# Business associate agreement : guide HIPAA

Source: https://contracko.com/fr/blog/business-associate-agreement-guide

[Blog](https://contracko.com/fr/blog)

[Business associate agreement : guide HIPAA](https://contracko.com/fr/blog/business-associate-agreement-guide)

# Business associate agreement : guide HIPAA

Lou Van Reemst 27 juin 2026

Copier pour LLM

Les organisations qui manipulent des protected health information (PHI) ont généralement besoin d'un business associate agreement, parfois de plusieurs. Le BAA est le contrat qui rend licite, au sens du HIPAA, une relation portant sur des données de santé, et son absence figure parmi les manquements de conformité les plus courants et les plus coûteux relevés par les régulateurs.

Ce guide explique en termes simples ce qu'est un BAA, qui en a besoin, ce que le HIPAA exige à l'intérieur du document, les clauses qui méritent une négociation, et une checklist à dérouler avant de signer.

> Cet article fournit des informations générales et ne constitue pas un avis juridique. Consultez un conseil qualifié pour votre situation particulière.

## Qu'est-ce qu'un business associate agreement ?

Un business associate agreement (BAA), parfois appelé business associate contract, est un contrat écrit conclu entre une covered entity HIPAA (ou un autre business associate) et un prestataire qui va créer, recevoir, conserver ou transmettre des protected health information pour son compte.

Il joue le rôle de pont juridique entre deux parties :

- La covered entity est l'établissement de santé, l'organisme d'assurance santé ou la chambre de compensation de données de santé qui détient la relation sous-jacente avec les patients et leurs données.
- Le business associate est le prestataire externe dont le travail implique des PHI : les héberger, les traiter, les analyser, les facturer ou les manipuler d'une autre manière.

Le HIPAA n'autorise une covered entity à partager des PHI avec un prestataire que si celui-ci s'engage contractuellement à protéger les données et à ne les utiliser qu'à des fins autorisées. C'est dans le BAA que résident ces engagements. Il transfère sur le prestataire un ensemble défini d'obligations HIPAA et donne à la covered entity un recours contractuel si le prestataire manipule mal les données.

Sans BAA, il n'existe aucun partage licite de PHI avec ce prestataire. Ce contrat s'ajoute au reste des documents d'une équipe de santé, ce qui explique pourquoi de nombreuses équipes le centralisent dans un [logiciel de gestion des contrats de santé](https://contracko.com/blog/healthcare-contract-management-software) plutôt que de le suivre dans des tableurs.

## Qui a besoin d'un BAA ?

La façon la plus simple de répondre consiste à identifier le rôle joué par chaque partie.

### Les covered entities

Au sens du HIPAA, une covered entity est l'une des trois entités suivantes :

- Un établissement de santé qui transmet des informations de santé par voie électronique dans le cadre de transactions couvertes (la plupart des cliniques, hôpitaux, dentistes, thérapeutes, laboratoires).
- Un organisme d'assurance santé (assureurs, HMO, régimes de santé d'entreprise, programmes publics).
- Une chambre de compensation de données de santé (entités qui convertissent les données de santé d'un format à un autre).

Les covered entities doivent mettre en place un BAA avec chaque business associate avant tout transfert de PHI.

### Les business associates

Un business associate est toute personne ou organisation, autre qu'un membre du personnel de la covered entity, qui exécute des fonctions ou des services impliquant des PHI pour le compte de la covered entity. Exemples courants :

- Les fournisseurs d'hébergement et de stockage cloud qui conservent des PHI (par exemple une plateforme cloud éligible HIPAA).
- Les sociétés de facturation et de codage médical et les prestataires du cycle de revenus.
- Les services de transcription médicale.
- Les prestataires d'analyse et de reporting qui traitent des PHI pour produire des analyses.
- Les plateformes de signature électronique utilisées pour signer des documents contenant des PHI.
- Les logiciels de gestion et de revue de contrats qui ingèrent des accords ou des dossiers contenant des PHI.
- Le support informatique, les éditeurs de DSE (dossiers de santé électroniques), les logiciels de gestion de cabinet, les sociétés de destruction de documents, ainsi que les comptables ou avocats qui manipulent des PHI.

