m

SurveyMonkey et la conformité avec la loi HIPAA

La loi HIPAA s'applique-t-elle à moi ? Si vous êtes une « entité couverte » (telle que définie par la loi HIPAA) et que vous utilisez SurveyMonkey pour collecter ou stocker des données de santé protégées (PHI) (généralement toute information concernant l'état de santé, des prestations de soins de santé ou le paiement de soins de santé pouvant être liée à un individu particulier, comme le nom et/ou les coordonnées d'un individu combinées à des informations sur les soins de santé reçus par cette personne), la loi HIPAA s'applique probablement à votre utilisation de SurveyMonkey.

Le Health Insurance Portability and Accountability Act de 1996 (HIPAA) est une loi des États-Unis qui régule la collecte et le traitement des « données de santé protégées » (PHI, Protected Health Information). Certaines organisations appelées « entités couvertes » et leurs partenaires commerciaux doivent se conformer à la loi HIPAA.

Pour SurveyMonkey, la « conformité à la loi HIPAA » signifie que nous proposons un service permettant aux entités couvertes de collecter et de gérer les données de santé protégées via des sondages, en conformité avec la loi HIPAA. SurveyMonkey s'assure que ce service fourni fonctionne en accord avec ces lois et avec le rôle de SurveyMonkey en tant que partenaire commercial d'un utilisateur d'entité couverte.

Pour activer les fonctionnalités HIPAA sur votre compte ou dans votre équipe, vous devez conclure un accord de partenariat avec SurveyMonkey. Conformément à nos Conditions d'utilisation, SurveyMonkey n'autorise la collecte de données de santé protégées par des entités réglementées que via un « compte HIPAA » disposant d'un accord de partenariat. SurveyMonkey n'exige toutefois pas la signature d'un accord de partenariat si vous n'êtes pas régi par la loi HIPAA en ce qui concerne les données de santé protégées que vous collectez dans vos sondages.

Fonctionnalités HIPAA

Accord de partenariat de SurveyMonkey

SurveyMonkey propose un accord de partenariat standard répondant aux exigences de la loi HIPAA et permet aux entités couvertes de conclure cet accord depuis leur compte SurveyMonkey. Lorsqu'une entité couverte accepte l'accord de partenariat, le nom et le titre de la personne signant de la part de l'entité, ainsi que la date d'acceptation, sont enregistrés. Une copie de l'accord de partenariat est ensuite mise à disposition pour téléchargement ou référence dans la page Mon compte. Une fois l'accord de partenariat accepté, le compte est converti en compte HIPAA.

Nous comprenons que certaines entités couvertes aient besoin d'inclure des éléments spécifiques dans les accords de partenariat conclus avec leurs partenaires commerciaux. Étant donné que nous ne facturons pas de suppléments pour les comptes HIPAA, nous ne négocions pas d'accords de partenariat personnalisés. Nous sommes toutefois prêts, moyennant des frais, à négocier notre accord de partenariat standard.

Si vous souhaitez négocier un accord de partenariat personnalisé, merci de remplir ce formulaire : Négocier un accord de partenariat

Mesures de sécurité HIPAA utilisées par SurveyMonkey

Conformément à la loi HIPAA, nous mettons en œuvre des mesures de protection administratives, physiques et techniques qui protègent de façon raisonnable et appropriée la confidentialité, l'intégrité et la disponibilité des informations de santé protégées au format électronique que nous recevons, gérons et transmettons de la part d'entités couvertes concernant leurs comptes HIPAA. Ces mesures de protection incluent les mesures exigées par la règle de sécurité, notamment :

  • Évaluations régulières des risques des systèmes pour préserver la pertinence et l'efficacité des mesures de protection
  • Équipe de sécurité attitrée, chargée de gérer la conformité avec les exigences de sécurité de la loi HIPAA
  • Sélection, autorisation et formation du personnel de SurveyMonkey en contact avec les informations de santé protégées des clients
  • Plans de sauvegarde des données
  • Plans de restauration après sinistre
  • Surveillance, mise à jour et correction régulière des systèmes
  • Plan de réponse après incident incluant le signalement des incidents de sécurité aux entités couvertes concernées
  • Cryptage SSL de toutes les communications avec les serveurs SurveyMonkey

Pour plus d'informations, consultez notre Déclaration de sécurité.

