SurveyMonkey et la conformité avec la loi HIPAA
Le Health Insurance Portability and Accountability Act de 1996 (HIPAA) est une loi des États-Unis qui régule la collecte et le traitement des « données de santé protégées » (PHI, Protected Health Information). Certaines organisations appelées « entités couvertes » et leurs partenaires commerciaux doivent se conformer à la loi HIPAA.
Pour SurveyMonkey, la « conformité à la loi HIPAA » signifie que nous proposons un service permettant aux entités couvertes de collecter et de gérer les données de santé protégées via des sondages, en conformité avec la loi HIPAA. SurveyMonkey s'assure que ce service fourni soit en accord avec ces lois ainsi qu'avec le rôle de partenaire commercial d'un utilisateur d'une entité couverte que SurveyMonkey exerce.
Conformément à nos Conditions d’utilisation, SurveyMonkey n’autorise la collecte de données de santé protégées par des entités réglementées que via un « compte HIPAA » disposant d’un accord de partenariat. SurveyMonkey n’exige toutefois pas la signature d’un accord de partenariat si vous n’êtes pas régi par la loi HIPAA en ce qui concerne les données de santé protégées que vous collectez dans vos sondages.
Fonctionnalités HIPAA
Conformément à la loi HIPAA, nous mettons en œuvre des mesures de protection administratives, physiques et techniques qui protègent de façon raisonnable et appropriée la confidentialité, l’intégrité et la disponibilité des informations de santé protégées au format électronique que nous recevons, gérons et transmettons de la part d’entités couvertes concernant leurs comptes HIPAA. Ces mesures de protection incluent les mesures exigées par la règle de sécurité, notamment :
- Évaluations régulières des risques des systèmes pour préserver la pertinence et l’efficacité des mesures de protection
- Équipe de sécurité attitrée, chargée de gérer la conformité avec les exigences de sécurité de la loi HIPAA
- Sélection, autorisation et formation du personnel de SurveyMonkey en contact avec les informations de santé protégées des clients
- Plans de sauvegarde des données
- Plans de restauration après sinistre
- Surveillance, mise à jour et correction régulière des systèmes
- Plan de réponse après incident incluant le signalement des incidents de sécurité aux entités couvertes concernées
- Cryptage SSL de toutes les communications avec les serveurs SurveyMonkey
Pour plus d’informations, consultez notre Déclaration de sécurité.
Lorsque vous activez les fonctionnalités HIPAA, les fonctionnalités suivantes exigées par la loi HIPAA sont activées sur votre compte. Ces fonctionnalités aident les entités couvertes à se conformer à leurs propres obligations HIPAA :
- Rappels de sécurité : Nous rappelons aux utilisateurs leurs obligations HIPAA avec des messages internes qui s’affichent lorsqu’ils réalisent certaines opérations sensibles sur des informations de santé protégées (par exemple exporter des données de sondage pouvant éventuellement être partagées avec des tiers).
- Déconnexion automatique : Nous fermons les sessions des utilisateurs au bout de 30 minutes d’inactivité.
- Journalisation : Nous journalisons l’activité d’accès aux comptes et différents événements liés aux comptes HIPAA en fonction de la date et de l’heure, de l’identité (adresse IP et/ou nom d’utilisateur associé au compte) et du type d’événement. Il n’est pas possible d’accéder à ces journaux à partir de votre compte mais vous pouvez nous contacter pour nous les demander.
Activation des fonctionnalités HIPAA
SurveyMonkey propose un formulaire standard d’accord de partenariat conforme aux exigences de la loi HIPAA. Si vous souhaitez activer les fonctionnalités HIPAA pour votre compte, veuillez nous contacter.
Si vous avez déjà passé un accord de partenariat avec nous et souhaitez recevoir une copie de cet accord, veuillez nous contacter.
Une fois HIPAA activé sur un compte, celui-ci ne peut pas être reconverti en compte standard. En cas de résiliation de l’accord de partenariat, votre compte sera fermé. Consultez la section Rétrogradations ci-après pour plus d’informations.
Rétrogradations
Consultez les questions courantes ci-dessous pour comprendre le fonctionnement des rétrogradations sur les comptes HIPAA.
Non. Une fois que vous avez activé les fonctionnalités HIPAA sur votre abonnement ou votre équipe Entreprise, vous ne pouvez pas reconvertir le compte en compte standard.
