Le Health Insurance Portability and Accountability Act de 1996, souvent appelé HIPAA, est une loi des États-Unis énonçant certaines exigences en matière d’admissibilité aux soins de santé, de partage d’informations et de sécurité des données de santé. Il y a deux sections principales de la loi, appelées titres. Le Titre I donne certaines garanties quant à la disponibilité de la couverture maladie et interdit la discrimination dans la délivrance des services d’assurance maladie. Au titre II, la loi énonce les définitions des «informations de santé protégées» et établit des règles de «simplification de l’administration» liées à la façon dont ces informations peuvent être partagées et stockées en ligne et dans des bases de données électroniques. Collectivement, les règles de simplification de l’administration sont connues sous le nom de règle de confidentialité HIPAA.
Bien que la législation HIPAA ait été promulguée en 1996, la règle de confidentialité HIPAA n’est devenue une loi exécutoire qu’en 2003. Les exigences de protection des données et de conformité requises par la règle de confidentialité HIPAA sont importantes et affectent un grand nombre d’entités. De nombreuses entreprises, hôpitaux et cabinets médicaux avaient besoin de temps pour mettre à jour leurs systèmes de dossiers médicaux et leurs plans de sécurité informatique afin de se conformer aux nombreuses stipulations de la règle.
À bien des égards, la règle de confidentialité HIPAA est née d’un désir d’encourager l’utilisation de programmes de santé électroniques. Les dossiers de santé numériques, les dossiers de pharmacie et les dossiers médicaux peuvent rendre les traitements beaucoup plus efficaces dans de nombreuses circonstances. Les programmes électroniques peuvent rassembler des informations de telle manière que les dangers tels que les effets secondaires potentiels des médicaments puissent être remarqués, et que tous les antécédents pertinents d’un patient puissent être facilement consultés par les médecins qui effectuent le traitement, peu importe où se trouvent les médecins. Cependant, les fichiers stockés au format électronique comportent un risque d’utilisation abusive bien plus grand que les fichiers sur papier. Les fichiers numériques peuvent être facilement manipulés ou partagés accidentellement, ce qui rend le risque d’atteinte à la vie privée – et parfois même de vol de données et d’identité – une possibilité très réelle.
La loi des États-Unis accorde aux individus un droit légal à la confidentialité des informations de santé individuelles. Ce droit s’étend aux diagnostics et aux traitements autant qu’aux antécédents médicaux et aux statistiques familiales. L’un des objectifs de la règle de confidentialité HIPAA est d’intégrer ces droits à la confidentialité dans le domaine en pleine croissance de la cybersanté, afin de garantir que la confidentialité est préservée, quelle que soit la sophistication de la technologie. La règle énonce certaines obligations pour les prestataires de soins de santé et d’autres entités qui accèdent aux informations médicales, et clarifie un éventail de droits pour les patients et les individus.
Le Bureau des droits civils du ministère de la Santé et des Services sociaux des États-Unis (HHS) applique la règle de confidentialité HIPAA. Ce bureau du HHS est chargé à la fois de répondre aux plaintes individuelles et de mener des enquêtes indépendantes. Parce que HIPAA est une loi fédérale, les violations perçues sont généralement référées aux avocats du département américain de la Justice pour une enquête plus approfondie et des poursuites.