Modifications apportées à la loi HIPAA relatives aux soins de santé reproductive : conformité dans un contexte d'application incertain

Les modifications apportées à la règle de confidentialité HIPAA visant à protéger les informations relatives aux soins de santé reproductive (modifications) font l'objet d'une contestation judiciaire alors que la date de mise en conformité approche à grands pas.

Comme nous l'avons expliqué plus en détail dans notre précédent article, les entités réglementées sont tenues de se conformer aux modifications d'ici le 23 décembre 2024 (la date de conformité pour les modifications requises à l'avis de pratiques de confidentialité étant reportée au 16 février 2026). Les récentes contestations judiciaires et l'arrivée d'une nouvelle administration présidentielle rendent le paysage réglementaire de ces amendements incertain. Cependant, à la date de publication de cet article, les entités réglementées doivent se préparer à se conformer à ces amendements à compter du 23 décembre 2024.

Affaires récentes contestant les modifications

Deux poursuites judiciaires ont été intentées dans le district nord du Texas contre le ministère de la Santé et des Services sociaux (HHS), visant à invalider les amendements. Les poursuites judiciaires font valoir que les amendements violent la loi sur les procédures administratives (APA), qui régit la manière dont les agences fédérales promulguent et appliquent les règles et réglementations. Les plaignants soutiennent qu'en vertu de l'APA, un tribunal doit annuler toute mesure prise par une agence qui outrepasse son autorité légale, ou toute mesure jugée arbitraire, capricieuse, abusive ou non conforme à la loi.

La première action en justice, État du Texas c. HHS[1], a été intentée par le procureur général du Texas en septembre 2024. Le procureur général du Texas affirme que la loi HIPAA préserve le pouvoir d'enquête des États en matière de signalement des maladies ou des blessures, de maltraitance des enfants, de naissance ou de décès, de surveillance de la santé publique ou d'enquête ou d'intervention en matière de santé publique, et que le HHS a donc outrepassé son autorité légale en interdisant aux entités réglementées de divulguer des informations relatives aux soins de santé reproductive aux enquêteurs des États. Le procureur général estime que le HHS a outrepassé son autorité légale, car les amendements entravent la capacité d'un État à appliquer ses propres lois en matière de soins de santé reproductive, y compris l'avortement et les soins d'affirmation du genre. Le procureur général du Texas cherche également à invalider les dispositions de la règle de confidentialité HIPAA de 2000, affirmant que le Congrès n'a jamais eu l'intention de permettre au HHS de limiter les circonstances dans lesquelles une entité réglementée peut divulguer des informations médicales protégées aux forces de l'ordre.

La deuxième action en justice, Purl c. HHS[2], a été intentée par un médecin texan qui avance des arguments similaires à ceux du procureur général du Texas. Cependant, le médecin affirme que les amendements interdisent aux médecins de signaler les cas de maltraitance ou de négligence s'ils concernent des questions liées à la santé reproductive, y compris l'avortement ou les procédures de transition de genre, ou de participer et de se conformer aux demandes des forces de l'ordre. En outre, le médecin fait valoir que les amendements sont arbitraires et capricieux, car le HHS n'a pas expliqué de manière adéquate pourquoi il met en œuvre ces nouvelles interdictions et exigences pour des raisons autres que la réponse à l'avis de la Cour suprême dans l'affaire Dobbs c. Jackson Women's Health Organization[3].

Dans sa réponse et son objection au dossier Purl, le HHS fait valoir que les amendements n'interfèrent pas avec le devoir des médecins de signaler les cas présumés de maltraitance ou de négligence en vertu de la législation de l'État. Plus précisément, le HHS s'est concentré sur le fait que les amendements préservent la définition de la « santé publique », qui comprend la surveillance, l'enquête et l'intervention comme moyens de prévenir les maladies et de promouvoir la santé des populations, par opposition à la conduite d'enquêtes ou à l'imposition de responsabilités aux personnes qui sollicitent des soins de santé. Le HHS fait valoir que, puisque les amendements ont conservé cette définition, ils ne limitent pas la capacité d'un médecin à signaler des cas de maltraitance ou de négligence. Au contraire, les amendements interdisent uniquement à un médecin de signaler des activités liées à une personne qui sollicite, obtient, fournit ou facilite des soins de santé reproductive, et les cas de maltraitance présumés seraient donc exclus de l'interdiction de divulgation.

