Confidentialité et HIPAA (Health Insurance Portability and Accountability Act)

ParThaddeus Mason Pope, JD, PhD, Mitchell Hamline School of Law
Vérifié/Révisé oct. 2023
Voir l’éducation des patients

Traditionnellement, la prise en charge éthique et médicale inclut toujours le respect de la confidentialité de l'information médicale du patient. Cependant, aux États-Unis, la législation concernant les organismes sociaux (HIPAA [Health Insurance Portability and Accountability Act], voir Pub. L 104-191 (1996)) ont codifié la responsabilité des professionnels de santé, des programmes de soins, des centres qui assurent la communication des informations entre les différentes entités et leurs associés qui transmettent électroniquement des informations de santé et corrélées (p. ex., dossiers médicaux, facturation et vérification de l'admissibilité). Collectivement, ce sont des entités couvertes par la loi HIPAA (Health Insurance Portability and Accountability Act). (Voir aussi U.S. Department of Health and Human Services: HIPAA for Professionals.)

Les principales dispositions de la loi HIPAA sont trois règles (actuellement contenues dans l'omnibus rule), toutes trois visant à protéger la confidentialité et la sécurité des informations de santé identifiables d'un individu (appelées protected health information, PHI).

  • Règle de confidentialité: établit des normes pour la protection des PHI et accorde aux patients des droits importants à l'égard de leurs renseignements médicaux.

  • Règle de sécurité: établit des garanties que les entités couvertes et leurs associés doivent mettre en œuvre pour protéger la confidentialité, l'intégrité et la sécurité des informations de santé identifiables et protégées d'un individu (appelées protected health information, PHI) électroniques.

  • Breach Notification Rule (règle de notification des violations): elle exige que les entités couvertes avisent les individus concernés, le gouvernement fédéral et, dans certains cas, les médias d'une violation des informations de santé identifiables et protégées non sécurisées d'un individu (appelées protected health information, PHI)

L'Office for Civil Rights in the U.S. Department of Health and Human Services applique ces trois règles et fournit des directives sur le respect des règles.

Les principaux aspects de la règle de confidentialité sont exposés ci-après.

Accès aux dossiers médicaux

Typiquement, les patients ou leurs représentants autorisés doivent pouvoir accéder à et obtenir des exemplaires de leur dossier médical et demander des corrections en cas d'identification d'erreurs. Aux fins de la règle de confidentialité, un "représentant personnel" autorisé du patient est un tuteur ayant autorité sur les décisions en matière de santé (en anglais guardian ou conservator), un mandataire nommé par une procuration pour soins de santé dans des directives avancées ou un membre de la famille ou un ami autorisé à exercer les fonctions de procureur pour les décisions de santé en vertu des lois de l'État. Les patients ont également le droit de donner à une autre personne accès à tout ou partie de leur dossier médical par une autorisation écrite et signée.

Information sur les problèmes de respect de la vie privée

Les prestataires de soins de santé doivent fournir un avis sur leurs utilisations possibles des informations de santé protégées (PHI) et sur les droits des patients en vertu des réglementations de HIPAA.

Limites d'utilisation des informations de santé identifiables et protégées d'un individu (appelées protected health information, PHI)

La réglementation HIPAA (Health Insurance Portability and Accountability Act) limite le champ d'utilisation des données médicales de santé identifiables et protégées d'un individu (appelées protected health information, PHI). La loi n'empêche pas les médecins, les infirmières et les autres professionnels de santé de partager les informations nécessaires au traitement de leurs patients. La divulgation par des échanges d'informations sur la santé et à des agences de santé publique à des fins de santé publique lors d'événements tels que la pandémie de COVID-19 sont également des divulgations autorisées selon les lignes directrices de l'office des droits civiques de l'U.S. Department of Health and Human Services. Cependant, les praticiens ne peuvent utiliser ou partager que la quantité minimale d'informations protégées nécessaires à une fin particulière. Dans la plupart situations, les informations de santé identifiables et protégées d'un individu (appelées protected health information, PHI) peuvent ne pas pouvoir être utilisées pour des objectifs non liés aux soins médicaux. Un patient doit, p. ex., signer une autorisation spécifique avant qu'un professionnel de santé puisse délivrer une information médicale à une compagnie d'assurance-vie, une banque, une entreprise de marketing ou à toute autre entreprise.

