Un guide pratique de HIPAA, CCPA et GDPR comparés
TL;DR — Réponse rapide
5 min de lectureLe GDPR est une loi européenne large sur les données personnelles, le CCPA/CPRA est une loi californienne sur la protection de la vie privée des consommateurs, et HIPAA est un cadre américain sur les données de santé pour les entités couvertes et leurs sous-traitants. L'analyse de sites web peut déclencher des obligations dans les trois cadres selon les données, le contexte et le public.
Ce guide explique HIPAA, CCPA et GDPR comparés de manière pratique, avec un accent sur les décisions d'analytics respectueuses de la vie privée.
HIPAA, CCPA et GDPR sont souvent regroupés sous l'étiquette « lois sur la vie privée », mais ils répondent à des problèmes différents. Les traiter comme interchangeables conduit à de mauvaises décisions de conformité.
La question pratique n'est pas « Quelle loi est la plus stricte ? ». C'est « Quelle loi s'applique à ce flux de données, pour cette organisation, dans ce contexte ? ».
GDPR : protection large des données personnelles
Le GDPR s'applique aux données personnelles relatives à des personnes situées dans l'UE/EEE lorsque le traitement entre dans son champ d'application territorial. La notion de donnée personnelle est large : si une information peut identifier une personne directement ou indirectement, elle peut constituer une donnée personnelle.
Le GDPR met l'accent sur :
- La base légale du traitement
- La transparence
- La limitation des finalités
- La minimisation des données
- L'exactitude
- La limitation de la conservation
- La sécurité
- Les droits des personnes concernées
- Les transferts internationaux
- La responsabilité (accountability)
La Commission européenne résume les droits individuels prévus par le GDPR, notamment l'accès, la rectification, l'effacement, la limitation, la portabilité et l'opposition (aperçu des droits par la Commission européenne).
Pour l'analytique, les questions GDPR portent notamment sur la nécessité d'un consentement aux cookies, sur le caractère personnel des adresses IP ou des identifiants, sur les transferts internationaux opérés par l'outil et sur la nécessité réelle des données collectées.
CCPA/CPRA : droits des consommateurs californiens
Le California Consumer Privacy Act, modifié par le CPRA, accorde aux résidents californiens des droits sur les renseignements personnels et impose des obligations aux entreprises concernées. L'aperçu du CCPA du procureur général de Californie présente des droits tels que la connaissance, la suppression, la correction, le retrait de la vente ou du partage, et la limitation de l'usage des renseignements personnels sensibles.
Le CCPA est particulièrement important pour :
- Les avis aux consommateurs
- Les obligations « Do Not Sell or Share »
- Les renseignements personnels sensibles
- L'activité de courtage de données
- Le Global Privacy Control dans certains contextes
- Les contrats avec les fournisseurs et prestataires de services
Pour l'analytique, la grande question est de savoir si le partage de données avec des fournisseurs publicitaires ou analytiques constitue une vente ou un partage au sens du droit californien, en particulier pour la publicité comportementale inter-contextes.
HIPAA : informations de santé dans des relations spécifiques
HIPAA est plus restreint que beaucoup le pensent. Il ne couvre pas tous les sites web ou applications de bien-être liés à la santé. Il s'applique aux entités couvertes (covered entities) et à leurs sous-traitants (business associates) qui traitent des informations de santé protégées.
Le HHS explique que la règle de confidentialité HIPAA protège les dossiers médicaux et autres informations de santé identifiables individuellement détenues par les entités couvertes, et accorde aux personnes des droits sur ces informations (HHS HIPAA Privacy Rule).
HIPAA importe pour l'analytique lorsque le site web ou l'application d'une entité régulée envoie des informations de santé identifiables à un fournisseur de suivi. L'OCR du HHS a publié des orientations sur les technologies de suivi en ligne, car les pixels, cookies et outils similaires peuvent divulguer des informations de santé protégées dans certains contextes. Nuance importante de 2024 : le HHS note qu'une cour fédérale a annulé une partie de ce bulletin appliquée à la thèse selon laquelle une adresse IP combinée à la visite de certaines pages web publiques non authentifiées déclencherait automatiquement des obligations HIPAA.
Exemple : la page de prise de rendez-vous d'un hôpital qui envoie l'URL de la page, l'adresse IP et les données de clic à une plateforme publicitaire peut créer un risque très différent de celui d'un blog généraliste sur le fitness utilisant des analyses agrégées.
Différences principales
Le GDPR est large et fondé sur des principes. Il couvre de nombreux types de données personnelles et exige une base légale pour le traitement.
Flowsery
Essai gratuit
Tableau de bord en temps réel
Suivi des objectifs
Suivi sans cookies
Le CCPA/CPRA est centré sur les droits des consommateurs. Il met l'accent sur l'information, l'accès, la suppression, la correction, le retrait de la vente/du partage et les limites à l'usage des données sensibles.
HIPAA est sectoriel. Il protège les informations de santé détenues par les entités couvertes et leurs sous-traitants, avec des règles détaillées sur les usages et divulgations autorisés.
