S'inscrire
Contact Se connecter S'inscrire
État du système

Accord conforme à HIPAA pour la gestion des Informations de Santé Protégées (PHI)

Dernière mise à jour : 16 juillet 2025

Cette traduction est fournie à titre informatif seulement. La version anglaise de ce document constitue l'accord juridiquement contraignant.

Le présent ACCORD DE PARTENAIRE COMMERCIAL ("l'Accord") est conclu à la date d'acceptation par l'Entité Couverte ("Date d'Entrée en Vigueur") entre Bloo Inc., une société du Delaware ayant son siège social à [ADRESSE DE LA SOCIÉTÉ] ("Partenaire Commercial"), et l'entité ou organisation acceptant cet accord ("Entité Couverte"). Dans cet Accord, l'Entité Couverte et le Partenaire Commercial sont chacun une "Partie" et, collectivement, sont les "Parties".

Contexte

  1. L'Entité Couverte est soit une "entité couverte" soit un "partenaire commercial" d'une entité couverte telles que définies sous le Health Insurance Portability and Accountability Act de 1996, Public Law 104-191, tel qu'amendé par le HITECH Act et les réglementations connexes promulguées par HHS (collectivement, "HIPAA") et, en tant que telle, est tenue de se conformer aux dispositions de HIPAA concernant la confidentialité et la protection des Informations de Santé Protégées ;

  2. Les Parties ont conclu ou concluront un ou plusieurs accords sous lesquels le Partenaire Commercial fournit certains services spécifiés à l'Entité Couverte via la plateforme Blue (collectivement, "l'Accord") ;

  3. En fournissant des services conformément à l'Accord, le Partenaire Commercial aura accès aux Informations de Santé Protégées ;

  4. En fournissant les services conformément à l'Accord, le Partenaire Commercial deviendra un "partenaire commercial" de l'Entité Couverte tel que ce terme est défini sous HIPAA ;

  5. Les deux Parties s'engagent à se conformer à toutes les lois fédérales et étatiques régissant la confidentialité et la protection des informations de santé, incluant, mais sans s'y limiter, les Normes de Confidentialité des Informations de Santé Individuellement Identifiables trouvées au 45 CFR Partie 160 et Partie 164, Sous-parties A et E (collectivement, la "Règle de Confidentialité") ; et

  6. Les deux Parties ont l'intention de protéger la vie privée et d'assurer la sécurité des Informations de Santé Protégées divulguées au Partenaire Commercial conformément aux termes de cet Accord, à HIPAA et autres lois applicables.

Accord

PAR CONSÉQUENT, en considération des engagements et conditions mutuels contenus dans les présentes et la fourniture continue de PHI par l'Entité Couverte au Partenaire Commercial sous l'Accord en s'appuyant sur ce BAA, les Parties conviennent de ce qui suit :

1. Définitions

Aux fins de ce BAA, les Parties donnent la signification suivante à chacun des termes ci-dessous. Tout terme en majuscules utilisé dans ce BAA, mais non défini autrement, a la signification donnée à ce terme dans la Règle de Confidentialité ou la loi pertinente.

1.1 Termes HIPAA tels que définis dans 45 CFR § 160.103 :

  • "Informations de Santé Protégées" ou "PHI" signifie les informations de santé individuellement identifiables créées, reçues, maintenues ou transmises par le Partenaire Commercial au nom de l'Entité Couverte.
  • "Entité Couverte" a la signification donnée à ce terme dans 45 CFR §160.103.
  • "Partenaire Commercial" a la signification donnée à ce terme dans 45 CFR §160.103.
  • "Violation" signifie l'acquisition, l'accès, l'utilisation ou la divulgation de PHI d'une manière non permise sous la Règle de Confidentialité qui compromet la sécurité ou la confidentialité du PHI, tel que défini dans 45 CFR §164.402.
  • "Ensemble de Dossiers Désignés" a la signification donnée à ce terme sous la Règle de Confidentialité, incluant 45 CFR §164.501.

1.2 Définitions Additionnelles :

  • "Services Blue" signifie les services de gestion de projet et de stockage de données fournis via https://www.blue.cc
  • "PHI Électronique" ou "ePHI" signifie tout PHI maintenu dans ou transmis par des médias électroniques tel que défini dans 45 CFR §160.103.
  • "HHS" signifie le Département américain de la Santé et des Services Humains.
  • "HITECH Act" signifie le Health Information Technology for Economic and Clinical Health Act, promulgué dans le cadre de l'American Recovery and Reinvestment Act de 2009, Public Law 111-005.
  • "Individu" a la même signification donnée à ce terme dans 45 CFR §§164.501 et 160.130 et inclut une personne qui se qualifie comme représentant personnel conformément à 45 CFR §164.502(g).
  • "Incident de Sécurité" signifie la tentative ou le succès d'accès non autorisé, d'utilisation, de divulgation, de modification ou de destruction d'informations ou d'interférence avec les opérations système dans un système d'information.
  • "Règle de Sécurité" signifie les Normes de Sécurité pour la Protection des Informations de Santé Électroniques fournies dans 45 CFR Partie 160 & Partie 164, Sous-parties A et C.
  • "Informations de Santé Protégées Non Sécurisées" ou "PHI Non Sécurisé" signifie tout PHI qui n'est pas rendu inutilisable, illisible ou indéchiffrable aux individus non autorisés par l'utilisation d'une technologie ou méthodologie spécifiée par le Secrétaire HHS.

