Un cabinet médical a envoyé des rappels de rendez-vous via son système d'email habituel — sans chiffrement, sans protections particulières. Les emails incluaient les noms des patients, les types de rendez-vous et les noms des praticiens. Lorsqu’un patient a déposé une plainte auprès de l’Office for Civil Rights, l’enquête a révélé des années de pratiques email non conformes. Le règlement qui s’en est suivi a coûté des centaines de milliers de dollars, en plus des dépenses liées à la refonte complète de leur système de communication.
L’email dans le secteur de la santé est soumis aux exigences strictes de HIPAA pour protéger les informations de santé des patients. Ces exigences affectent ce que vous pouvez envoyer, comment vous l’envoyez et par qui vous l’envoyez. Comprendre les exigences de HIPAA pour l’email est essentiel pour toute organisation de santé ou entreprise de technologie de santé.
Ce que HIPAA exige
La Privacy Rule et la Security Rule de HIPAA régissent ensemble les emails contenant des informations de santé protégées (PHI).
La Privacy Rule limite la manière dont la PHI peut être utilisée et divulguée. Un email contenant de la PHI ne peut être envoyé que pour des finalités autorisées — traitement, paiement, opérations de soins, ou avec l’autorisation du patient.
La Security Rule exige des mesures administratives, physiques et techniques pour la PHI électronique (ePHI). Pour l’email, cela signifie chiffrement, contrôles d’accès, pistes d’audit et contrôles d’intégrité.
La norme du Minimum Necessary exige de limiter la PHI dans les communications à ce qui est nécessaire au besoin. N’incluez pas plus d’informations patient que nécessaire dans un email.
Les Business Associate Agreements (BAAs) sont requis avec tout fournisseur qui traite de la PHI pour votre compte, y compris les fournisseurs de services email. Sans BAA, vous ne pouvez pas utiliser ce fournisseur pour des emails contenant de la PHI.
Ce qui constitue de la PHI dans l’email
Comprendre ce qui constitue de la PHI permet de savoir quand les exigences HIPAA s’appliquent.
La PHI inclut toute information de santé personnellement identifiable. Cela englobe des éléments évidents comme les diagnostics, les médicaments et les résultats d’examens, mais aussi des éléments moins évidents comme les informations de rendez-vous, les noms des praticiens, et même le fait qu’une personne soit un patient.
La combinaison compte. Le nom d’un patient seul n’est pas de la PHI. Son diagnostic seul n’est pas de la PHI. Mais son nom combiné à son diagnostic est de la PHI. Un email qui relie un individu à des informations de santé déclenche les exigences HIPAA.
Les informations désidentifiées ne sont pas de la PHI. Si vous retirez les 18 identifiants HIPAA (nom, adresse, dates, etc.), les informations restantes ne sont pas soumises à HIPAA. Mais une désidentification correcte est complexe et nécessite généralement l’avis d’experts.
Dans la pratique, supposez que tout email concernant la santé d’un patient spécifique constitue de la PHI et traitez-le en conséquence.
Exigences de chiffrement
HIPAA exige le chiffrement de l’ePHI en transit et au repos, avec quelques nuances.
Le chiffrement est une exigence « addressable », ce qui signifie que vous devez l’implémenter ou documenter pourquoi une alternative offre une protection équivalente. En pratique, le chiffrement est attendu pour tout email contenant de la PHI.
Le chiffrement TLS pour l’email en transit est le minimum. Assurez-vous que votre système d’email utilise TLS pour toutes les connexions. Mais TLS seul peut ne pas suffire — il protège les données en transit, pas au repos.
Le chiffrement de bout en bout offre une protection plus forte. L’email est chiffré sur votre système et uniquement déchiffré par le destinataire. Cela protège contre l’interception et l’accès non autorisé sur les serveurs intermédiaires.
Les portails de messagerie sécurisée sont une alternative courante. Au lieu d’envoyer de la PHI par email, envoyez une notification indiquant qu’un message sécurisé est disponible, avec un lien vers un portail où le patient se connecte pour le consulter.
