Le projet de loi new-yorkais sur la confidentialité des informations médicales vise les entreprises spécialisées dans la santé numérique

La loi sur la confidentialité des informations médicales de New York (NYHIPA), si elle est promulguée, pourrait avoir un effet dissuasif sur l'accès et l'engagement des patients envers les services de santé numériques facilement accessibles dont dépendent les New-Yorkais. Les entreprises de santé numériques auront probablement du mal à maintenir l'engagement des patients et la coordination des soins, et seront presque certainement confrontées à des obstacles dans l'amélioration de leurs produits et services en raison des charges financières et opérationnelles créées par la NYHIPA.

Au 23 janvier 2025, la NYHIPA avait été adoptée par le Sénat et l'Assemblée de New York et allait être soumise au gouverneur pour signature éventuelle. Si elle était promulguée, la NYHIPA aurait un impact significatif sur la manière dont les entreprises de santé numériques collectent, divulguent et utilisent les informations de santé des consommateurs à New York.

Qui est réglementé?

Dans sa version actuelle, la NYHIPA s'appliquera à tout organisme de soins de santé dont les patients ou les clients ont un lien avec New York.

Plus précisément, la NYHIPA s'appliquerait à toute entité qui :

contrôle le traitement des informations médicales réglementées d'un résident de New York,
contrôle le traitement des informations médicales réglementées d'une personne physiquement présente à New York pendant que cette personne se trouve à New York, ou
est située à New York et contrôle le traitement des informations médicales réglementées.

Les exemptions au niveau des entités sont limitées par rapport à d'autres lois sur la confidentialité des données des consommateurs. Les entités couvertes par la loi HIPAA sont exemptées, mais uniquement dans la mesure où elles conservent les informations sur les patients de la même manière que les informations médicales protégées par la loi HIPAA. Bien que les dossiers médicaux traditionnels conservés par les entités couvertes par la loi HIPAA soient probablement exemptés, les informations personnelles collectées au début du processus utilisateur seront probablement régies par la loi NYHIPA et soumises aux exigences d'autorisation strictes décrites ci-dessous avant tout traitement par une entité réglementée, à moins que l'entité ne soit une entité couverte par la loi HIPAA et ne traite ces informations comme des informations de santé protégées par la loi HIPAA.

Quelles informations sont réglementées?

La NYHIPA cherche à réglementer toutes les informations pouvant être liées à la santé ou au bien-être, y compris les données relatives aux appareils. Les informations réglementées sont toutes les informations pouvant raisonnablement être associées à une personne ou à un appareil, collectées ou traitées en rapport avec la santé physique ou mentale d'une personne, y compris les informations de localisation ou de paiement liées à la santé physique ou mentale d'une personne, ou toute déduction tirée ou dérivée de la santé physique ou mentale d'une personne pouvant raisonnablement être associée à une personne ou à un appareil. Les informations de santé protégées par la loi HIPAA et les informations anonymisées seraient exemptées de la réglementation.

Quelles sont les restrictions de traitement?

Le « traitement » devrait être strictement adapté au produit ou service spécifique demandé par une personne, sauf autorisation explicite. Le traitement, tel que défini par la NYHIPA, désigne généralement toute opération effectuée sur des informations de santé, y compris la collecte, l'utilisation, la divulgation, l'accès, la vente, le partage, la création, la génération ou la dépersonnalisation d'informations de santé.

Les entités réglementées ne peuvent traiter les informations relatives à la santé que si :

la personne a donné son autorisation ; ou
le traitement est strictement nécessaire à certaines fins énumérées, notamment la fourniture ou la maintenance d'un produit ou d'un service spécifique demandé par cette personne ou la conduite des opérations commerciales internes de l'entité réglementée.

Plus important encore, et ce qui ne manquera pas de susciter l'inquiétude au sein de la communauté de la santé numérique, les opérations commerciales internes excluent expressément toute activité liée au marketing, à la publicité, à la recherche et au développement, ou à la fourniture de produits ou de services à des tiers sans l'autorisation explicite de la personne qui autorise ces activités.

Quand peut-on obtenir une autorisation et que doit-elle inclure?

La NYHIPA interdira l'obtention d'une autorisation auprès d'une personne pendant les 24 heures suivant la création d'un compte ou la première utilisation du produit ou du service. Le consentement explicite ne suffira pas, car les personnes devront obtenir une autorisation explicite pour chaque activité qui n'est pas jugée strictement nécessaire aux produits ou services demandés par la personne.

L'autorisation doit

être effectuée séparément de toute partie d'une transaction ;
(ii) être effectuée au moins 24 heures après la création d'un compte par la personne ou sa première utilisation du produit ou service demandé ; et
permettre à la personne concernée de donner ou de refuser son autorisation séparément pour chaque catégorie d'activité de traitement, entre autres exigences.