2. Obligations du Partenaire Commercial

2.1 Utilisations Permises :
Le Partenaire Commercial peut utiliser ou divulguer le PHI seulement comme suit :

  • Traiter le PHI uniquement pour : (a) Stockage de données patients (b) Analyses pour traitement/opérations (c) Autres services spécifiés dans les Conditions de Service
  • Tel que nécessaire pour fournir les services décrits dans l'Accord à l'Entité Couverte
  • Pour la gestion et l'administration appropriées des affaires du Partenaire Commercial
  • Pour exécuter les responsabilités légales du Partenaire Commercial
  • Tel que requis par la loi

2.2 Utilisations et Divulgations Interdites :
Le Partenaire Commercial n'utilisera pas ou ne divulguera pas le PHI d'une manière autre que celle prévue dans ce BAA, telle que permise sous la Règle de Confidentialité, ou telle que requise par la loi. Le Partenaire Commercial utilisera ou divulguera le PHI, dans la mesure du possible, comme un ensemble de données limité ou limité au montant minimum nécessaire de PHI pour exécuter le but prévu de l'utilisation ou de la divulgation, conformément à la Section 13405(b) du HITECH Act.

2.3 Sauvegardes :
Le Partenaire Commercial mettra en œuvre des sauvegardes administratives, physiques et techniques qui protègent raisonnablement et de manière appropriée la confidentialité, l'intégrité et la disponibilité du PHI, incluant :

  • Chiffrement AES-256 au repos et en transit
  • Contrôles d'accès basés sur les rôles (RBAC) avec permissions par projet
  • Contrôles d'audit suivant l'accès/modification PHI
  • Authentification sécurisée utilisant des liens magiques via email (sans mot de passe)
  • Documentation des procédures d'accès d'urgence
  • Telles autres sauvegardes nécessaires pour prévenir l'utilisation ou la divulgation de PHI autre que celle permise par ce BAA

3. Sous-traitants

3.1 Sous-traitants Autorisés :
Le Partenaire Commercial peut utiliser les sous-traitants suivants en relation avec les services fournis à l'Entité Couverte :

  • Cloudflare (Chiffrement de transit)
  • Amazon AWS (Chiffrement de stockage)

3.2 Exigences :

  • Le Partenaire Commercial s'assurera que tous ses agents ou sous-traitants qui ont accès au PHI, ou auxquels le Partenaire Commercial fournit du PHI, acceptent par écrit les restrictions et conditions concernant les utilisations et divulgations de PHI contenues dans ce BAA
  • Le Partenaire Commercial maintient des BAA avec tous les sous-traitants manipulant le PHI
  • Le Partenaire Commercial fournira un préavis de 30 jours pour les nouveaux sous-traitants via notification email
  • Le Partenaire Commercial s'assurera que tous les sous-contrats et accords fournissent le même niveau de confidentialité et de sécurité que ce BAA

4. Exigences de Rapport

4.1 Notification de Violation :

  • Le Partenaire Commercial rapportera à l'Entité Couverte par écrit toute utilisation ou divulgation de PHI non prévue par ce BAA dont il prend connaissance dans les cinq jours ouvrables
  • Le Partenaire Commercial rapportera les violations de PHI non sécurisé dans les 60 jours calendaires de la découverte
  • Le Partenaire Commercial fournira un avis préliminaire immédiat si plus de 500 individus sont affectés
  • Les rapports identifieront les individus affectés, décriront la nature de la violation, souligneront les mesures d'atténuation prises, et fourniront les procédures de contact pour les parties affectées

4.2 Incidents de Sécurité :
Le Partenaire Commercial accepte de rapporter à l'Entité Couverte tout Incident de Sécurité affectant le PHI Électronique de l'Entité Couverte dont il prend connaissance dans les cinq jours ouvrables.

