Les réglementations californiennes en matière de violation applicables aux établissements de santé alignent la définition de « violation » sur celle de la loi HIPAA, élargissent les obligations de déclaration et clarifient la structure des sanctions.

Les cliniques, établissements de santé, agences de soins à domicile et hospices agréés de Californie tenus de signaler les violations au Département de la santé publique de Californie (CDPH) en vertu de l'article 1280.15 du Code de la santé et de la sécurité de Californie (article 1280.15) sont désormais soumis à une nouvelle série de réglementations. La section 1280.15, en vigueur depuis plusieurs années, impose à certains établissements de santé agréés de Californie de « prévenir tout accès, utilisation ou divulgation illégaux ou non autorisés » des informations médicales et de signaler tout accès, utilisation ou divulgation illégaux ou non autorisés des informations médicales d'un patient au CDPH et au patient au plus tard 15 jours ouvrables après leur découverte. Les nouvelles réglementations mettant en œuvre la section 1280.15 élargissent les exceptions à l'obligation de signaler les violations, imposent des exigences quant au type d'informations qui doivent être soumises au CDPH en cas de violation et clarifient les sanctions applicables en cas de violation des réglementations. Cette alerte présente les principaux points à retenir de ces nouvelles réglementations et leur incidence potentielle sur les établissements de santé californiens à l'avenir.

1. Élargit les exceptions à la définition de « violation » afin de se conformer étroitement à la loi HIPAA.

La section 1280.15 ne contient qu'une seule exception à l'obligation de signalement, pour les documents papier internes, les courriers électroniques ou les transmissions par télécopie qui ont été involontairement mal acheminés au sein d'un même établissement ou système de soins de santé dans le cadre de la coordination des soins ou de la prestation de services. Les nouvelles réglementations élargissent les exceptions afin que certains types d'accès, d'utilisation et de divulgation ne soient pas considérés comme des « violations », alignant ainsi la définition de « violation » sur celle de la loi HIPAA. Les éléments suivants sont exclus de la définition de « violation » dans la réglementation californienne :

• Tout document papier, courrier électronique ou télécopie qui a été par inadvertance (i) consulté, utilisé ou divulgué au sein du même établissement de santé ou du même système de santé où les informations ne sont pas consultées, utilisées ou divulguées davantage, sauf si la loi l'autorise ou l'exige ; ou (ii) en dehors du même établissement de santé ou du même système de santé, envoyé à une entité couverte par la loi HIPAA qui a été par inadvertance mal acheminé dans le cadre de la coordination des soins ou de la prestation de services.
• Une divulgation dans laquelle un établissement de santé estime de bonne foi que la personne non autorisée à qui la divulgation a été faite n'aurait raisonnablement pas pu conserver ces informations médicales.
• Accès, utilisation ou divulgation des informations médicales des patients autorisés ou requis par la législation fédérale ou celle de l'État.
• Données électroniques cryptées perdues ou volées, lorsque ces données n'ont pas été consultées, utilisées ou divulguées de manière illégale ou non autorisée.
• Une divulgation pour laquelle l'établissement de santé détermine qu'il n'y a qu'une faible probabilité de compromission, conformément à l'analyse en 4 facteurs de la loi HIPAA, en examinant au moins les faits suivants : (i) la nature et l'étendue des informations médicales concernées ; (ii) l'utilisateur ou le destinataire non autorisé des informations médicales ; (iii) si les informations médicales ont été effectivement acquises ou consultées ; et (iv) la mesure dans laquelle le risque d'accès aux informations médicales a été atténué.

2. Établit des exigences élargies en matière de déclaration des informations qui doivent être communiquées au CDPH.