Le consentement du patient à recevoir des emails non chiffrés est possible. Les patients peuvent choisir de recevoir des emails non chiffrés après avoir été informés des risques. Documentez ce consentement avec soin.
Exigences pour les fournisseurs de services email
Votre fournisseur d’email doit être conforme à HIPAA si vous lui faites transiter de la PHI.
Un Business Associate Agreement est obligatoire. Le BAA définit les obligations du fournisseur pour la protection de la PHI. Les principaux services d’email comme Google Workspace et Microsoft 365 proposent des BAAs pour leurs offres éligibles au secteur de la santé.
Toutes les offres ne sont pas éligibles HIPAA. Le Gmail grand public n’est pas conforme HIPAA, même avec un BAA. Vous avez besoin de Google Workspace avec des configurations spécifiques. De même chez Microsoft — Outlook grand public diffère des offres professionnelles Microsoft 365.
Les services d’email transactionnel varient quant au support HIPAA. Certains (comme Paubox ou certaines configurations chez des fournisseurs majeurs) prennent en charge l’envoi conforme HIPAA. D’autres ne prennent explicitement pas en charge la PHI. Vérifiez avant d’utiliser un service pour des emails de santé.
La configuration compte au-delà du BAA. Même avec un service éligible HIPAA, vous devez le configurer correctement — activer le chiffrement, définir des contrôles d’accès appropriés, configurer la journalisation d’audit.
Scénarios pratiques d’email
Différents scénarios d’email en santé ont des exigences différentes.
Les rappels de rendez-vous peuvent être envoyés avec un minimum d’informations. "Vous avez un rendez-vous mardi à 14 h" ne révèle pas d’informations de santé. Ajouter "avec le Dr. Smith en oncologie" commence à révéler des informations de santé.
Les résultats d’examens et les informations cliniques sont clairement de la PHI. Ceux-ci doivent passer par des canaux sécurisés — portails patients, email chiffré, ou messagerie sécurisée — pas par l’email standard.
Les communications de facturation peuvent contenir de la PHI si elles révèlent les actes réalisés. Une facture pour "chirurgie cardiaque" révèle des informations de santé. Réfléchissez aux détails de facturation qui doivent réellement figurer dans l’email.
La communication entre professionnels au sujet des patients constitue de la PHI. Les consultations cliniques, les orientations et les emails de coordination des soins nécessitent une protection appropriée.
Le marketing et les communications générales qui ne font pas référence à des informations de santé d’un patient spécifique peuvent ne pas nécessiter les protections HIPAA, mais d’autres réglementations (CAN-SPAM, lois des États) s’appliquent toujours.
Préférences de communication des patients
HIPAA permet aux patients de demander des méthodes de communication spécifiques.
Les patients peuvent demander que les communications soient envoyées à des adresses spécifiques ou via des canaux spécifiques. Vous devez satisfaire les demandes raisonnables.
Les patients peuvent consentir à des communications moins sécurisées. Si un patient préfère l’email non chiffré malgré les risques, documentez son consentement éclairé. Mais vous ne pouvez pas exiger que les patients acceptent une communication non sécurisée.
La vérification de l’identité du patient avant d’envoyer de la PHI est importante. Assurez-vous d’envoyer à la bonne personne, en particulier pour les informations sensibles.
Les préférences d’opt-out pour les communications non essentielles doivent être respectées. Les patients peuvent refuser les communications marketing tout en continuant à recevoir les communications cliniques nécessaires.
Audit et documentation
HIPAA exige de conserver des traces de vos pratiques d’email.
Les journaux d’audit doivent indiquer qui a envoyé quoi, à qui et quand. Pour les emails contenant de la PHI, vous avez besoin de registres qui permettent de vérifier la conformité et d’enquêter sur les violations.
Les politiques et procédures d’utilisation de l’email doivent être documentées. Qui peut envoyer de la PHI par email ? Quel chiffrement est requis ? Comment les préférences des patients sont-elles gérées ?
Les registres de formation démontrent que les membres du personnel comprennent les politiques email. Une formation régulière sur les exigences HIPAA pour l’email est attendue.