Pour les personnes qui ont un compte en ligne auprès de l'entité – ce qui sera le cas pour la plupart des entreprises de santé numérique –, l'entité réglementée doit fournir, « dans un endroit bien visible et facilement accessible dans les paramètres du compte », une liste de toutes les activités de traitement pour lesquelles la personne a donné son autorisation et, pour chaque activité de traitement, permettre à la personne de révoquer son autorisation au même endroit « d'un seul geste ou d'une seule action ». Les entités ne peuvent pas subordonner la fourniture d'un produit ou d'un service à l'octroi d'une autorisation et ne peuvent pas discriminer une personne qui refuse de donner son autorisation, par exemple en pratiquant des prix différents pour les produits ou services, y compris par le biais de remises ou d'autres avantages.

Une déclaration de confidentialité est-elle nécessaire?

La NYHIPA exigerait un avis de confidentialité si une entité réglementée traitait des informations médicales à des fins autorisées sans autorisation. L'avis devrait inclure les informations traitées, la nature de l'activité de traitement, les « finalités spécifiques » de ce traitement, les noms ou catégories de prestataires de services et de tiers auxquels les informations sont divulguées et la finalité de la divulgation, ainsi que le mécanisme par lequel la personne peut demander l'accès à ses informations médicales et leur suppression. Il convient de noter que si l'entité réglementée modifie de manière significative ses activités de traitement, elle devra fournir un avis clair et visible, distinct de la politique de confidentialité, des conditions d'utilisation ou de tout autre document similaire, qui décrit toute modification importante des activités de traitement et donne à la personne la possibilité de demander la suppression de ses informations de santé. Il convient de noter que, contrairement à d'autres lois sur la protection des données des consommateurs, la seule exception à l'obligation de suppression prévue par la NYHIPA telle que proposée autorise la conservation « dans la mesure nécessaire pour se conformer aux obligations légales de l'entité réglementée ».

Quelles sont les autres exigences clés dont les entreprises de santé numérique doivent tenir compte?

La NYHIPA exigera des prestataires de services qu'ils séparent les informations de santé par entité réglementée. Les entités réglementées devront conclure un accord écrit avec les prestataires de services. Les conditions requises pour ces accords sont généralement similaires à celles d'autres lois sur la confidentialité des données des consommateurs. Cependant, la NYHIPA exige également que le prestataire de services :

ne pas combiner les informations relatives à la santé que le prestataire de services reçoit de l'entité réglementée ou en son nom avec d'autres informations personnelles que le prestataire de services reçoit d'une autre partie ou en son nom, ou qu'il recueille dans le cadre de ses propres relations avec des personnes ; et
(ii) informer l'entité réglementée « dans un délai raisonnable » avant de partager des informations médicales avec d'autres prestataires de services.

Tous les sites Web et toutes les communications devraient être raisonnablement accessibles aux personnes handicapées et disponibles dans les langues dans lesquelles l'entité réglementée fournit des informations via son site Web et ses services.

Quand cette loi pourrait-elle entrer en vigueur et quelles sont les sanctions possibles?

La NYHIPA entrera en vigueur un an après la signature du projet de loi.

Le procureur général de New York serait habilité à faire appliquer la loi, notamment en imposant des sanctions civiles pouvant atteindre 50 000 dollars par infraction ou 20 % des revenus obtenus auprès des consommateurs new-yorkais au cours de l'exercice fiscal précédent, entre autres mesures. Le procureur général est également habilité à promulguer des règles et des règlements d'application.

Quelles sont les répercussions pratiques de la NYHIPA ?

La NYHIPA posera des obstacles financiers et opérationnels importants aux entreprises de santé numérique. Les entités réglementées seront tenues de mettre à niveau leurs sites Web et leurs flux de travail pour chacune des activités de traitement pour lesquelles elles demanderont l'autorisation d'une personne, ainsi que d'effectuer toutes les mises à niveau nécessaires pour répondre aux nouvelles exigences en matière d'accessibilité. Le moratoire de 24 heures sur les demandes d'autorisation créera de facto un obstacle aux activités visant à améliorer l'expérience, l'engagement et l'éducation des patients. Les prestataires de services subiront un impact financier résultant de la mise en œuvre des exigences de séparation des informations de santé de chaque entité réglementée. Enfin, la NYHIPA exigera des entreprises de santé numériques qu'elles se conforment à une autre loi étatique sur la protection de la vie privée des consommateurs qui diffère sensiblement des autres lois étatiques en la matière.

Que doivent faire les entreprises de santé numérique à présent ?

La NYHIPA a été adoptée par les deux chambres législatives et n'attend plus que la signature du gouverneur pour entrer en vigueur. Comme indiqué ci-dessus, la date d'entrée en vigueur de la loi serait un an après la signature du gouverneur. Ce délai d'un an est extrêmement court pour permettre aux entreprises de santé numérique de mettre en œuvre les changements nécessaires pour se conformer à la NYHIPA. Par conséquent, si elle est promulguée, les entreprises de santé numérique ayant des patients ou des clients à New York devraient immédiatement commencer à planifier leur mise en conformité avec la NYHIPA.