Un même événement analytique peut donc être :
- Une donnée personnelle au sens du GDPR s'il concerne un visiteur de l'UE
- Un renseignement personnel au sens du CCPA s'il concerne un consommateur californien
- Une information de santé protégée au sens de HIPAA s'il est collecté par une entité couverte ou un sous-traitant dans un contexte lié aux soins, au paiement, à des services authentifiés ou à des informations de santé divulguées
Le contexte change tout.
Liste de contrôle de conformité analytique
Pour chaque site web ou application :
- Identifiez le public concerné.
- Identifiez si l'organisation est une entité couverte, un sous-traitant (business associate), une entreprise concernée, un responsable du traitement (controller) ou un sous-traitant (processor).
- Listez les fournisseurs et tags analytiques.
- Notez les données que chaque tag collecte.
- Vérifiez si les URLs révèlent du contenu sensible, comme des pages de pathologies ou des chemins de prise de rendez-vous.
- Déterminez si un consentement, un retrait ou une autorisation est requis.
- Minimisez les données avant de les transmettre aux fournisseurs.
- Mettez à jour les avis et les contrats.
Liste de contrôle de cartographie des cadres
Cartographiez chaque flux de données analytiques par rôle de l'organisation, localisation du visiteur, type de donnée, contexte de la page, finalité et destination. Sous HIPAA, séparez la mesure publique non authentifiée à visée éducative des flux liés aux rendez-vous, portails, formulaires d'admission, paiement, pathologies spécifiques et services authentifiés. Sous CCPA/CPRA, vérifiez la vente/le partage et les renseignements personnels sensibles. Sous GDPR, vérifiez la base légale, le consentement ePrivacy, les transferts, la minimisation et le risque lié aux catégories particulières de données.
Si le même événement crée des obligations dans plus d'un cadre, concevez selon le contrôle pratique le plus strict : collectez moins, supprimez le contexte sensible, évitez la réutilisation publicitaire, raccourcissez la conservation et alignez les contrats sur le flux de données réel.
Conclusion
HIPAA, CCPA et GDPR se recoupent, mais ne sont pas identiques. Une configuration analytique privacy-first aide dans les trois cadres, car elle réduit la collecte de données personnelles, limite le partage avec les fournisseurs et rapproche la mesure des besoins agrégés de l'entreprise. Moins votre site envoie de signaux sensibles à des tiers, plus chaque cadre devient simple à respecter.
Cas limites en analyse de sites web
Les cas les plus difficiles ne sont pas les formulaires de contact évidents. Ce sont des URLs ordinaires, des référents, des termes de recherche et des noms d'événements qui révèlent un contexte. Un chemin de page de clinique comme /appointments/cardiology, une page d'atterrissage de cabinet d'avocats sur la faillite, ou un article de support sur la violence domestique peuvent devenir sensibles lorsqu'ils sont transmis à un fournisseur analytique ou publicitaire. Sous HIPAA, l'OCR a averti que les entités régulées doivent faire preuve de prudence avec les technologies de suivi en ligne. Sous GDPR et CCPA/CPRA, des signaux similaires peuvent soulever des questions de données personnelles, de données sensibles, de vente/partage ou de consentement selon le contexte.
Une revue pratique devrait inclure trois colonnes : élément de donnée, sensibilité et destination. L'adresse IP complète, la localisation précise, l'identifiant de compte, l'email, l'identifiant de rendez-vous, l'identifiant de clic publicitaire et les champs de recherche en texte libre méritent une attention particulière. Si un fournisseur ne peut pas recevoir la donnée en toute sécurité sous l'ensemble des régimes applicables, écartez-la avant la collecte plutôt que d'essayer de la corriger plus tard dans le tableau de bord. L'analyse privacy-first aide parce qu'elle commence avec moins d'identité, moins de destinations tierces et des limites de finalité plus claires.
Cet article vous a-t-il été utile ?
Dites-nous ce que vous en pensez !
Avant de partir...
Flowsery
Des analyses orientées revenus pour votre site web
Suivez chaque visiteur, source et conversion en temps réel. Simple, puissant et entièrement conforme au RGPD.
Tableau de bord en temps réel
Suivi des objectifs
Suivi sans cookies
Articles connexes
Un guide pratique de analyse respectueuse de la vie privee
Découvrez comment analyse respectueuse de la vie privee influence les analytics respectueux de la vie privée, la qualité de mesure et les décisions concrètes pour un site web.
Un guide pratique de Quand le CCPA s’applique-t-il
Quand le CCPA s’applique-t-il ? Comprendre le champ d'application de la loi californienne sur la protection de la vie privée explique les seuils, les exemptions et les pratiques courantes en matière de données qui soumettent les entreprises à la loi.
Un guide pratique de 7 principes du RGPD
Découvrez comment 7 principes du RGPD influence les analytics respectueux de la vie privée, la qualité de mesure et les décisions concrètes pour un site web.