Marketing

Le but du marketing est d'encourager à acheter un produit ou un service particulier. La réglementation HIPAA exige l'autorisation spécifique du patient soit obtenue avant de divulguer des informations de santé identifiables et protégées d'un individu (appelées protected health information, PHI) à des fins de marketing. Les professionnels de santé doivent signaler tous les paiements qui seront reçus à la suite de la commercialisation. Cependant, les professionnels de santé peuvent discuter librement avec les patients des options thérapeutiques ainsi que d'autres sujets liés à la santé, y compris des programmes de prise en charge thérapeutique.

Communications confidentielles

Les médecins doivent prendre des précautions pour s'assurer que les informations échangées avec les patients restent confidentielles et en accord avec les préférences du patient. Par exemple, les discussions entre médecin et patient doivent généralement se dérouler en privé, ou bien un patient peut préférer que le médecin l'appelle à son bureau plutôt qu'au domicile. Cependant, à moins que le patient s'y oppose, les médecins peuvent partager des informations de santé identifiables et protégées d'un individu (appelées protected health information, PHI) avec un membre de la famille en ligne directe ou un ami proche si les informations se rapportent à la participation de cette personne aux soins du patient ou au paiement des soins et si les informations sont limitées à ce qui est nécessaire à l'implication de cette personne. On attend des médecins qu'ils prennent des décisions raisonnées et professionnelles.

Le représentant personnel autorisé du patient doit être traité de la même manière que l'aurait été le patient en ce qui concerne l'accès à l'information et la participation à la prise de décision. Ainsi, la personne de confiance a le même droit d'accès aux informations et peut exercer les mêmes droits en ce qui concerne la confidentialité des informations. Néanmoins, les professionnels de santé peuvent limiter l'information ou son accès s'il existe des soupçons sérieux vis-à-vis du représentant quant à l'existence de violence domestique, de sévices ou de négligence.

Certaines informations ne peuvent pas rester confidentielles. Les professionnels de santé sont parfois requis par la loi locale ou de l'état pour divulguer certaines informations, dans les cas où les circonstances peuvent entraîner un danger pour d'autres personnes. La réglementation HIPAA permet la divulgation des informations de santé identifiables et protégées d'un individu (appelées protected health information, PHI) aux autorités de santé publique légalement autorisées à recevoir ces informations dans le but de prévenir ou de contrôler une maladie, une blessure ou un handicap (1). (Voir aussi U.S. Department of Health and Human Services: HIPAA for Professionals: Disclosures for Public Health Activities.) Par exemple, certaines maladies infectieuses (p. ex., COVID-19, VIH, syphilis, tuberculose) doivent être rapportées aux autorités sanitaires. Les signes d'abus ou de négligence envers les enfants et, dans de nombreux États, envers les adultes ou les aînés, doivent être signalés aux services de protection. Dans certains États, les pathologies qui pourraient gravement compromettre l'aptitude d'un patient à conduire, telles que démence ou convulsions récentes, doivent être signalées aux autorités (Department of Motor Vehicles).

Plaintes

Les patients peuvent déposer des plaintes en cas de non-respect du secret médical les concernant. Les plaintes peuvent être faites directement auprès du professionnel de santé, de l'Office for Civil Rights auprès de l'U.S. Department of Health and Human Services ou du responsable du respect de la vie privée désigné par l'établissement en conformité avec la réglementation. Bien que les patients n'aient pas le droit d'intenter une poursuite privée en vertu de la réglementation, ils peuvent intenter des poursuites en vertu d'autres lois protégeant la vie privée et la confidentialité. L'Office for Civil Rights impose régulièrement des sanctions civiles et pénales en cas de divulgation inappropriée d'informations de santé personnelles. La solution la plus fiable pour les praticiens de soins de santé est d'être bien informés sur la réglementation HIPAA, d'agir en toute bonne foi et de faire des efforts raisonnables pour se conformer aux directives.

Référence

Plus d'information

  1. U.S. Department of Health and Human Services: HIPAA for Professionals: Provides detailed information about HIPAA and its rules and administration, including frequently asked questions about HIPAA.

quizzes_lightbulb_red
TESTEZ VOS CONNAISSANCESTake a Quiz!
Téléchargez l’application Manuel MSD. ANDROID iOS
Téléchargez l’application Manuel MSD. ANDROID iOS
Téléchargez l’application Manuel MSD. ANDROID iOS