5. Gestion des données

5.1 Minimum Nécessaire :

  • Le Partenaire Commercial mettra en œuvre des politiques pour limiter l'accès PHI au strict nécessaire pour la tâche
  • Le Partenaire Commercial effectuera des révisions d'accès trimestrielles par son équipe de sécurité

5.2 Droits Individuels :

  • Sur demande, le Partenaire Commercial fournira à l'Entité Couverte des copies du PHI maintenu par le Partenaire Commercial dans un Ensemble de Dossiers Désignés pour permettre à l'Entité Couverte de répondre à une demande d'accès d'un Individu sous 45 CFR §164.524
  • Sur demande et instruction de l'Entité Couverte, le Partenaire Commercial modifiera le PHI dans un Ensemble de Dossiers Désignés tel que dirigé par l'Entité Couverte conformément à 45 CFR §164.526
  • Le Partenaire Commercial documentera les divulgations de PHI tel que requis pour que l'Entité Couverte réponde à une demande de comptabilisation des divulgations sous 45 CFR §164.528

5.3 Disposition :

  • Le Partenaire Commercial mettra en œuvre la suppression sécurisée utilisant les normes NIST 800-88
  • Les certificats de destruction PHI seront rendus disponibles sur demande

6. Durée et Résiliation

6.1 Durée :
Ce BAA entrera en vigueur à la Date d'Entrée en Vigueur, et continuera en vigueur jusqu'à ce que toutes les obligations des Parties aient été remplies sous l'Accord et sous ce BAA.

6.2 Résiliation pour Cause :

  • L'Entité Couverte peut résilier immédiatement ce BAA et l'Accord si l'Entité Couverte détermine que le Partenaire Commercial a violé un terme matériel de ce BAA et que le Partenaire Commercial a échoué à corriger cette violation matérielle dans les 30 jours après avis écrit
  • Le Partenaire Commercial peut résilier ce BAA et l'Accord s'il détermine que l'Entité Couverte a violé un terme matériel de ce BAA et a échoué à corriger dans les 30 jours après avis

6.3 Obligations lors de la Résiliation :

  • Lors de la résiliation de l'Accord ou de ce BAA pour quelque raison que ce soit, tout PHI maintenu par le Partenaire Commercial sera retourné à l'Entité Couverte ou détruit
  • Le Partenaire Commercial ne conservera aucune copie de PHI à moins que le retour ou la destruction ne soit infaisable
  • Les obligations liées au PHI conservé en raison de l'infaisabilité survivront à la résiliation
  • La certification de destruction complète sera fournie dans les 180 jours de la résiliation lorsque faisable

6.4 Survie :
Les obligations du Partenaire Commercial sous cette Section survivront à la résiliation de ce BAA.

7. Dispositions Générales

7.1 Droits d'Audit :

  • L'Entité Couverte a le droit de demander des audits HIPAA annuels par des tiers
  • Le Partenaire Commercial rendra disponibles ses pratiques internes, livres, accords, dossiers, et politiques et procédures relatives à l'utilisation et à la divulgation de PHI sur demande au HHS aux fins de déterminer la conformité
  • Le Partenaire Commercial coopérera avec les exigences d'audit HHS

7.2 Conflit :

  • Les exigences HIPAA prévalent sur les termes conflictuels dans ce BAA ou l'Accord
  • En cas de conflit entre les termes de ce BAA et les termes de l'Accord, les termes de ce BAA prévaudront

7.3 Amendements :

  • Ce BAA ne peut être modifié, ni aucune disposition renoncée ou amendée, sauf par écrit dûment signé par les représentants autorisés des Parties
  • Des amendements peuvent être requis pour les changements dans les règles ou réglementations HIPAA

7.4 Conformité HITECH Act :
Les Parties reconnaissent que le HITECH Act inclut des changements significatifs aux exigences HIPAA. Chaque Partie accepte de se conformer aux dispositions applicables du HITECH Act et toute réglementation HHS émise concernant le HITECH Act.

7.5 Propriété des Données :
La gestion des données du Partenaire Commercial ne confère pas de droits de propriété des données au Partenaire Commercial concernant toute donnée partagée avec lui sous l'Accord, incluant toutes formes de PHI.

7.6 Aucun Bénéficiaire Tiers :
Sauf tel qu'expressément déclaré dans ce BAA ou tel que prévu par la loi, ce BAA ne créera aucun droit en faveur d'un tiers.

7.7 Avis :
Tous les avis, demandes et exigences ou autres communications à donner sous ce BAA à une Partie seront faits via courrier de première classe, recommandé ou certifié ou courrier express, ou courrier électronique à l'adresse de la Partie fournie lors de l'enregistrement du compte ou subséquemment mise à jour par écrit.

EN FOI DE QUOI, les Parties reconnaissent leur accord aux termes ci-dessus par l'acceptation de l'Entité Couverte de ces termes lors de la création du compte ou par l'utilisation continue des Services Blue après notification de ces termes.

© Blue | Conçu avec à travers le

Assistant IA

Les réponses sont générées par l'IA et peuvent contenir des erreurs.

Comment puis-je vous aider ?

Posez-moi toutes vos questions sur Blue ou cette documentation.

Entrez pour envoyer • Maj+Entrée pour une nouvelle ligne • ⌘I pour ouvrir