Pour supprimer de votre compte les fonctionnalités HIPAA, ou si vous voulez un abonnement inférieur, vous devez ouvrir un nouveau compte. Veuillez noter que vous pouvez transférer les sondages de votre compte HIPAA vers un compte standard. Vous devez toutefois prendre garde à n’y transférer aucun sondage comportant des informations de santé protégées (nous n’autorisons pas les utilisateurs à stocker des informations de santé protégées dans des comptes standard, et ces derniers ne sont pas couverts par des accords de partenariat).
Si vous n’avez plus besoin d’utiliser SurveyMonkey et que vous ne renouvelez pas votre compte HIPAA, ce dernier sera suspendu. SurveyMonkey conservera toutes les données du compte et continuera de le traiter conformément à l’accord de partenariat. Vous ne pourrez toutefois pas accéder directement aux données de vos sondages ou à votre compte (à l'exception de fonctions limitées de facturation et d'administration du compte).
SurveyMonkey conservera votre compte suspendu pendant un certain temps afin de vous donner la possibilité d’annuler sa suspension en le renouvelant. Si votre compte est suspendu et que vous souhaitez accéder à vos données, veuillez nous contacter. Au terme de cette période de suspension, SurveyMonkey fermera votre compte et supprimera toutes les données qu’il renferme
Si vous fermez votre compte ou équipe HIPAA, l’accord de partenariat sera résilié.
Si vous résiliez l’accord de partenariat, cela entraînera la fermeture de votre compte ou équipe HIPAA, conformément aux termes et conditions de cet accord. Surveymonkey vous offre toujours la possibilité d’enregistrer une copie des données de vos sondages avant la fermeture de votre compte.
Astuces de sécurité HIPAA
Une fois que vous avez activé les fonctionnalités HIPAA sur votre compte ou dans votre équipe, suivez ces bonnes pratiques afin de garantir un traitement responsable et sécurisé de vos données.
|
Action
|
Astuces de sécurité HIPAA
|
|---|---|
| Exportation des résultats de sondages | Si vous téléchargez les résultats de sondages sur votre ordinateur, vérifiez que ces fichiers téléchargés sont correctement traités, car ils contiennent des informations de santé protégées. Nous vous suggérons de sécuriser ces fichiers en les chiffrant et de ne les transférer que via une connexion chiffrée. |
| Partage des sondages | Les personnes avec lesquelles vous partagez un sondage pourront le consulter et éventuellement le modifier, ou accéder à toutes les réponses recueillies pour ce sondage. Veillez à partager les sondages conformément à vos obligations HIPAA. Ne partagez un sondage qu’avec des personnes habilitées à travailler sur ce sondage. |
| Transfert d'un sondage vers un autre compte | Si vous devez transférer un sondage vers un autre compte SurveyMonkey, vérifiez que le compte destinataire est bien celui auquel vous avez l’intention de l’envoyer. Pour transférer un sondage, vous devez entrer le nom d’utilisateur exact de ce compte. La procédure de transfert ne peut pas être annulée sans une action de la part du détenteur du compte destinataire. Si votre sondage contient des informations de santé protégées, il est de votre responsabilité de veiller à ce que ces informations ne soient divulguées qu’aux personnes habilitées. Cela signifie que si vous transférez des informations de santé vers un autre compte, ce dernier doit respecter les obligations HIPAA. |
| Collecte de réponses | Si vous recueillez des informations de santé protégées dans votre sondage, nous vous recommandons d’utiliser un collecteur de liens Web. Nous ne recommandons pas les collecteurs d’invitations par email. Ces collecteurs envoient des invitations par email à des destinataires, avec un lien de sondage unique associé à l'adresse email du destinataire. Si les participants peuvent modifier leurs réponses, le destinataire d’une invitation par email peut remplir tout ou partie d’un sondage et transférer son lien de sondage unique à une autre personne. Cela permet au deuxième destinataire d'afficher les réponses, et donc éventuellement des informations de santé. |
| Partage des résultats de sondages | Les résultats de vos sondages étant susceptibles de contenir des informations de santé protégées, nous vous recommandons de les partager en respectant vos obligations HIPAA. Ne divulguez les résultats qu’aux destinataires autorisés. |
Obtenez des réponses
Commencez à prendre de meilleures décisions grâce à la première plate-forme de sondage au monde.
Se connecterVous avez déjà un compte ? Connectez-vous pour une assistance plus rapide.