Le délai pour signaler les violations au CDPH et aux patients reste fixé à 15 jours ouvrables. En vertu de la réglementation, la notification au CDPH doit inclure des informations détaillées sur l'établissement concerné, les patients touchés, les informations médicales impliquées, la violation elle-même, les autres violations connexes et les efforts d'enquête. Elle exige en outre que les établissements de santé continuent à soumettre toute information supplémentaire au CDPH dès qu'elle est disponible. Il convient de noter que la notification doit inclure tous les « rapports d'audit, déclarations de témoins ou autres documents sur lesquels l'établissement de santé s'est appuyé pour déterminer qu'une violation s'était produite ».

La violation n'est pas considérée comme signalée au CDPH à moins que l'établissement de santé n'ait fait un effort de bonne foi pour communiquer toutes les informations requises. Cela signifie qu'un établissement de santé qui ne communique pas toutes les informations requises par la réglementation dans sa notification au CDPH pourrait être considéré comme n'ayant pas « signalé » la violation au CDPH.

3. Clarifie la structure des sanctions

En vertu de l'article 1280.15, le CDPH peut infliger une sanction administrative pouvant aller jusqu'à 25 000 dollars par patient dont les informations médicales ont été consultées, utilisées ou divulguées de manière illégale ou sans autorisation, et jusqu'à 17 500 dollars par cas supplémentaire d'accès, d'utilisation ou de divulgation illégale ou non autorisée des informations médicales de ce patient. En outre, le CDPH peut imposer une amende de 100 dollars pour chaque jour où un établissement de santé omet de signaler une violation au CDPH ou au patient. Le montant total de l'amende infligée à un établissement de santé pour chaque incident signalé ne peut dépasser 250 000 dollars.

La réglementation précise également les sanctions administratives que le CDPH peut infliger aux établissements de santé en cas d'infraction, ainsi que les sanctions supplémentaires pour ceux qui ne se conforment pas aux exigences de déclaration prévues par la réglementation. La sanction de base pour les infractions est de 15 000 dollars par violation ; toutefois, les sanctions peuvent être augmentées ou diminuées d'un maximum de 10 000 dollars par le CDPH en fonction de plusieurs facteurs d'ajustement, sans dépasser 25 000 dollars par patient dont les informations médicales ont été compromises. Ces facteurs d'ajustement comprennent : (i) l'historique de conformité de l'établissement concerné ; (ii) la mesure dans laquelle l'établissement de santé a détecté les violations et pris des mesures préventives pour corriger immédiatement et empêcher la répétition des violations passées ; (iii) tout facteur applicable indépendant de la volonté de l'établissement, notamment les incendies, les explosions, les catastrophes naturelles, les phénomènes météorologiques violents, les guerres, les invasions, les troubles civils, les actes ou menaces terroristes et les pannes de services publics ou d'infrastructures ; et (iv) tout autre facteur identifié par le CDPH comme applicable aux circonstances spécifiques entourant la violation.

En plus de cette pénalité initiale, le CDPH peut imposer des pénalités supplémentaires pour les violations ultérieures des informations médicales d'un patient liées à un événement signalé, d'un montant égal à 70 % de la pénalité initiale, sans dépasser 17 500 dollars par violation ultérieure. Un établissement de soins de santé reste soumis à la pénalité de 100 dollars par jour prévue à l'article 1280.15 pour ne pas avoir signalé la violation en temps utile.

Les établissements de santé soumis à la section 1280.15 devront consulter attentivement les nouvelles réglementations lorsqu'ils signaleront des violations au CDPH et au patient, mais ils trouveront probablement un certain soulagement dans la nouvelle définition révisée du terme « violation », qui s'aligne davantage sur la loi HIPAA.

Foley est là pour vous aider à faire face aux impacts à court et à long terme des changements réglementaires. Nous disposons des ressources nécessaires pour vous aider à faire face à ces questions et à d'autres considérations juridiques importantes liées aux opérations commerciales et aux questions spécifiques à l'industrie. N'hésitez pas à contacter les auteurs, votre partenaire chez Foley ou notre Health Care Practice Group pour toute question.