Les cabinets médicaux et les employeurs en groupe sont soumis à la même obligation vis-à-vis de leurs propres prestataires, ce que nous détaillons dans notre guide sur le [logiciel de gestion des contrats de médecins](https://contracko.com/blog/physician-contract-management-software).

### Les sous-traitants

Un business associate qui transmet des PHI à son propre prestataire en aval doit signer un BAA avec ce sous-traitant. Le sous-traitant est lui-même un business associate au sens du HIPAA, et la chaîne d'obligations doit se propager jusqu'au bout. Un prestataire d'analyse cloud qui recourt à un fournisseur d'entrepôt de données distinct, par exemple, a besoin d'un BAA avec ce fournisseur d'entrepôt. Ce mécanisme de répercussion reflète la manière dont le RGPD traite les sous-traitants, que nous abordons dans [la gestion des sous-traitants ultérieurs sous le RGPD](https://contracko.com/blog/subprocessor-management-under-gdpr).

### L'exception du simple intermédiaire (conduit)

Tout prestataire qui s'approche des PHI n'a pas pour autant besoin d'un BAA. L'exception du simple intermédiaire (conduit exception) couvre les organisations qui se contentent de transporter les données sans y accéder de façon régulière, comme la poste, les coursiers ou un fournisseur d'accès internet agissant uniquement comme tuyau de transmission. Le critère oppose la transmission transitoire à l'accès ou au stockage persistant. Un coursier livrant des dossiers scellés est un simple intermédiaire. Un fournisseur cloud qui stocke ces dossiers est un business associate, même s'il ne les lit jamais, car il conserve les données.

En cas de doute, partez du principe qu'un BAA est nécessaire. L'exception est étroite.

## Ce que le HIPAA exige dans un BAA

La HIPAA Privacy Rule, à l'article 45 CFR §164.504(e), énonce les clauses que doit contenir un BAA conforme. La Security Rule et le HITECH Act ajoutent des obligations pour les PHI électroniques (ePHI) et la notification des violations. Voici ce que signifie en pratique chaque élément obligatoire.

| Clause obligatoire | Ce que cela signifie concrètement |
| --- | --- |
| Utilisations et divulgations autorisées et requises | Le contrat doit définir précisément comment le business associate peut utiliser ou divulguer les PHI, et limiter cela à ce que l'accord et la loi autorisent. |
| Aucune autre utilisation ou divulgation | Le business associate ne peut pas utiliser les PHI au-delà des termes du contrat ni d'une manière qui violerait la Privacy Rule si la covered entity le faisait. |
| Mesures de protection appropriées | Le business associate doit mettre en œuvre des mesures de protection pour prévenir toute utilisation ou divulgation non autorisée, y compris les protections administratives, physiques et techniques de la Security Rule pour les ePHI. |
| Signalement des violations et incidents | Le business associate doit signaler à la covered entity les incidents de sécurité, les violations de PHI non sécurisées et toute utilisation ou divulgation non autorisée, dans des délais définis. |
| Répercussion sur les sous-traitants | Le business associate doit s'assurer que tout sous-traitant manipulant des PHI accepte les mêmes restrictions et conditions, via son propre BAA. |
| Droits des personnes | Le business associate doit appuyer les obligations de la covered entity de donner aux personnes l'accès à leurs PHI, d'effectuer des rectifications et de fournir un relevé des divulgations. |
| Restitution ou destruction à la fin du contrat | À la résiliation, le business associate doit restituer ou détruire toutes les PHI lorsque c'est faisable, et étendre les protections à toute PHI qu'il ne peut ni restituer ni détruire. |
| Mise à disposition des dossiers au HHS | Le business associate doit mettre ses pratiques internes, livres et dossiers à la disposition du Department of Health and Human Services à des fins de contrôle de conformité. |
| Résiliation en cas de manquement | La covered entity doit pouvoir résilier le contrat si le business associate l'enfreint de manière substantielle. |

Quelques-uns de ces points méritent une attention particulière.

