Californie : les prestataires de soins de santé doivent adhérer à l'accord de partage des données à l'échelle de l'État d'ici 2024

Merci à Danny Costandy, coauteur et stagiaire d'été au bureau de Foley à San Diego, pour sa contribution à cet article.

De nombreux prestataires de soins de santé californiens, notamment des hôpitaux et des groupes de médecins, seront bientôt tenus de signer le tout premier accord de partage de données à l'échelle de l'État de Californie régissant l'échange d'informations sur les services sociaux et de santé. 

Cette nouvelle exigence illustre parfaitement les normes de conformité rigoureuses auxquelles sont soumis les prestataires de soins de santé aujourd'hui : les lois sur la confidentialité qui limitent depuis longtemps la divulgation autorisée des informations médicales doivent désormais être prises en compte parallèlement à un nouveau régime de règles visant à empêcher l'entrave à l'accès légitime aux informations médicales. Pour se conformer à ces règles, il faut trouver le juste équilibre entre la divulgation des informations requises et la protection des informations confidentielles. 

La nouvelle loi californienne charge l'Agence californienne des services sociaux et de santé (CalHHS) de mettre en place un cadre d'échange de données conçu « pour permettre et exiger l'accès en temps réel aux informations de santé ou leur échange entre les prestataires de soins de santé et les payeurs par le biais de tout réseau d'échange d'informations de santé, organisation d'informations de santé ou technologie qui respecte les normes et politiques spécifiées ».  Le cadre d'échange de données n' est pas un système d'échange d'informations de santé ni un référentiel de données. Il s'agit d'un ensemble de normes technologiquement neutres pour le partage d'informations.

Le 5 juillet 2022, CalHHS a publié sur un site Web de l'État l'accord unique de partage des données et un ensemble initial de politiques et de procédures visant à mettre en œuvre la nouvelle loi. Les politiques et procédures élaborées lors de cette première phase abordent des sujets tels que l'échange obligatoire d'informations, les éléments de données à échanger, la notification des violations, les mesures de protection de la vie privée et de la sécurité, les processus de modification des accords de partage des données et de leurs politiques et procédures, ainsi que le droit d'accès des individus.  Les politiques et procédures à venir aborderont des sujets tels que le blocage des informations, la surveillance et l'audit, l'application et les exigences techniques pour l'échange.

Qui doit participer au cadre d'échange de données ?

La mise en œuvre de l'accord-cadre sur l'échange de données sera obligatoire d'ici le 31 janvier 2023 pour les hôpitaux généraux de soins aigus, les organisations de médecins et les groupes médicaux, les établissements de soins infirmiers spécialisés, les régimes de santé et les assureurs invalidité, les régimes de soins gérés Medi-Cal, les laboratoires cliniques et les hôpitaux psychiatriques de soins aigus. 

La plupart des prestataires de soins de santé qui signent l'accord devront commencer à partager des infos pour les traitements, les paiements ou les opérations de soins de santé avant le 31 janvier 2024. Les cabinets médicaux avec moins de 25 médecins, les cliniques à but non lucratif avec moins de 10 prestataires de soins de santé et certains hôpitaux n'auront pas à partager d'infos avant le 31 janvier 2026.  

Le cadre d'échange de données sera également ouvert à toute une série d'autres entités, notamment des agences gouvernementales et des organisations privées.  En vertu de la loi, le CalHHS doit collaborer avec l'Association des comtés de Californie afin d'encourager l'inclusion des services de santé, de santé publique et des services sociaux des comtés. En vertu de l'accord unique de partage des données du 5 juillet 2022, les participants peuvent également inclure des réseaux d'information sur la santé, des échanges d'informations communautaires, des laboratoires, des systèmes de santé, des développeurs informatiques dans le domaine de la santé, des organisations communautaires, des payeurs, des instituts de recherche et des organisations de services sociaux.  Le champ d'application inclusif est conforme à l'objectif législatif exprimé dans le Cal. Health & Safety Code § 130290(e) qui consiste à « aider les entités publiques et privées à se connecter grâce à des normes et des politiques uniformes ».

Que se passe-t-il si un participant n'est pas prêt à échanger des informations dans le délai légal ?

Les politiques et procédures exigent qu'un participant qui n'est pas prêt sur le plan technologique à échanger des informations dans les délais impartis fasse tout son possible pour conclure un contrat avec une autre entité qui fournit des services d'échange de données.

Comment le cadre d'échange de données intègre-t-il les déterminants sociaux de la santé ?