Les évaluations des risques doivent inclure les systèmes d’email. Identifiez les risques pour la PHI dans votre infrastructure email et documentez la manière dont vous y répondez.
La documentation des violations est requise si de la PHI est divulguée de manière inappropriée par email. Cela inclut ce qui s’est passé, qui a été affecté, et quelles remédiations ont été effectuées.
Erreurs courantes liées à l’email et à HIPAA
Plusieurs erreurs provoquent fréquemment des problèmes de conformité HIPAA.
Utiliser des services email grand public pour de la PHI. Gmail, Yahoo et Outlook grand public ne sont pas conformes HIPAA. Même si vous êtes prudent sur le contenu, utiliser ces services pour la communication avec des patients crée un risque de conformité.
Envoyer de la PHI aux mauvais destinataires arrive plus souvent que cela ne devrait. Les erreurs d’autocomplétion, les réponses à tous et les erreurs de transfert peuvent exposer de la PHI. Des contrôles techniques et la formation aident à prévenir cela.
Inclure de la PHI inutile enfreint la norme du minimum nécessaire. Si vous devez seulement confirmer un rendez-vous, n’incluez pas d’informations de diagnostic.
L’absence de BAAs avec les fournisseurs d’email est une lacune courante. Chaque fournisseur qui traite de la PHI a besoin d’un BAA — pas seulement votre fournisseur d’email principal mais aussi tout outil qui touche des emails contenant de la PHI.
Un chiffrement insuffisant laisse la PHI exposée. TLS pour le transit est bien, mais peut ne pas suffire. Évaluez si votre approche de chiffrement protège adéquatement la PHI.
Construire une infrastructure email conforme HIPAA
Créer des systèmes d’email conformes nécessite une conception réfléchie.
Choisissez des services éligibles HIPAA et obtenez des BAAs avant d’envoyer toute PHI. Vérifiez les exigences spécifiques de l’offre et de la configuration.
Implémentez un chiffrement adapté à votre évaluation des risques. Au minimum, TLS pour toutes les connexions. Envisagez le chiffrement de bout en bout ou des portails sécurisés pour les communications sensibles.
Configurez des contrôles d’accès pour que seuls les personnels autorisés puissent envoyer des emails contenant de la PHI. Limitez l’accès aux adresses email des patients et aux systèmes de communication.
Activez une journalisation d’audit complète. Vous avez besoin de traces de l’activité email pour vérifier la conformité et investiguer les incidents.
Formez tous les membres du personnel aux politiques email. Toute personne susceptible d’envoyer des emails contenant de la PHI doit comprendre les exigences.
Évaluez et mettez régulièrement à jour vos pratiques email. La conformité HIPAA n’est pas ponctuelle — elle exige une attention continue à mesure que les systèmes et les menaces évoluent.
Frequently asked questions
Puis-je utiliser Gmail pour des emails de santé ?
Gmail grand public, non. Google Workspace avec un BAA et une configuration adéquate peut être conforme HIPAA. La distinction est importante — vérifiez que vous avez la bonne offre et la bonne configuration.
Les rappels de rendez-vous nécessitent-ils un chiffrement ?
Cela dépend du contenu. Un rappel avec uniquement la date et l’heure peut ne pas être de la PHI. Un rappel qui révèle le type de rendez-vous ou la spécialité du praticien peut être de la PHI nécessitant une protection. Mieux vaut pécher par excès de prudence.
Et si un patient m’envoie de la PHI par email ?
Vous n’êtes pas responsable de la manière dont les patients choisissent de communiquer. Mais votre réponse doit utiliser des protections appropriées. Envisagez de répondre via un canal sécurisé plutôt que de poursuivre une conversation email non chiffrée.
Existe-t-il des services d’email transactionnel conformes HIPAA ?
Oui, plusieurs services offrent de l’email conforme HIPAA avec des BAAs. Paubox, certaines configurations Mailgun, et d’autres prennent en charge les cas d’usage santé. Vérifiez la disponibilité des BAAs et les exigences de configuration avant utilisation.