L’un des facteurs déterminants les plus importants de la conformité HIPAA est la nature des informations transmises: s’il ne s’agit pas d’informations personnelles sensibles (PII), elles peuvent être transmises électroniquement en toute sécurité. Qu’est-ce que l’IPI et qu’est-ce qui ne l’est pas? Qu’est-ce qui est sensible et qu’est-ce qui ne l’est pas? (Cliquez ici pour une version imprimable).
Selon les États-Unis. Bureau de la gestion et du budget, PII – ou informations personnellement identifiables – est toute information qui peut être utilisée pour identifier, contacter ou localiser de manière unique une personne, ou peut être utilisée avec d’autres sources pour identifier de manière unique une personne.
Les IPI sensibles sont celles qui, lorsqu’elles sont divulguées, pourraient causer un préjudice à la personne dont le nom ou l’identité est lié aux informations. Pour déterminer si les IPI sont sensibles ou non, le contexte dans lequel les informations sont utilisées doit être pris en considération. Par exemple, une liste d’abonnés à un bulletin d’information gouvernemental n’est pas une IPI; une liste de personnes recevant un traitement pour des troubles de santé mentale est.
Outre la prise en compte du contexte, l’association d’éléments d’IPI peut créer un besoin de protection: par exemple, le nom d’une personne serait considéré comme sensible lorsqu’il est groupé avec le nom de jeune fille et la date de naissance de sa mère, mais ces éléments ne seraient pas considérés comme sensibles indépendamment les uns des autres. Les types d’IPI suivants sont considérés comme sensibles lorsqu’ils sont associés à une personne et doivent être protégés lorsqu’ils sont soumis électroniquement:
- Lieu de naissance
- Date de naissance
- Nom de jeune fille de la mère
- Informations biométriques (identification des humains par leurs caractéristiques ou traits)
- Informations médicales
- Informations financières personnelles
- Numéros de compte de carte de crédit ou de carte d’achat
- Numéros de passeport
- Informations potentiellement sensibles sur l’emploi, telles que les actions disciplinaires ou les notes du personnel
- Antécédents criminels
- Toute information susceptible de stigmatiser ou d’affecter négativement une personne
(Cette liste n’est pas exhaustive, et d’autres données peuvent être sensible selon des circonstances spécifiques.)
Les numéros de sécurité sociale (SSN), y compris les SSN abrégés qui n’utilisent que les quatre derniers chiffres, sont considérés comme sensibles, qu’ils soient ou non associés à un individu.
Les types d’IPI suivants peuvent être transmis électroniquement sans protection car ils ne sont pas considérés comme suffisamment sensibles pour nécessiter une protection:
- Numéros de travail, de domicile et de téléphone cellulaire
- Adresses de travail et de domicile
- Adresses de courriel professionnelles et personnelles
- Curriculum vitae qui ne contiennent pas de SSN ou dont le SSN est masqué
- Renseignements généraux sur les personnes figurant dans les curriculum vitae et les biographies
- Descriptions de poste et plans de rendement sans notes
La détermination que les IPI ne sont pas sensibles ne signifie pas qu’elles peuvent être rendues publiques . Le choix de divulguer publiquement toute information ne peut être fait que par le fonctionnaire autorisé à prendre de telles décisions. La transmission électronique d’informations personnelles non sensibles équivaut à transmettre les mêmes informations via la poste américaine, un service de livraison privé, un service de messagerie, un fax ou une voix. Bien que chacune de ces livraisons présente des vulnérabilités, les informations transmises ne peuvent être compromises qu’à la suite d’un vol, d’une fraude ou d’une autre activité illégale.