La confidentialité des données de santé continue d'évoluer rapidement. Les entreprises du secteur de la santé numérique doivent donc suivre de près toute nouvelle évolution et continuer à prendre les mesures nécessaires pour se conformer à la réglementation. Si vous avez des questions sur la conformité aux lois relatives à la confidentialité des données de santé des consommateurs ou sur d'autres changements récents apportés aux lois relatives à la confidentialité des données de santé, veuillez contacter l'un des auteurs ou l'un des associés ou conseillers principaux dugroupe Cybersécurité et confidentialité des donnéesoudu groupe Pratique des soins de santé de Foley.

Clause de non-responsabilité

Ce blog est mis à disposition par Foley & Lardner LLP ("Foley" ou "le cabinet") à des fins d'information uniquement. Il n'a pas pour but d'exprimer la position juridique du cabinet au nom d'un client, ni de fournir des conseils juridiques spécifiques. Les opinions exprimées dans cet article ne reflètent pas nécessairement celles de Foley & Lardner LLP, de ses partenaires ou de ses clients. En conséquence, n'agissez pas sur la base de ces informations sans demander l'avis d'un avocat agréé. Ce blog n'est pas destiné à créer, et sa réception ne constitue pas, une relation avocat-client. Communiquer avec Foley par le biais de ce site web, que ce soit par e-mail, par un billet de blog ou par tout autre moyen, ne crée pas une relation avocat-client pour une quelconque question juridique. Par conséquent, toute communication ou matériel que vous transmettez à Foley par le biais de ce blog, que ce soit par e-mail, par billet de blog ou de toute autre manière, ne sera pas traité comme confidentiel ou propriétaire. Les informations contenues dans ce blog sont publiées "EN L'ÉTAT" et ne sont pas garanties comme étant complètes, exactes ou à jour. Foley ne donne aucune garantie, expresse ou implicite, quant au fonctionnement ou au contenu du site. Foley rejette expressément toute autre garantie, condition ou déclaration de quelque nature que ce soit, expresse ou implicite, découlant d'un statut, d'une loi, d'un usage commercial ou autre, y compris les garanties implicites de qualité marchande, d'adéquation à un usage particulier, de titre et d'absence de contrefaçon. En aucun cas Foley ou l'un de ses partenaires, dirigeants, employés, agents ou affiliés ne pourra être tenu responsable, directement ou indirectement, en vertu de toute théorie de droit (contrat, délit, négligence ou autre), envers vous ou toute autre personne, pour toute réclamation, perte ou dommage, direct, indirect, spécial, accessoire, punitif ou consécutif, résultant de ou occasionné par la création, l'utilisation ou la confiance en ce site (y compris les informations et autres contenus) ou tout autre site tiers ou les informations, ressources ou matériels accessibles à travers de tels sites web. Dans certaines juridictions, le contenu de ce blog peut être considéré comme de la publicité pour les avocats. Le cas échéant, veuillez noter que des résultats antérieurs ne garantissent pas un résultat similaire. Les photographies ne sont utilisées qu'à des fins de représentation et peuvent inclure des modèles. Les portraits n'impliquent pas nécessairement le statut de client, de partenaire ou d'employé actuel.

[email protected]

Madison 608.250.7420

Un homme en costume sombre et cravate rouge sourit dans le couloir d'un bureau d'avocats d'affaires moderne et bien éclairé, reflétant le professionnalisme des meilleurs avocats de Chicago.

[email protected]

Tampa 813.225.4129

Perspectives connexes

Voir tous les articles

9 décembre 2025 La loi sur les soins de santé aujourd'hui

Comment le fait de suivre les « prescriptions médicales » a permis d'assurer la défense dans une affaire FCA devant la Cour d'appel du premier circuit

En matière de litiges liés à la loi sur les fausses déclarations (False Claims Act, FCA), les laboratoires cliniques se retrouvent souvent dans le collimateur. Mais le premier...

2 décembre 2025 La loi sur les soins de santé aujourd'hui

Utilisation des technologies numériques de santé dans les essais cliniques : soutien de la MAHA et attentes définies dans les recommandations finales de la FDA

Les technologies numériques de santé (DHT) sont un aspect essentiel du programme « Make America… » du secrétaire américain à la Santé et aux Services sociaux (HHS), Robert F. Kennedy Jr.

11 novembre 2025 La loi sur les soins de santé aujourd'hui

Fusions et acquisitions dans le domaine de la technologie GLP-1 : Recommandations pratiques et meilleures pratiques

Cet article a été initialement publié sur Pharmaceutical Online en novembre 2025. La révolution du GLP-1 a réécrit les règles du jeu pour les...