Ce que HIPAA dit réellement sur le suivi

HIPAA lui-même ne mentionne pas les cookies, les pixels ou le suivi web — la loi a été rédigée en 1996 et amendée par la loi HITECH en 2009. Les règles pertinentes pour le suivi en ligne proviennent de deux endroits : la définition des PHI de la Règle de confidentialité et les exigences de la Règle de sécurité pour la protection des PHI électroniques (ePHI). Ensemble, elles stipulent que toute information de santé individuellement identifiable détenue par une entité couverte ou un partenaire commercial doit être protégée, et que la divulgation à des tiers sans autorisation ou sans accord de partenaire commercial est une utilisation non autorisée.

Le bulletin sur les technologies de suivi de l'OCR

Le document réglementaire clé pour les éditeurs est le bulletin de l'OCR intitulé Utilisation des technologies de suivi en ligne par les entités couvertes par HIPAA et les partenaires commerciaux. La version originale de décembre 2022 adoptait une position agressive — que toute adresse IP collectée sur une page web était potentiellement un PHI si la page concernait un problème de santé spécifique. Après une décision d'un tribunal fédéral en 2024 qui a invalidé des parties du bulletin en tant qu'excédant l'autorité de l'OCR, l'OCR a révisé le document pour tracer une ligne plus nette entre les pages marketing non authentifiées et les pages de portail patient authentifiées. La révision de 2024 est le texte de référence en 2026, et c'est le document que les équipes juridiques des éditeurs devraient garder ouvert sur un deuxième moniteur lors de la configuration du CMP.

Ce qui compte comme PHI dans un contexte de suivi

L'OCR traite la combinaison d'un identifiant (adresse IP, identifiant d'appareil, empreinte digitale du navigateur, e-mail haché) avec des informations sur la santé d'un individu spécifique (une recherche d'une pathologie, un clic sur une page de traitement, une soumission de formulaire avec des symptômes) comme un PHI lorsque la combinaison se rapporte à un patient connu ou à une personne pouvant être identifiée. L'identifiant seul n'est pas un PHI ; l'information de santé seule n'est pas un PHI ; la combinaison l'est. C'est le mouvement analytique qui prend les éditeurs par surprise, car le pixel publicitaire standard est conçu pour transmettre exactement cette combinaison à un tiers à des fins de mesure et de personnalisation.

La distinction entre pages authentifiées et non authentifiées

Le concept le plus important du bulletin de l'OCR est la ligne entre une page authentifiée — une que l'utilisateur atteint en se connectant à un portail patient, un système de rendez-vous connecté à EHR, une console de facturation — et une page non authentifiée — les pages marketing publiques, les articles d'information sur les pathologies, la recherche de médecin. La posture de conformité diffère nettement entre les deux.

Pages authentifiées

Les pages authentifiées sont la surface à haut risque. Une fois qu'un utilisateur s'est connecté, l'entité couverte sait qui il est, et toute technologie de suivi qui se déclenche sur ces pages divulgue potentiellement des PHI à quel que fournisseur qui reçoit la demande. Les pixels tiers, les pixels marketing et tout tag analytique fonctionnant en dehors d'un accord de partenaire commercial ne devraient pas s'exécuter du tout sur les pages authentifiées. La position de l'OCR ici est sans ambiguïté et les règlements de cas ont été substantiels.

Pages non authentifiées

Les pages non authentifiées sont plus nuancées. La révision 2024 de l'OCR a concédé que toutes les visites sur une page marketing publique ne produisent pas de PHI — un utilisateur lisant un article général sur le diabète ne révèle pas nécessairement qu'il souffre de diabète. Mais la ligne se déplace lorsque la page combine un identifiant avec un contexte de santé clair : un vérificateur de symptômes qui prend une entrée en texte libre et déclenche un pixel avec l'entrée attachée, une page de destination spécifique à une pathologie qui utilise l'URL comme paramètre de suivi, un outil de recherche de spécialiste qui transmet la spécialité et le code postal à un fournisseur d'analyse. Ces flux transforment une page non authentifiée en une surface PHI.

Le test pratique

Le test pratique que les éditeurs appliquent en 2026 est le test de l'attente raisonnable. Une personne raisonnable visitant cette page s'attendrait-elle à ce que sa visite indique un problème de santé spécifique ? Si oui, la page est traitée comme portant des PHI à des fins de suivi, quel que soit l'état d'authentification. Le test est conçu pour être conservateur — se tromper du côté permissif génère un risque d'application, tandis que se tromper du côté restrictif ne produit que des revenus publicitaires perdus.

Les accords de partenaire commercial et la pile de fournisseurs

HIPAA permet à une entité couverte de partager des PHI avec un fournisseur uniquement lorsque le fournisseur a signé un accord de partenaire commercial (BAA) l'engageant à des protections équivalentes à HIPAA. Parmi les principaux fournisseurs de technologies publicitaires et d'analyse, l'histoire du BAA est inégale et déterminante.

Fournisseurs qui signent des BAA

Google propose un HIPAA BAA pour Google Workspace, Google Cloud Platform et un sous-ensemble limité de déploiements Google Analytics 4 dans des configurations spécifiques. Microsoft signe des BAA pour Azure et une configuration contrainte de Microsoft Clarity. Une poignée de plateformes d'analyse spécialisées dans le secteur de la santé — Freshpaint, Heap avec module complémentaire HIPAA, la configuration santé de FullStory — signent des BAA. Ce sont les fournisseurs qu'un éditeur couvert par HIPAA peut utiliser sur des surfaces authentifiées ou portant des PHI.

