des services conformes à la loi HIPAA :

  • Adobe Acrobat Sign
  • Adobe Acrobat Sign pour le gouvernement
  • Adobe Experience Manager Cloud Service
  • Adobe Workfront
  • Adobe Customer Journey Analytics 1
  • Adobe Journey Optimizer 2
  • Adobe Marketo (uniquement Engage et Sales Connect)
  • Adobe Experience Platform
  • Adobe Real-time CDP 3
  • Adobe Experience Manager Managed Services
  • Adobe Connect Managed Services
  • Adobe Commerce Cloud
  • Adobe Commerce Managed Services

Pour en savoir plus sur l’utilisation des solutions Adobe Experience Cloud dans les scénarios d’entreprise liés à la santé, consultez notre article technique Adobe Experience Cloud for Healthcare Solutions Overview, disponible dans le Centre de données Adobe.

Responsabilités partagées dans le cadre de la loi HIPAA

Les services Adobe conformes à la loi HIPAA reposent sur un modèle de sécurité à responsabilités partagées. Ce modèle exige que la clientèle et Adobe assument chacun des responsabilités distinctes pour garantir la sécurité des informations de santé protégées. Dans ce cadre, Adobe compte sur la clientèle pour mettre en œuvre certaines configurations sous son contrôle, le but étant pour nous de respecter les exigences relatives aux règles de sécurité HIPAA. Nous fournissons également à la clientèle des recommandations de configuration pour l’aider à satisfaire ses propres obligations de conformité lors de l’utilisation de services conformes à la loi HIPAA.

Modèle de sécurité à responsabilités partagées

Voici comment Adobe se conforme à certaines obligations clés des règles de sécurité HIPAA applicables aux informations de santé protégées, et fournit à la clientèle des recommandations pour l’aider à respecter les exigences de la loi HIPAA.

1À l’exclusion de CJA Labs, qui n’est pas un service CJA conforme à la loi HIPAA. Pour plus d’informations, cliquez ici.
2À l’exclusion de l’outil Composition d’audiences fédérées, qui n’est pas un service AJO conforme à la loi HIPAA.
3À l’exclusion des outils Real-Time CDP Collaboration, Transfert d’événement et Composition d’audiences fédérées, qui ne sont pas des services RTCDP conformes à la loi HIPAA.
4À l’exclusion d’Adobe Commerce Cloud et d’Adobe Commerce Managed Services, qui sont soumis au modèle de sécurité et de responsabilité partagée propre à Adobe Commerce.