Mesures de protection et Security Rule. Pour les ePHI, l'expression « mesures de protection appropriées » n'a rien de vague. Le business associate est directement tenu de se conformer aux exigences de protection administratives, physiques et techniques de la Security Rule. Le BAA doit y faire référence plutôt que de le laisser sous-entendu.

Notification des violations. Sous le HITECH, les violations de PHI non sécurisées déclenchent des obligations de notification. Le business associate doit prévenir la covered entity afin qu'elle puisse respecter ses propres délais (notification aux personnes concernées sans retard injustifié et au plus tard 60 jours après la découverte). Le BAA doit fixer précisément la rapidité avec laquelle le business associate doit informer la covered entity, car ce délai déclenche celui de la covered entity.

Restitution ou destruction. Cette clause est fréquemment absente ou affaiblie. Le contrat doit être explicite sur le sort des PHI à la fin de la relation, y compris les sauvegardes et les archives.

## Clauses clés à examiner avant de signer

Les exigences du §164.504(e) constituent le socle minimal. Ce sont les conditions commerciales qui les entourent qui déterminent le risque réel que vous portez. Lisez ces points attentivement.

- Délai de notification des violations. Un BAA conforme doit imposer un signalement, mais « sans retard injustifié » n'est pas une échéance. Exigez un chiffre concret. De nombreux BAA bien rédigés imposent une notification dans les 24 à 72 heures suivant la découverte d'une violation confirmée. Plus la fenêtre est longue, moins il reste de temps pour respecter l'obligation des 60 jours.
- Indemnisation. Le prestataire vous indemnise-t-il pour les pertes causées par sa violation, y compris les sanctions réglementaires, les coûts de notification et la surveillance du crédit ? Une indemnisation unilatérale ou absente fait peser les conséquences financières sur la covered entity.
- Plafonds de responsabilité face au risque HIPAA. Méfiez-vous d'un plafond de responsabilité fixé, par exemple, aux 12 derniers mois d'honoraires. Une seule violation portant sur de multiples dossiers peut coûter bien plus en amendes, notification et remédiation. Le plafond doit être dimensionné au risque sur les données, et pas seulement à la valeur du contrat, et la responsabilité liée aux violations est souvent entièrement exclue du plafond.
- Droits d'audit et d'évaluation. Pouvez-vous demander le rapport SOC 2 du prestataire, ses réponses à un questionnaire de sécurité ou des preuves de ses mesures de protection ? Les bons BAA accordent des droits d'audit ou d'évaluation, de sorte que la confiance soit vérifiable, et non supposée.
- Localisation des données et sous-traitants ultérieurs. Où les PHI sont-elles stockées et traitées, et quels sous-traitants en aval y accèdent ? Un stockage transfrontalier et une liste de sous-traitants non divulguée sont de vrais risques. Exigez un droit d'information et d'approbation pour tout nouveau sous-traitant.
- Assurance. Le prestataire dispose-t-il d'une assurance responsabilité cyber avec des plafonds suffisants ? Une indemnisation solide ne vaut que par la capacité du prestataire à la payer.

Ces clauses recoupent les conditions de traitement des données que de nombreux prestataires maintiennent déjà. Notre [bibliothèque de clauses de traitement des données](https://contracko.com/clause-library/data-processing) montre comment les mêmes protections sont rédigées du côté du RGPD.

