Selon la loi américaine HIPAA (Health Insurance Portability and Accountability Act), certaines informations concernant la santé ou les soins médicaux d'un individu sont considérées comme des données de santé protégées.
Google met tout en œuvre pour garantir que les données de ses clients sont sécurisées, protégées et toujours disponibles. Dans le cadre de l'accord de partenariat Google Cloud Platform, Looker Studio rend possible la conformité avec la loi HIPAA. Cependant, il appartient aux clients d'évaluer leur propre conformité avec ladite loi.
Cet article est destiné aux responsables de la sécurité, aux responsables de la conformité, aux administrateurs informatiques et aux autres employés d'organisations chargés de la conformité avec la loi HIPAA. Il a pour but de vous aider à utiliser Looker Studio d'une manière qui répond à vos besoins en termes de conformité.
Clause de non-responsabilité
Le présent guide est fourni à titre informatif uniquement. Les informations ou recommandations mentionnées dans le présent guide n'ont pas vocation à constituer des conseils juridiques. Il appartient à chaque client d'évaluer indépendamment sa propre utilisation de Looker Studio de manière appropriée afin de s'acquitter de ses obligations légales en termes de conformité.
Responsabilités du client
Il revient aux clients Looker Studio de déterminer s'ils sont sujets aux dispositions de la loi HIPAA et s'ils utilisent ou comptent utiliser Looker Studio en lien avec des données de santé protégées. Les clients qui y sont sujets et souhaitent utiliser Looker Studio avec des données de santé protégées doivent d'abord conclure un accord de partenariat Google Cloud Platform avec Google. Les clients qui n'ont pas signé d'accord de partenariat Google Cloud Platform avec Google ne doivent pas utiliser Looker Studio en rapport avec des données de santé protégées. Veuillez noter que l'accord de partenariat Looker Studio précédent ne peut plus être accepté par les nouveaux clients.
En savoir plus sur la conformité HIPPA sur Google Cloud Platform
Traiter des données de santé protégées dans Looker Studio
L'accord de partenariat prévoit que les clients Looker Studio qui sont sujets à la loi HIPAA peuvent traiter des données de santé protégées dans Looker Studio à condition que la configuration de l'outil soit conforme à la loi HIPAA.
Pour les clients Google Workspace et Cloud Identity
La console d'administration Google propose des paramètres spécifiques qui assurent la sécurité des données, et qu'elles ne sont utilisées et consultées que conformément à vos exigences. Voici quelques recommandations concrètes pour répondre à des préoccupations spécifiques.
Surveiller l'activité du compte
Les rapports et les journaux de la console d'administration permettent d'identifier les risques de sécurité potentiels, de mesurer le niveau de collaboration des utilisateurs, de savoir qui se connecte et à quel moment, d'analyser l'activité des administrateurs, et plus encore. Pour surveiller les journaux et les alertes, les administrateurs peuvent configurer l'envoi de notifications en cas d'événement suspect. Nous leur recommandons également de consulter régulièrement les rapports et les journaux afin d'examiner les risques de sécurité potentiels. Par exemple, le rapport de la console d'administration de Looker Studio peut répertorier les fichiers partagés avec des utilisateurs de domaines externes. Les administrateurs doivent consulter régulièrement ces rapports pour les employés qui gèrent des données de santé protégées, afin de s'assurer qu'elles ne sont pas partagées accidentellement.
Options de partage
Lorsqu'ils partagent des assets Looker Studio, les utilisateurs peuvent contrôler les autorisations de modification et de partage de leurs collaborateurs. Nous leur recommandons de ne pas insérer de données de santé protégées dans les titres de ces assets.
Les administrateurs peuvent définir les autorisations de partage sur le niveau de visibilité approprié pour le compte Workspace ou Cloud Identity. Ils ont également la possibilité de limiter ou d'autoriser le partage de documents à l'extérieur du domaine par les utilisateurs. Nous vous suggérons de configurer les autorisations de partage de fichiers de façon à empêcher les utilisateurs qui travaillent avec des données de santé protégées de partager des assets Looker Studio en dehors de votre organisation.
Services d'assistance technique
Lorsque vous accédez aux services d'assistance technique de Looker Studio, vous ne devez pas communiquer de données de santé protégées à Google.
Ressources supplémentaires
L'une de nos plus hautes priorités est de garantir que les données de nos clients sont sécurisées, protégées et toujours disponibles. Afin de prouver la conformité de Google avec les normes de sécurité en vigueur dans le secteur, en plus de l'application de l'accord de partenariat Google Cloud, nous avons demandé et obtenu plusieurs certifications pour Looker Studio.