m

SurveyMonkey et la conformité avec la loi HIPAA

La loi HIPAA s'applique-t-elle à moi ? Si vous êtes une « entité couverte » (telle que définie par la loi HIPAA) et que vous utilisez SurveyMonkey pour collecter ou stocker des données de santé protégées (PHI) (généralement toute information concernant l'état de santé, des prestations de soins de santé ou le paiement de soins de santé pouvant être liée à un individu particulier, comme le nom et/ou les coordonnées d'un individu combinées à des informations sur les soins de santé reçus par cette personne), la loi HIPAA s'applique probablement à votre utilisation de SurveyMonkey.

Le Health Insurance Portability and Accountability Act de 1996 (HIPAA) est une loi des États-Unis qui régule la collecte et le traitement des « données de santé protégées » (PHI, Protected Health Information). Certaines organisations appelées « entités couvertes » et leurs partenaires commerciaux doivent se conformer à la loi HIPAA.

Pour SurveyMonkey, la « conformité à la loi HIPAA » signifie que nous proposons un service permettant aux entités couvertes de collecter et de gérer les données de santé protégées via des sondages, en conformité avec la loi HIPAA. SurveyMonkey s'assure que ce service fourni fonctionne en accord avec ces lois et avec le rôle de SurveyMonkey en tant que partenaire commercial d'un utilisateur d'entité couverte.

Conformément à nos Conditions d'utilisation, SurveyMonkey n'autorise la collecte de données de santé protégées par des entités réglementées que via un « compte HIPAA » disposant d'un accord de partenariat. SurveyMonkey n'exige toutefois pas la signature d'un accord de partenariat si vous n'êtes pas régi par la loi HIPAA en ce qui concerne les données de santé protégées que vous collectez dans vos sondages.

Fonctionnalités HIPAA

Mesures de sécurité HIPAA utilisées par SurveyMonkey

Conformément à la loi HIPAA, nous mettons en œuvre des mesures de protection administratives, physiques et techniques qui protègent de façon raisonnable et appropriée la confidentialité, l'intégrité et la disponibilité des informations de santé protégées au format électronique que nous recevons, gérons et transmettons de la part d'entités couvertes concernant leurs comptes HIPAA. Ces mesures de protection incluent les mesures exigées par la règle de sécurité, notamment :

  • Évaluations régulières des risques des systèmes pour préserver la pertinence et l'efficacité des mesures de protection
  • Équipe de sécurité attitrée, chargée de gérer la conformité avec les exigences de sécurité de la loi HIPAA
  • Sélection, autorisation et formation du personnel de SurveyMonkey en contact avec les informations de santé protégées des clients
  • Plans de sauvegarde des données
  • Plans de restauration après sinistre
  • Surveillance, mise à jour et correction régulière des systèmes
  • Plan de réponse après incident incluant le signalement des incidents de sécurité aux entités couvertes concernées
  • Cryptage SSL de toutes les communications avec les serveurs SurveyMonkey

Pour plus d'informations, consultez notre Déclaration de sécurité.

Liste des fonctionnalités

Lorsque vous activez les fonctionnalités HIPAA, les fonctionnalités suivantes exigées par la loi HIPAA sont activées sur votre compte. Ces fonctionnalités aident les entités couvertes à se conformer à leurs propres obligations HIPAA :

  • Rappels de sécurité : Nous rappelons aux utilisateurs leurs obligations HIPAA avec des messages internes qui s'affichent lorsqu'ils réalisent certaines opérations sensibles sur des informations de santé protégées (par exemple exporter des données de sondage pouvant éventuellement être partagées avec des tiers).
  • Déconnexion automatique : Nous fermons les sessions des utilisateurs au bout de 30 minutes d'inactivité.
  • Journalisation : Les accès aux comptes et les modifications apportées aux données des sondages sont consignés dans des fichiers journaux. Nous journalisons différents événements liés aux comptes HIPAA en fonction de la date et de l'heure, de l'identité (adresse IP et/ou nom d'utilisateur associé au compte) et du type d'événement. À l'heure actuelle, vous ne pouvez pas accéder à ces journaux depuis votre compte. Vous pouvez toutefois nous contacter pour nous demander ces journaux.

Activation des fonctionnalités HIPAA

SurveyMonkey propose un formulaire standard d'accord de partenariat conforme aux exigences de la loi HIPAA. Si vous souhaitez activer les fonctionnalités HIPAA pour votre compte, veuillez remplir le formulaire standard d'accord de partenariat et nous contacter.

Si vous avez déjà passé un accord de partenariat avec nous et souhaitez recevoir une copie de cet accord, veuillez nous contacter.

Une fois HIPAA activé sur un compte, celui-ci ne peut pas être reconverti en compte standard. En cas de résiliation de l'accord de partenariat, votre compte sera fermé. Consultez la section Rétrogradations ci-après pour plus d'informations.

Rétrogradations

Consultez les questions courantes ci-dessous pour comprendre le fonctionnement des rétrogradations sur les comptes HIPAA.

Puis-je rétrograder mon compte ou mon équipe HIPAA à un type d'abonnement inférieur ?

