Application de la HIPAA OCR 2024 : 725 violations, 275 millions de dossiers et les mesures techniques qui comptent

Le Bureau des droits civils du HHS (OCR) a signalé 725 violations de données de santé en 2024 affectant 275 millions de dossiers de patients — le plus grand nombre jamais enregistré en une seule année. Le coût moyen d'une violation dans le secteur de la santé a atteint 10,22 millions de dollars en 2025 (Rapport IBM sur le coût d'une violation de données), entraîné par des pénalités civiles HIPAA, des frais juridiques, des notifications aux patients, du suivi de crédit et des dommages à la réputation.

Pour les entités couvertes par la santé et les associés commerciaux aux États-Unis, 2025 représente une année de conformité cruciale : la mise à jour proposée de la règle de sécurité HIPAA (mars 2025) créerait les exigences techniques HIPAA les plus significatives depuis que la règle de sécurité originale a été finalisée en 2003.

725 Violations : Que s'est-il passé en 2024

Les données du portail de violations de l'OCR révèlent les catégories d'échec qui ont conduit au volume record de violations en 2024 :

Incidents de piratage/TI : 74 % des violations signalées — la catégorie dominante. Les compromissions de serveurs réseau, les ransomwares et les compromissions d'e-mails professionnels représentent la majorité. Le changement est structurel : les attaquants sont passés de la cible des postes de travail individuels aux attaques au niveau du réseau qui compromettent l'ensemble des systèmes EHR, extrayant des millions de dossiers simultanément.

Accès/divulgation non autorisés : 18 % des violations. Comprend les menaces internes, les contrôles d'accès mal configurés exposant les données des patients à du personnel non autorisé, et la divulgation accidentelle à de mauvais destinataires.

Incidents de tiers/associés commerciaux : De plus en plus significatifs — 35 % des violations de 2024 ont eu lieu chez des associés commerciaux plutôt que chez des entités couvertes. Change Healthcare (filiale de UnitedHealth Group) a à elle seule affecté plus de 190 millions de patients — la plus grande violation de données de santé aux États-Unis de l'histoire.

Vol/perte de médias portables : 8 % des violations. Ordinateurs portables, clés USB et dossiers papier volés ou perdus sans protection par cryptage.

Les 18 identifiants PHI : norme de port sécurisé HIPAA

La méthode de désidentification de port sécurisé de la HIPAA (45 CFR §164.514(b)) exige la suppression de tous les 18 identifiants PHI spécifiés. La plupart des entités couvertes et des associés commerciaux connaissent la liste de manière conceptuelle, mais le défi de détection est technique :

1. Noms : Tous les noms des patients, membres de la famille, employeurs
2. Données géographiques : Toutes les subdivisions plus petites que l'État (adresse de rue, ville, comté, district, les 3 premiers chiffres du code postal si <20 000 habitants)
3. Dates : Toutes les dates directement liées au patient (naissance, admission, sortie, décès) autres que l'année
4. Numéros de téléphone : Tous les numéros de téléphone
5. Numéros de fax : Tous les numéros de fax
6. Adresses e-mail : Toutes les adresses e-mail
7. Numéros de sécurité sociale : Tous les SSN
8. Numéros de dossier médical : Tous les formats de MRN (varient selon le système EHR)
9. Numéros de bénéficiaire de plan de santé : Tous les ID de membre d'assurance
10. Numéros de compte : Tous les numéros de compte financier
11. Numéros de certificat/licence : Licence médicale, enregistrement DEA, numéros de licence d'État
12. Identifiants de véhicule : VIN, numéros de plaque d'immatriculation
13. Identifiants d'appareil : Numéros de série, identifiants d'appareil uniques
14. URL Web : Toutes les adresses web
15. Adresses IP : Toutes les adresses IP
16. Identifiants biométriques : Empreintes digitales et vocales
17. Photographies de visage complet et images comparables
18. Tout autre numéro, code ou caractéristique unique d'identification

Le 18ème identifiant — "tout autre numéro unique d'identification" — est l'exigence de détection la plus difficile. Cela signifie que tout identifiant spécifique à une base de données qui pourrait lier des dossiers à un patient spécifique doit être détecté et supprimé, même s'il ne correspond pas à un modèle prédéfini.

Mise à jour proposée de la règle de sécurité HIPAA : Quelles modifications en 2025-2026

La mise à jour proposée de la règle de sécurité HIPAA publiée en mars 2025 exigerait :

Audits annuels de cryptage : Les entités couvertes doivent effectuer des audits techniques annuels vérifiant que toutes les PHI au repos sont cryptées avec AES-256 ou équivalent, et que la gestion des clés de cryptage respecte des normes documentées.

Procédures de désidentification documentées : Pour toute PHI utilisée dans la recherche, l'amélioration de la qualité, la formation en IA ou l'analyse, les entités couvertes doivent maintenir des procédures documentées démontrant comment la désidentification est réalisée — pas seulement une déclaration de politique, mais une documentation technique avec des preuves de validation.

Exigences de sécurité pour les associés commerciaux : Les associés commerciaux doivent désormais répondre à des exigences de sécurité technique spécifiques (précédemment déléguées aux accords d'associés commerciaux sans spécification technique). Les évaluations techniques des BA deviennent obligatoires avant l'intégration.

Authentification multi-facteurs : Tous les membres du personnel ayant accès aux PHI électroniques doivent utiliser MFA. Pas d'exceptions pour les "systèmes hérités" — la règle proposée exige MFA indépendamment de l'âge du système.

Tests de réponse aux incidents : Exercices annuels sur table et tests techniques des procédures de réponse aux incidents. Des preuves de tests doivent être conservées.

La leçon de Change Healthcare

La violation de Change Healthcare (février 2024) — affectant plus de 190 millions d'Américains — a illustré le risque systémique de l'infrastructure interconnectée des soins de santé. Change Healthcare a traité 15 milliards de transactions de santé par an en tant que chambre de compensation entre les fournisseurs, les payeurs et les pharmacies.

La violation a commencé avec un identifiant d'accès à distance Citrix sans protection MFA. Une fois à l'intérieur, les attaquants ont progressé latéralement à travers le réseau de Change Healthcare pendant 9 jours avant de déployer des ransomwares.

La leçon systémique : tout associé commercial ayant accès au réseau des données de transaction de santé représente un risque systémique pour l'ensemble de l'écosystème de santé auquel il est connecté. Le cadre des associés commerciaux de la HIPAA n'a pas été conçu pour les fournisseurs d'infrastructure systémique ayant accès à un tiers de toutes les transactions de santé aux États-Unis.

Pour les entités couvertes et les associés commerciaux : la violation de Change Healthcare a directement informé les exigences de la règle de sécurité HIPAA proposée concernant la segmentation du réseau, la MFA et les évaluations techniques des associés commerciaux.

Sources :

• HHS OCR : Portail de violation HIPAA
• IBM : Rapport sur le coût d'une violation de données 2025
• HHS : Mise à jour proposée de la règle de sécurité HIPAA mars 2025