Liste des fonctionnalités

Lorsque vous activez les fonctionnalités HIPAA, les fonctionnalités suivantes exigées par la loi HIPAA sont activées sur votre compte. Ces fonctionnalités aident les entités couvertes à se conformer à leurs propres obligations HIPAA :

  • Rappels de sécurité : Nous rappelons aux utilisateurs leurs obligations HIPAA avec des messages internes qui s'affichent lorsqu'ils réalisent certaines opérations sensibles sur des informations de santé protégées (par exemple exporter des données de sondage pouvant éventuellement être partagées avec des tiers).
  • Déconnexion automatique : nous fermons les sessions des utilisateurs au bout de 30 minutes d'inactivité.
  • Accord de partenariat : vous pouvez à tout moment consulter une copie de votre accord de partenariat dans votre compte.
  • Journalisation : nous offrons une fonction de journalisation avancée de l'activité d'accès aux comptes et des modifications apportées aux données des sondages. Nous journalisons différents événements liés aux comptes HIPAA en fonction de la date et de l'heure, de l'identité (adresse IP et/ou nom d'utilisateur associé au compte) et du type d'événement. Les types d'événements que nous journalisons incluent :
    • Connexions aux comptes ayant réussi et échoué
    • Déconnexions manuelles du compte
    • Demandes de réinitialisation du mot de passe du compte
    • Demandes de nom d'utilisateur associé au compte
    • Suppressions, ouvertures et fermetures de collecteurs
    • Exportations de réponses à des sondages
    • Partage et annulation de partage de réponses à des sondages
    • Suppressions de réponses à des sondages
    • Autorisations et annulations d'autorisation d'applications API
    • Transfert de sondages vers d'autres comptes
    • La personne à l'origine de l'événement (l'utilisateur ou l'administrateur SurveyMonkey)

À l'heure actuelle, vous ne pouvez pas accéder à ces journaux depuis votre compte en ligne. Vous pouvez toutefois nous contacter pour nous demander ces journaux.

Activation des fonctionnalités HIPAA

Vous pouvez activer les fonctionnalités HIPAA sur un abonnement PLATINUM individuel ou une équipe ENTREPRISE en concluant un accord de partenariat avec SurveyMonkey.

La procédure à suivre pour conclure un accord de partenariat dépend de votre type d'abonnement. Veuillez sélectionner la section appropriée ci-dessous pour obtenir des instructions :

Abonnement PLATINUM individuel

Pour conclure un accord de partenariat avec SurveyMonkey :

  1. Dans votre compte PLATINUM, cliquez sur votre nom d’utilisateur en haut à droite de la page.
  2. Sélectionnez Mon compte.
  3. Dans la section HIPAA en bas de la page, cliquez sur Conclure un accord de partenariat.
  4. Lisez l'accord de partenariat.
  5. Complétez le formulaire. Veillez à ce que l'accord de partenariat soit accepté par une personne autorisée par son organisation à conclure un accord de ce type. Le nom d'une personne autre que le titulaire du compte devra donc peut-être figurer dans le champ « Nom » du formulaire d'acceptation de l'accord de partenariat.
  6. Cliquez sur Accepter.

Vous pouvez à tout moment consulter votre accord de partenariat sur la page Mon compte.

Équipe PLATINUM

Vous ne pouvez actuellement pas activer depuis votre compte les fonctionnalités HIPAA pour une équipe PLATINUM. Veuillez nous contacter pour discuter des options dont vous disposez.

Équipe ENTREPRISE

L'administrateur principal d'une équipe ENTREPRISE peut activer les fonctionnalités HIPAA pour son équipe. Tous les comptes inclus dans l'équipe seront de type HIPAA. Ils seront donc tous autorisés à collecter des données de santé protégées dans leurs sondages.

Il n'est pas possible d'activer les fonctionnalités HIPAA pour des comptes individuels d'une équipe. Vous ne pouvez activer ces fonctionnalités que pour toute une équipe

Pour conclure un accord de partenariat avec SurveyMonkey :

  1. Dans votre compte d'administrateur principal, cliquez sur votre nom d’utilisateur en haut à droite de la page.
  2. Choisissez Mon équipe (ou Mon groupe).
  3. Sous INFORMATIONS DE L'ÉQUIPE, cliquez sur Conclure un accord de partenariat.
  4. Lisez l'accord de partenariat, complétez le formulaire, puis cliquez sur Accepter.

Tous les membres de l'équipe pourront consulter une copie de cet accord de partenariat depuis leur page Mon compte.

Une fois activées sur votre compte ou dans votre équipe, les fonctionnalités HIPAA ne peuvent pas être annulées. Une fois HIPAA activé sur un compte, celui-ci ne peut pas être reconverti en compte standard. En cas de résiliation de l'accord de partenariat, votre compte devra également être fermé. Consultez la section Rétrogradations ci-après pour plus d'informations.

Rétrogradations

Consultez les questions courantes ci-dessous pour comprendre le fonctionnement des rétrogradations sur les comptes HIPAA.

Puis-je passer mon compte ou mon équipe HIPAA à un type d'abonnement inférieur ?

Non. Une fois que vous avez activé les fonctionnalités HIPAA sur votre abonnement PLATINUM ou votre équipe ENTREPRISE, vous ne pouvez pas reconvertir le compte en compte standard.