L'un des objectifs explicites de la nouvelle loi californienne est d'identifier les moyens d'intégrer les données relatives aux déterminants sociaux de la santé, tels que le logement et l'insécurité alimentaire, dans les informations de santé partagées.  L'accord unique de partage des données s'applique aux « informations relatives aux services sociaux et de santé », qui comprennent les informations liées à la prestation de services sociaux, même lorsqu'il ne s'agit pas d'informations médicales protégées soumises à la loi HIPAA. La définition des « informations relatives aux services sociaux et de santé » s'étend également aux données anonymisées, aux données pseudonymisées, aux métadonnées, aux identités numériques et aux schémas.

Les participants auront-ils de nouvelles obligations en matière de signalement des violations ?

Tel qu'il est mis en œuvre par le biais de politiques et de procédures, le nouveau cadre d'échange de données étendra les obligations de signalement des violations pour les prestataires de soins de santé au-delà de la loi HIPAA et de la législation de l'État. Les participants sont tenus d'informer le CalHHS et tous les participants concernés d'une violation dès que cela est raisonnablement possible après sa découverte. En outre, la notification doit être suivie d'un rapport écrit comprenant « des informations suffisantes pour permettre au destinataire de la notification de comprendre la nature de la violation ».  Ces exigences vont au-delà des règles existantes pour les entités couvertes par la réglementation HIPAA, qui n'imposent pas de signaler les violations à une agence californienne ou à d'autres entités couvertes qui ont été « touchées ». 

Alors que certaines cliniques et établissements agréés doivent déjà signaler les violations au Département de la santé publique de Californie dans un délai de quinze jours ouvrables, ils seront désormais également tenus de signaler l'accès, la divulgation ou l'utilisation d'informations d'une manière non autorisée par le cadre d'échange de données ou toute autre loi applicable au CalHHS, ainsi qu'à tous les participants concernés par la violation. Il n'est pas clair comment un participant est censé déterminer si d'autres participants doivent être informés d'une violation parce qu'ils ont été touchés. 

Malgré ces obligations renforcées, la version finale de la politique et de la procédure de notification des violations s'éloigne d'un ensemble de règles plus strictes proposées dans une première ébauche de la politique, qui aurait exigé une notification dans un délai de 72 heures, suivie d'un rapport écrit dans les 10 jours calendaires. D'après les documents publiés lors de la réunion, le CalHHS a supprimé les délais spécifiques après avoir reçu des commentaires des parties prenantes demandant que les politiques n'imposent pas de délais pour la notification des violations différents de ceux prévus par les lois existantes.

La corde raide de la conformité pour les prestataires de soins de santé

La loi sous-jacente relative au cadre d'échange de données oblige les prestataires de soins de santé participants à partager les informations de santé à des fins de traitement, de paiement et d'opérations de soins de santé lorsque la loi l'autorise. Telle qu'elle est mise en œuvre dans la politique et la procédure traitant des fins pour lesquelles les participants sont tenus ou autorisés à échanger des informations, l'obligation qui incombe aux participants est encore plus large : ils doivent partager les « informations relatives aux services sociaux et de santé » à des fins de traitement, de paiement, d'opérations de soins de santé et d'activités de santé publique, sauf si la loi ou des politiques et procédures spécifiques l'interdisent.  

La multiplication des obligations légales en matière de partage d'informations souligne le difficile équilibre auquel sont confrontés les prestataires de soins de santé. D'une part, les lois fédérales et étatiques sur la confidentialité limitent le partage d'informations autorisé, parfois de manière très restrictive.  D'autre part, les règles fédérales en matière de blocage de l'information obligent les prestataires de soins de santé à ne pas entraver l'accès, l'échange ou l'utilisation des informations de santé électroniques, et la loi californienne les oblige désormais à partager ces informations avec les participants au Data Exchange Framework. Les prestataires de soins de santé doivent évaluer avec soin les demandes de partage d'informations en vertu de l'ensemble des lois étatiques et fédérales applicables afin de s'assurer qu'ils fournissent ce qui est requis et ne divulguent pas ce qui est protégé.

Foley est là pour vous aider à faire face aux conséquences à court et à long terme des changements réglementaires. Nous disposons des ressources nécessaires pour vous aider à naviguer parmi ces considérations juridiques importantes et d'autres liées aux opérations commerciales et aux questions spécifiques à votre secteur d'activité. N'hésitez pas à contacter les auteurs, votre partenaire Foley ou notre groupe de pratique des soins de santé si vous avez des questions.