FRAMEWORK · HIPAA

HIPAA Security Rule.
Pour entités sanitaires US.

Health Insurance Portability and Accountability Act. S'applique aux hôpitaux, cliniques, assureurs médicaux américains et leurs business associates (incluant fournisseurs européens traitant des PHI de patients US). Itamite couvre les sauvegardes techniques du 45 CFR §164.312.

Voir tarifs Démo HIPAA

Qui est soumis à HIPAA ?

Covered entities : hôpitaux, cliniques, médecins individuels, assureurs médicaux, plans de santé, clearinghouses sanitaires. Business associates : tout fournisseur qui traite, stocke ou transmet PHI (Protected Health Information) électronique au nom d'une covered entity. Inclut : fournisseurs TIC, cabinets de conseil, hébergement, services cloud, traduction, transcription médicale, télémédecine, RCM (revenue cycle management).

Amendes : 100-50 000 USD par violation, max 1,5M USD/an par catégorie. Sanctions pénales : jusqu'à 10 ans de prison pour violations intentionnelles. Perte de contrats avec covered entities = faillite du business associate.

SAUVEGARDES TECHNIQUES — §164.312

Ce qu'Itamite couvre du Security Rule

§164.312(a) — Access Control

Identification unique de l'utilisateur (a)(2)(i), procédure d'urgence (a)(2)(ii), automatic logoff/screen lock (a)(2)(iii), chiffrement/déchiffrement des PHI at rest (a)(2)(iv) — Itamite vérifie BitLocker/FileVault sur les postes contenant des PHI.

§164.312(b) — Audit Controls

« Implement hardware, software, and/or procedural mechanisms that record and examine activity in information systems that contain or use ePHI. » → L'audit immuable hash-chain d'Itamite remplit cette exigence sur les endpoints. Journaux préservés avec intégrité démontrable.

§164.312(c) — Integrity

« Protect ePHI from improper alteration or destruction. » → Itamite détecte les changements non autorisés dans la configuration critique. Le hash SHA-256 de chaque heartbeat permet de vérifier l'intégrité des données rapportées.

§164.312(d) — Person/Entity Authentication

Vérification que la personne qui accède est bien celle qu'elle prétend être. Itamite supporte SSO/SAML, MFA obligatoire pour les administrateurs, intégration avec Active Directory et fournisseurs d'identité.

§164.312(e) — Transmission Security

Chiffrement en transit des ePHI. Itamite utilise TLS 1.3 pour toutes les communications agent-serveur et client-serveur. Mutual TLS optionnel pour les connexions agent.

Sessions à distance et partage d'écran

Chiffrement E2E avec Diffie-Hellman éphémère (pas même Itrion ne voit le contenu). Enregistrement optionnel avec SHA-256. Audit immuable de chaque intervention. Critique lorsque les techniciens accèdent à des postes contenant des PHI.

QUESTIONS FRÉQUENTES

Questions sur HIPAA

Itrion signe-t-elle un BAA (Business Associate Agreement) ?
Oui, pour les clients Enterprise avec des cas d'usage HIPAA. Le BAA standard Itrion couvre les obligations du Security Rule. Pour les clients avec des exigences spécifiques : BAA négociable. Délai de revue typique : 1-2 semaines.
Itamite est-il HIPAA-eligible ?
La plateforme respecte techniquement les sauvegardes du Security Rule. Pour un usage formel avec des PHI, vous devez signer un BAA avec Itrion + activer la configuration HIPAA-ready sur votre tenant (BYOK obligatoire, rétention d'audit 6 ans, datacenter US si requis par contrat).
Ai-je besoin d'un hébergement aux États-Unis ?
HIPAA n'oblige pas l'hébergement physique aux US, mais certaines covered entities l'exigent contractuellement. Itamite propose un hébergement US (AWS Virginia ou Azure US East) pour les cas où c'est requis. Coût additionnel : 25 % au-dessus du tarif standard.
Et si mon entité a des patients US et UE ?
Double conformité HIPAA + RGPD. Itamite couvre les deux : BAA HIPAA + DPA RGPD + CCT + datacenter dans la région appropriée. Activable par tenant ; pas besoin de tenants séparés.

Secteur santé avec PHI américain

Démo Enterprise avec BAA préparé et configuration HIPAA-ready.

Voir tarifs Demander un BAA