Non. Une fois que vous avez activé les fonctionnalités HIPAA sur votre abonnement ou votre équipe Entreprise, vous ne pouvez pas reconvertir le compte en compte standard.

Pour supprimer de votre compte les fonctionnalités HIPAA, ou si vous voulez un abonnement inférieur, vous devez ouvrir un nouveau compte. Veuillez noter que vous pouvez transférer les sondages de votre compte HIPAA vers un compte standard. Vous devez toutefois prendre garde à n'y transférer aucun sondage comportant des informations de santé protégées (nous n'autorisons pas les utilisateurs à stocker des informations de santé protégées dans des comptes standard, et ces derniers ne sont pas couverts par des accords de partenariat).

Que se passera-t-il si je ne renouvelle pas mon compte ou mon équipe HIPAA ?

Si vous n'avez plus besoin d'utiliser SurveyMonkey et que vous ne renouvelez pas votre compte HIPAA, ce dernier sera suspendu. SurveyMonkey préservera toutes les données du compte et continuera de le traiter conformément à l'accord de partenariat. Vous ne pourrez toutefois pas accéder directement aux données de vos sondages ou à votre compte (à l'exception de fonctions limitées de facturation et d'administration du compte).

SurveyMonkey conservera votre compte suspendu pendant un certain temps afin de vous donner la possibilité d'annuler sa suspension en le renouvelant. Si votre compte est suspendu et que vous souhaitez accéder à vos données, veuillez nous contacter. Au terme de cette période de suspension, SurveyMonkey fermera votre compte et supprimera toutes les données qu'il contenait.

Que se passera-t-il si je ferme mon compte HIPAA ou que je résilie mon accord de partenariat ?

Si vous fermez votre compte ou équipe HIPAA, l'accord de partenariat sera résilié.

Si vous résiliez l'accord de partenariat, cela entraînera la fermeture de votre compte ou équipe HIPAA, conformément aux termes et conditions de cet accord. Surveymonkey vous offre toujours la possibilité d'enregistrer une copie des données de vos sondages avant la fermeture de votre compte.

Astuces de sécurité HIPAA

Une fois que vous avez activé les fonctionnalités HIPAA sur votre compte ou dans votre équipe, suivez ces bonnes pratiques afin de garantir un traitement responsable et sécurisé de vos données.

Action
Astuces de sécurité HIPAA
Exportation des résultats de sondagesSi vous téléchargez les résultats de sondages sur votre ordinateur, vérifiez que ces fichiers téléchargés sont correctement traités, car ils contiennent des informations de santé protégées. Nous vous suggérons de sécuriser ces fichiers en les chiffrant et de ne les transférer que via une connexion chiffrée.
Partage de sondages avec des collaborateursLorsque vous partagez un sondage, les utilisateurs avec qui vous décidez de collaborer pourront afficher et modifier ce sondage, notamment les réponses recueillies. Veillez à utiliser cette fonctionnalité en conformité avec vos obligations HIPAA. Ne collaborez qu'avec des personnes habilitées à travailler sur ce sondage.
Transfert d'un sondage vers un autre compteSi vous devez transférer un sondage vers un autre compte SurveyMonkey, vérifiez que le compte destinataire est bien celui auquel vous avez l'intention de l'envoyer. Pour transférer un sondage, vous devez entrer le nom d'utilisateur exact de ce compte. La procédure de transfert ne peut pas être annulée sans une action de la part du détenteur du compte destinataire.

Si votre sondage contient des informations de santé protégées, il est de votre responsabilité de veiller à ce que ces informations ne soient divulguées qu'aux personnes habilitées. Cela signifie que si vous transférez des informations de santé vers un autre compte, ce dernier doit respecter les obligations HIPAA.
Collecte de réponsesSi vous recueillez des informations de santé protégées dans votre sondage, nous vous recommandons d'utiliser un collecteur de liens Web. En outre, si vous recueillez des informations de santé protégées dans vos sondages ou si vous disposez d'un compte à la norme HIPAA, vous devez activer le chiffrement SSL en permanence. SSL améliore la sécurité en chiffrant les sondages et leurs résultats.

Nous ne recommandons pas les collecteurs d'invitations par email. Ces collecteurs envoient des invitations par email à des destinataires, avec un lien de sondage unique associé à l'adresse email du destinataire. Si les participants peuvent modifier leurs réponses, le destinataire d'une invitation par email peut remplir tout ou partie d'un sondage et transférer son lien de sondage unique à une autre personne. Cela permet au deuxième destinataire d'afficher les réponses, et donc éventuellement des informations de santé.
Partage des résultats de sondagesLes résultats de vos sondages étant susceptibles de contenir des informations de santé protégées, nous vous recommandons de les partager en respectant vos obligations HIPAA. Ne divulguez les résultats qu'aux destinataires autorisés.
HIPAA est une loi des États-Unis qui régule la collecte et le traitement des « données de santé protégées » (PHI, Protected Health Information). Certaines organisations appelées « entités couvertes » et leurs partenaires commerciaux doivent se conformer à la loi HIPAA. Vous pouvez collecter des informations de santé protégées dans des sondages si vous activez les fonctionnalités HIPAA sur votre compte ou dans votre équipe.

Obtenez des réponses