## Erreurs courantes et signaux d'alerte sur les BAA

- Pas de BAA avec les sous-traitants. Un business associate qui partage des PHI en aval sans BAA rompt la chaîne et s'expose directement.
- Délais de notification vagues ou absents. Des termes comme « rapidement » ou « dès que possible » sans chiffre empêchent les deux parties de s'organiser autour de leurs propres échéances.
- Absence de clause de restitution ou de destruction. Des PHI qui subsistent indéfiniment dans les systèmes d'un ancien prestataire constituent une responsabilité permanente.
- Traiter un simple intermédiaire comme un business associate, ou l'inverse. Imposer un BAA à un pur intermédiaire est une perte d'effort. L'erreur la plus dangereuse est l'inverse : supposer qu'un fournisseur de stockage cloud ou de logiciel est un simple intermédiaire alors qu'il conserve effectivement des PHI et a besoin d'un BAA.
- Se fier à une acceptation en ligne sans BAA signé. Certains prestataires traitent des PHI sous des conditions générales standard, sans aucun BAA signé. S'ils manipulent des PHI, c'est une lacune.
- BAA obsolètes. Des accords signés il y a des années peuvent être antérieurs au HITECH et à l'Omnibus Rule. Des modèles anciens peuvent manquer de clauses obligatoires. Un [rappel de contrat de santé](https://contracko.com/contract-reminder-tools/healthcare-contract-reminder) à la date de revue de chaque BAA évite que cela passe inaperçu.
- Croire que le BAA suffit. Un BAA signé est nécessaire, mais il ne rend pas à lui seul l'une ou l'autre partie conforme au HIPAA. Les mesures de protection doivent rester réelles.

## Checklist de revue d'un BAA

Avant de signer, vérifiez que l'accord couvre chacun de ces points. Vous pouvez aussi [faire analyser votre BAA par notre outil gratuit de revue de BAA par IA](https://contracko.com/tools/business-associate-agreement-review) pour repérer automatiquement les clauses manquantes et les dispositions faibles.

- Les parties et les rôles sont correctement identifiés (covered entity, business associate, sous-traitant).
- Les utilisations et divulgations autorisées et requises des PHI sont clairement définies et limitées.
- Une restriction « aucune autre utilisation ou divulgation » est présente.
- Des mesures de protection appropriées sont exigées, avec une référence explicite à la conformité à la Security Rule pour les ePHI.
- Le signalement des violations et des incidents de sécurité est exigé, avec un délai concret (idéalement 24 à 72 heures).
- Les obligations de répercussion sur les sous-traitants imposent des BAA en aval.
- L'appui aux droits des personnes (accès, rectification et relevé des divulgations) est traité.
- La restitution ou la destruction des PHI à la résiliation est précisée, y compris les sauvegardes.
- Les dossiers sont mis à la disposition du HHS à des fins de contrôle de conformité.
- La résiliation pour manquement substantiel est ouverte à la covered entity.
- L'indemnisation couvre les violations du prestataire, y compris les sanctions et les coûts de notification.
- Les plafonds de responsabilité sont dimensionnés au risque sur les données, avec une exclusion de la responsabilité liée aux violations le cas échéant.
- Des droits d'audit ou d'évaluation sont accordés (SOC 2, preuves de sécurité).
- La localisation des données et la divulgation des sous-traitants ultérieurs, avec un droit d'approbation pour les nouveaux sous-traitants.
- Les exigences en matière d'assurance responsabilité cyber sont indiquées.
- Un rappel de renouvellement ou de revue est programmé pour que le BAA ne devienne pas obsolète.

## Questions fréquentes

### Un BAA est-il légalement obligatoire ?

Oui. Si une covered entity partage des PHI avec un prestataire qui répond à la définition d'un business associate, le HIPAA exige un BAA écrit avant toute divulgation de PHI. Il en va de même entre un business associate et ses sous-traitants.

### Que se passe-t-il sans BAA ?

Partager des PHI sans le BAA requis constitue en soi une violation du HIPAA, indépendamment de toute fuite de données. L'Office for Civil Rights a transigé des affaires pour des centaines de milliers à des millions de dollars dont le manquement central était un BAA absent ou insuffisant. Les deux parties peuvent faire l'objet de poursuites.