Pour supprimer de votre compte les fonctionnalités HIPAA, ou si vous voulez un abonnement inférieur, vous devez ouvrir un nouveau compte. Veuillez noter que vous pouvez transférer les sondages de votre compte HIPAA vers un compte standard. Vous devez toutefois prendre garde à n'y transférer aucun sondage comportant des informations de santé protégées (nous n'autorisons pas les utilisateurs à stocker des informations de santé protégées dans des comptes standard, et ces derniers ne sont pas couverts par des accords de partenariat).

Que se passera-t-il si je ne renouvelle pas mon compte ou mon équipe HIPAA ?

Si vous n'avez plus besoin d'utiliser SurveyMonkey et que vous ne renouvelez pas votre compte HIPAA, ce dernier sera suspendu. SurveyMonkey préservera toutes les données du compte et continuera de le traiter conformément à l'accord de partenariat. Vous ne pourrez toutefois pas accéder directement aux données de vos sondages ou à votre compte (à l'exception de fonctions limitées de facturation et d'administration du compte).

SurveyMonkey conservera votre compte suspendu pendant la période définie dans l'accord de partenariat afin de vous donner la possibilité d'annuler sa suspension en le renouvelant. Au terme de cette période de suspension, SurveyMonkey fermera votre compte et supprimera toutes les données qu’il contenait.

Lorsqu'un compte est suspendu, vous pouvez également nous contacter pour demander une copie exportée de toutes les données de vos sondages, ou demander à fermer immédiatement votre compte.

Que se passera-t-il si je ferme mon compte HIPAA ou que je résilie mon accord de partenariat ?

Si vous fermez votre compte ou équipe HIPAA, l'accord de partenariat sera résilié.

Si vous résiliez l'accord de partenariat, cela entraînera la fermeture de votre compte ou équipe HIPAA, conformément aux termes et conditions de cet accord. Notre accord de partenariat standard est rédigé de façon à toujours vous fournir l'opportunité d'enregistrer une copie des données de vos sondages avant la fermeture de votre compte.

Astuces de sécurité HIPAA

Une fois que vous avez activé les fonctionnalités HIPAA sur votre compte ou dans votre équipe, suivez ces bonnes pratiques afin de garantir un traitement responsable et sécurisé de vos données.

Action
Astuces de sécurité HIPAA
Exportation des résultats de sondagesSi vous téléchargez les résultats de sondages sur votre ordinateur, vérifiez que ces fichiers téléchargés sont correctement traités, car ils contiennent des informations de santé protégées. Nous vous suggérons de sécuriser ces fichiers en les chiffrant et de ne les transférer que via une connexion chiffrée.
Partage de sondages avec des collaborateursLorsque vous partagez un sondage, les utilisateurs avec qui vous décidez de collaborer pourront afficher et modifier ce sondage, notamment les réponses recueillies. Veillez à utiliser cette fonctionnalité en conformité avec vos obligations HIPAA. Ne collaborez qu'avec des personnes habilitées à travailler sur ce sondage.
Transfert d'un sondage vers un autre compteSi vous devez transférer un sondage vers un autre compte SurveyMonkey, vérifiez que le compte destinataire est bien celui auquel vous avez l'intention de l'envoyer. Pour transférer un sondage, vous devez entrer le nom d'utilisateur exact de ce compte. La procédure de transfert ne peut pas être annulée sans une action de la part du détenteur du compte destinataire.

Si votre sondage contient des informations de santé, il est de votre responsabilité de vérifier que ces informations ne sont divulguées qu'à un destinataire adéquat. Cela signifie que si vous transférez des informations de santé vers un autre compte, ce dernier doit respecter les obligations HIPAA.
Collecte de réponsesSi vous collectez des informations de santé dans votre sondage, nous vous recommandons d'utiliser un collecteur de liens Web. En outre, si vous recueillez des informations de santé dans vos sondages, ou si vous avez un compte à la norme HIPAA, vous devez activer le chiffrage SSL en permanence. SSL améliore la sécurité en chiffrant les sondages et leurs résultats.

Nous ne recommandons pas les collecteurs d'invitations par courrier électronique. Ces collecteurs envoient des invitations par email à des destinataires, avec un lien de sondage unique associé à l'adresse email du destinataire. Si les personnes interrogées peuvent modifier leurs réponses, le destinataire d'une invitation par email peut remplir tout ou partie d'un sondage et transférer son lien de sondage unique à une autre personne. Cela permet au deuxième destinataire d'afficher les réponses, et donc éventuellement des informations de santé.
Partage des résultats de sondagesLes résultats de vos sondages peuvent contenir des informations de santé protégées. Aussi, veillez à partager ces résultats en respectant vos obligations HIPAA. Ne divulguez les résultats qu'aux destinataires autorisés.
HIPAA est une loi des États-Unis qui régule la collecte et le traitement des « données de santé protégées » (PHI, Protected Health Information). Certaines organisations appelées « entités couvertes » et leurs partenaires commerciaux doivent se conformer à la loi HIPAA. Vous pouvez collecter des informations de santé protégées dans des sondages si vous activez les fonctionnalités HIPAA sur votre compte ou dans votre équipe.

Obtenez des réponses