Fournisseurs qui ne signent pas de BAA

Meta ne signe pas de BAA pour Meta Pixel ou l'API Conversions dans aucune configuration standard. TikTok ne signe pas de BAA pour TikTok Pixel. La plupart des SSP et DSP programmatiques ne signent pas de BAA. Google Analytics standard, les modèles Google Tag Manager standard et les balises de conversion Google Ads par défaut ne sont pas couverts par le BAA de Google. Exécuter l'un d'entre eux sur une surface portant des PHI est une violation de HIPAA, quelle que soit la configuration de la bannière de consentement — le consentement ne remplace pas un BAA lorsque des PHI sont en jeu.

La pile consentement-plus-BAA

Le modèle conforme pour les pages marketing d'un éditeur de santé est la pile consentement-plus-BAA. Les pages marketing non authentifiées font tourner un CMP avec des portes de consentement pour tout suivi non essentiel, la couche d'analyse est configurée sous un BAA avec un fournisseur conscient de HIPAA, et la couche de pixels marketing soit fonctionne uniquement sur les pages qui passent le test de l'attente raisonnable, soit route à travers une API de conversion côté serveur qui supprime les informations d'identification avant de les transmettre aux fournisseurs non-BAA.

L'architecture CMP pour les éditeurs de santé

Le CMP d'un éditeur couvert par HIPAA fait plus que collecter le consentement. Il applique la distinction de classe de page, filtre les fournisseurs par statut BAA et produit un journal d'audit qui satisfait à la fois les exigences de documentation de la règle de sécurité de HIPAA et à toute loi de confidentialité d'État qui s'applique en plus.

Détection de la classe de page

Le CMP doit savoir sur quelle classe de page il est rendu. Le modèle le plus propre est une variable JavaScript injectée par CSP — définie par le serveur en fonction du modèle d'URL, de l'état d'authentification et des métadonnées de type de contenu — que le CMP lit à l'initialisation. La variable produit un tri-état : public-faible-risque (sans contexte de santé), public-portant-PHI (contexte de santé, sans authentification), ou authentifié. La liste des fournisseurs du CMP et les valeurs par défaut du consentement changent selon les trois états.

Filtrage des fournisseurs par statut BAA

Chaque fournisseur dans la liste des fournisseurs du CMP doit être étiqueté avec son statut BAA et les conditions dans lesquelles le BAA s'applique. Un fournisseur sans BAA est bloqué de manière inconditionnelle sur les surfaces portant des PHI et authentifiées, quel que soit l'état du consentement. Un fournisseur avec un BAA conditionnel — qui requiert des choix de configuration spécifiques — n'est autorisé que lorsque ces conditions sont confirmées. Le journal d'audit enregistre chaque décision de fournisseur avec la classe de page, l'état du consentement et la décision BAA, produisant un dossier défendable pour une demande du régulateur.

Couche de droit d'État

HIPAA est un plancher fédéral ; les lois d'État — le CMIA de Californie, le My Health My Data Act de Washington et les dispositions sur la vie privée en matière de santé des consommateurs dans le Connecticut et le Nevada — se trouvent au-dessus avec des exigences plus strictes dans leurs champs d'application spécifiques. L'architecture CMP devrait traiter HIPAA comme le niveau de base et superposer la règle d'État applicable la plus stricte chaque fois que le signal géographique d'un utilisateur indique un État avec un régime de santé des consommateurs plus solide.

Les erreurs courantes de suivi HIPAA qui déclenchent des accords

Les actions coercitives de suivi HIPAA tout au long de 2024 et 2025 ont produit une liste claire des schémas qui conduisent aux enquêtes de l'OCR. Meta Pixel se déclenche sur les portails patients parce que quelqu'un l'a ajouté pour l'analyse marketing sans consulter la conformité. Google Analytics fonctionne sur un outil de vérification de symptômes avec le symptôme transmis comme dimension personnalisée. Une page de recherche de médecin transmettant la spécialité en tant que paramètre d'URL que la balise analytique capture et transmet. Un flux d'intégration de télésanté avec TikTok Pixel installé pour l'acquisition payante et non supprimé lorsque l'utilisateur a traversé dans le portail authentifié. Un test A/B de l'équipe marketing qui a déclenché un enregistreur de carte thermique sur chaque page, y compris les formulaires destinés aux patients. Chacun d'entre eux a produit un accord public ou un plan d'action corrective dans la fenêtre d'application post-2022.

Conclusion

HIPAA en 2026 n'est plus un régime de conformité de back-office que l'équipe marketing peut ignorer. Le bulletin de l'OCR, les accords publics et la ligne d'application mature contre l'utilisation des pixels sur les pages authentifiées ont fait du suivi en ligne une question de niveau conseil pour toute entité couverte ayant une empreinte numérique. La posture de conformité n'est pas impossible — c'est un CMP qui connaît la classe de page, une pile de fournisseurs qui respecte la frontière du BAA, une couche de consentement qui gère la superposition du droit d'État, et une architecture documentée qu'un enquêteur de l'OCR peut lire en une heure et repartir convaincu. Les éditeurs qui investissent dans cette architecture en 2026 maintiennent leurs canaux numériques ouverts et leurs audiences monétisables ; les éditeurs qui continuent à traiter les pages de santé comme des pages d'e-commerce passent les deux prochaines années à rédiger des accords de règlement avec le gouvernement fédéral.