### Un BAA nous rend-il conformes au HIPAA ?

Non. Un BAA signé est un élément de conformité requis, mais c'est un contrat, pas un contrôle. Les mesures de protection doivent tout de même être mises en œuvre, le personnel formé, une analyse de risque menée, et les engagements de l'accord réellement tenus. Le BAA est l'engagement ; le programme de sécurité est ce qui le fait tenir.

### BAA contre DPA : quelle différence ?

Un BAA est propre au HIPAA et aux PHI aux États-Unis. Un contrat de sous-traitance, ou accord de traitement des données (DPA), est l'instrument équivalent sous le RGPD de l'UE et du Royaume-Uni, qui encadre la manière dont un sous-traitant traite des données personnelles pour le compte d'un responsable de traitement. Ils remplissent une fonction de pont similaire mais relèvent de lois différentes, définissent des rôles différents (covered entity et business associate contre responsable de traitement et sous-traitant) et imposent des clauses différentes. En France, l'hébergement de données de santé ajoute la certification HDS (Hébergeur de Données de Santé), et la CNIL veille au respect du RGPD. Une organisation opérant sous les deux régimes peut avoir besoin des deux instruments. Pour le volet RGPD, voyez [ce qu'est un accord de traitement des données](https://contracko.com/blog/what-is-a-data-processing-agreement) et programmez des [rappels de renouvellement de DPA](https://contracko.com/contract-reminder-tools/data-processing-agreement-reminder) pour que l'accord équivalent n'expire pas non plus.

### Avons-nous besoin d'un BAA avec notre fournisseur cloud ou logiciel ?

Si le fournisseur crée, reçoit, conserve ou transmet des PHI pour votre compte, oui, même s'il ne consulte jamais les données. Un fournisseur cloud éligible HIPAA, un DSE, un système de facturation, un outil de signature électronique ou une plateforme de contrats qui stocke des PHI est un business associate. Un pur intermédiaire de transmission qui ne stocke jamais les données de façon persistante peut relever de l'exception du simple intermédiaire, mais considérez ce cas comme rare.

### À quelle fréquence faut-il revoir nos BAA ?

Revoyez les BAA au renouvellement, chaque fois qu'un prestataire modifie substantiellement sa manière de manipuler les PHI, et après toute mise à jour réglementaire. Maintenir un inventaire à jour de chaque BAA, avec dates de renouvellement et rappels, est l'un des moyens les plus efficaces d'éviter un accord obsolète ou manquant.

## Faites réviser vos BAA

Un business associate agreement n'est protecteur que s'il contient effectivement les clauses obligatoires et que les conditions commerciales tiennent la route. Des clauses manquantes, des délais de notification vagues et des plafonds de responsabilité qui ignorent le coût réel d'une violation sont faciles à laisser passer dans un cycle de revue chargé.

Contracko aide les équipes de santé à repérer ces lacunes. Passez n'importe quel accord dans notre [outil gratuit de revue de BAA par IA](https://contracko.com/tools/business-associate-agreement-review) pour faire ressortir les clauses §164.504(e) manquantes et les dispositions faibles, utilisez l'[outil de revue de contrats de santé](https://contracko.com/tools/healthcare-contract-review) plus large pour les accords avec les prestataires et les accords cliniques, et programmez des [rappels de renouvellement et de DPA](https://contracko.com/contract-reminder-tools/data-processing-agreement-reminder) pour que rien n'expire à votre insu. Découvrez comment cela s'intègre au reste de votre dispositif sur notre [page secteur santé](https://contracko.com/industries/healthcare).

> Rappel : ce guide fournit des informations générales et ne constitue pas un avis juridique. Consultez un conseil qualifié pour votre situation particulière.

Les images de cet article ont été générées à l'aide de l'IA.

## Lancez-vous avec Contracko

Débarrassez-vous des tracas de la gestion des contrats et des abonnements. Contracko vous permet de rester organisé, ponctuel et maître de la situation. Commencez à simplifier dès aujourd'hui.

[Démarrer l'essai gratuit de 7 jours](https://app.contracko.com/register?appLanguage=fr)

Réserver une démo