Changement dans l'administration

Il n'est pas non plus clair à l'heure actuelle si le HHS sous l'administration Trump continuera à défendre ces poursuites judiciaires et/ou à appliquer ces amendements. Cependant, à partir du 23 décembre 2024 et jusqu'à ce que le tribunal se prononce sur la légalité des amendements ou que l'administration Trump donne des indications concrètes une fois en fonction, les entités réglementées doivent se conformer aux amendements lorsqu'elles utilisent ou divulguent des informations relatives aux soins de santé reproductive.   

Le HHS renforce son soutien à la confidentialité des informations relatives aux soins de santé reproductive dans le cadre d'un accord récent

En novembre 2024, le HHS a conclu un accord avec un hôpital pour avoir divulgué de manière illicite l'intégralité du dossier médical d'un patient à son employeur potentiel ; le patient avait signé une autorisation qui n'autorisait la divulgation que d'un seul résultat d'examen. Les informations divulguées comprenaient des informations sur les soins de santé reproductive, sur lesquelles le HHS s'est concentré dans ses déclarations publiques concernant l'accord, bien que cette divulgation ait eu lieu avant la date de conformité requise par les amendements.

Dans le communiqué de presse associé, le HHS a déclaré : « Les patients doivent pouvoir être assurés que les informations sensibles relatives à leur santé contenues dans leurs dossiers sont protégées afin de préserver leur confiance dans la relation patient-médecin et de garantir qu'ils reçoivent les soins dont ils ont besoin. Cela vaut tout particulièrement pour la confidentialité des informations relatives à la santé reproductive. » Le titre de l'accord publié par le HHS comprenait également l'expression « informations relatives à la santé reproductive ». Cela témoigne du soutien apporté par l'actuel HHS à ces amendements.  

Principaux enseignements

Bien que l'avenir des modifications soit incertain, à compter du 23 décembre 2024, les entités réglementées doivent se préparer à se conformer aux modifications lorsqu'elles utilisent ou divulguent des informations relatives aux soins de santé reproductive, jusqu'à nouvel ordre. Pour se préparer à se conformer, les entités réglementées doivent :

• Mettre à jour les politiques et les processus de confidentialité HIPAA afin de garantir que les informations relatives aux soins de santé reproductive ne soient pas utilisées ou divulguées en violation des amendements.
• Obtenir des attestations avant de divulguer des informations relatives à la santé reproductive aux organismes de surveillance sanitaire, aux forces de l'ordre, aux médecins légistes ou aux coroners, ou dans le cadre de procédures judiciaires ou administratives (y compris en réponse à des citations à comparaître et à des ordonnances judiciaires).
• Mettre en œuvre une formation actualisée pour les membres du personnel chargés de divulguer des informations médicales à des tiers afin de garantir le respect des amendements.

La confidentialité des données de santé continue d'évoluer rapidement et les entités réglementées doivent donc suivre de près toute nouvelle évolution et continuer à prendre les mesures nécessaires pour se conformer à la réglementation. Si vous avez des questions sur la conformité à la règle finale et aux autres modifications récentes apportées aux lois sur la confidentialité des données de santé, veuillez contacter l'un des auteurs ou l'un des associés ou conseillers principaux du groupe Cybersécurité et confidentialité des donnéesoudu groupe Pratique des soins de santé de Foley.

[1] Texas c. Département de la santé et des services sociaux, n° 5:24-cv-00204 (N.D. Tex. 4 septembre 2024).

[2] Purl c. Dep’t Health & Hum. Servs., n° 2:24-cv-00228 (N.D. Tex. 21 octobre 2024).

[3] Dobbs c. Jackson Women’s Health Org., 597 U.S. 215 (2022).