Normes
Mesures de protection techniques
Contrôle d’accès
Adobe a mis en place des règles, des procédures et des contrôles techniques pour attribuer des identifiants uniques à chaque utilisateur ou à chaque utilisatrice Adobe (afin notamment de prévenir la réutilisation des identifiants), pour limiter l’accès aux informations de santé protégées aux seules personnes habilitées, pour mettre fin à l’accès aux informations de santé protégées lorsque ledit accès n’est plus nécessaire, et pour permettre la communication de données médicales en cas d’urgence. Adobe fournit également à sa clientèle des outils pour contrôler l’accès aux informations de santé protégées.
Chiffrement et déchiffrement
Adobe assure le chiffrement des informations de santé protégées transmises sur les réseaux publics et au repos. Si une entreprise utilise des services conformes à la loi HIPAA pour transmettre ou stocker des informations de santé protégées sans chiffrement, elle doit motiver sa décision par écrit.
Contrôles d’audit
Adobe a mis en place des contrôles pour accéder à l’activité des utilisateurs et des utilisatrices de Real-Time Customer Data Platform et l’enregistrer.
Déconnexion automatique
Les systèmes Adobe sont configurés pour mettre fin, après une période prédéfinie, aux sessions inactives du personnel autorisé lorsque celui-ci consulte ou communique des informations de santé protégées.
Contrôles d’intégrité
Adobe a mis en place des mesures de sécurité techniques pour prévenir toute modification ou destruction inadéquate d’informations de santé protégées. Pour en savoir plus, consultez le site www.adobe.com.
Normes
Mesures de protection administratives
Analyse et gestion des risques
Adobe a mis en place des mesures pour réduire les risques à un niveau raisonnable et approprié, notamment en effectuant sa propre analyse des risques et en mettant en œuvre un plan de gestion des risques concernant les informations de santé protégées traitées. Nous recommandons à notre clientèle d’effectuer ses propres analyses de risques en tenant compte de son utilisation des services conformes à la loi HIPAA. Utilisez les fonctionnalités de sécurité de ces services pour limiter les risques de sécurité à un niveau raisonnable et approprié.
Surveillance de l’activité des systèmes d’information
Adobe examine régulièrement les autorisations d’accès aux informations de santé protégées. Nous conseillons à notre clientèle de vérifier périodiquement l’accès de son personnel à ces informations via des services conformes à la loi HIPAA, au moyen des journaux d’audit de ces services.
Formation du personnel à la sécurité
Adobe a mis en place un programme pour former son personnel et le tenir informé des règles et des procédures de l’entreprise en matière de protection des informations de santé confidentielles. Ce programme prévoit des sanctions en cas de non-respect des règles et des procédures en question, ainsi que la révocation de l’accès des personnes concernées aux systèmes de stockage, de traitement ou de transmission d’informations de santé protégées. Nous recommandons à notre clientèle de former son propre personnel à l’utilisation des services conformes à la loi HIPAA afin de s’assurer que ces informations sensibles sont traitées de manière adéquate.
Plan de secours
Adobe a mis en œuvre un plan de secours, testé régulièrement, permettant de restaurer des informations de santé protégées en cas d’urgence, de catastrophe ou de panne. Nous conseillons à notre clientèle d’élaborer ses propres plans de secours, notamment afin de déterminer si les informations de ce type accessibles via des services conformes à la loi HIPAA doivent être mises à disposition en cas d’urgence.
Contrat d’association commerciale (BAA)
Le BAA définit les responsabilités d’Adobe vis-à-vis de sa clientèle et est accessible lors de la mise en œuvre des services conformes à la loi HIPAA. Adobe conclut également des BAA avec ses sous-traitants.
Normes
Mesures de protection physiques
Contrôle et accès aux installations
Adobe contrôle l’accès physique aux sites sur lesquels des informations de santé protégées sont reçues, gérées ou transmises. Des règles et des procédures ont été mises en place pour prévenir les accès non autorisés, les falsifications et les vols. Adobe recommande à sa clientèle de sécuriser l’accès physique aux locaux dans lesquels son personnel accède aux services conformes à la loi HIPAA.
Gestion des postes de travail et des appareils
Adobe a mis en place des règles et des normes applicables au personnel ayant besoin d’accéder aux informations de santé protégées. Ces règles portent notamment sur l’accès physique aux zones restreintes et aux postes de travail qui s’y trouvent. Elles prévoient également d’équiper les écrans de filtres de confidentialité. Adobe conseille à sa clientèle de renforcer la sécurité des postes de travail utilisés pour accéder aux services conformes à la loi HIPAA.
Gestion de l’inventaire du matériel et de l’infrastructure
Adobe maintient un inventaire exhaustif du matériel et de l’infrastructure utilisés pour manipuler les informations de santé protégées. Cet inventaire inclut les registres de maintenance et les déplacements de chaque élément.
Destruction
Adobe a mis en place des pratiques et des procédures pour effacer et purger de manière appropriée les informations de santé protégées, notamment en détruisant les équipements concernés avant leur transfert. Adobe recommande à sa clientèle d’identifier les appareils utilisés pour télécharger les informations de ce type via les services conformes à la loi HIPAA, et de veiller à ce qu’elles soient détruites de manière adéquate le moment venu.
Sauvegarde et restauration
Adobe a mis en place des mesures de sécurité techniques pour prévenir toute modification ou destruction inadéquate d’informations de santé protégées. Nous conseillons à notre clientèle de déterminer l’étendue des sauvegardes nécessaires, et d’être en mesure de restaurer les informations de ce type gérées via des services conformes à la loi HIPAA.

Informations complémentaires

Pour en savoir plus sur la configuration des services conformes à la loi HIPAA, consultez la documentation produit disponible sur Experience League.

Contrat d’association commerciale d’Adobe pour les services conformes à la loi HIPAA

Si vous souhaitez conclure un contrat d’association commerciale avec Adobe pour des services conformes à la loi HIPAA, contactez l’équipe commerciale ou votre Customer Success Manager.

Clause de non-responsabilité

Ces informations visent à décrire comment Adobe, en tant que partenaire commercial, se conforme aux règles de sécurité HIPAA. Elles ne constituent pas un avis juridique et ne doivent pas être considérées comme tel. Chaque client ou chaque cliente est responsable de son utilisation des services Adobe conformes à la loi HIPAA, et doit s’assurer que lesdits services répondent à ses besoins de conformité.