Avis de non-responsabilité
Le présent guide est fourni à titre informatif uniquement. Les informations ou recommandations qui y sont mentionnées n'ont pas vocation à constituer des conseils juridiques. Il appartient à chaque client d'évaluer indépendamment sa propre utilisation des services de manière appropriée afin de s'acquitter de ses obligations légales en matière de conformité.
Audience cible
La solution Identity Platform deGoogle Cloudpermet aux clients soumis aux exigences de la loi américaine HIPAA (Health Insurance Portability and Accountability Act, telle qu'elle a été amendée, y compris par la loi HITECH, Health Information Technology for Economic and Clinical Health) de s'y conformer si la plate-forme est correctement utilisée. Le présent guide s'adresse aux responsables de la sécurité, aux responsables de la conformité, aux administrateurs IT et aux autres employés responsables de la mise en œuvre de la conformité vis-à-vis de la loi HIPAA par le biais de la solution Identity Platform de Google Cloud.
Selon la loi HIPAA, certains renseignements liés à la santé d'une personne ou aux services de soins de santé qui lui sont prodigués sont classés en tant que données de santé protégées. Les clients Google Cloudqui sont soumis à cette loi et qui souhaitent utiliser Google Cloud ou Identity Platform pour traiter des données de santé protégées doivent signer un accord de partenariat avec Google.
Il revient aux clientsGoogle Cloud de déterminer s'ils sont soumis aux exigences de la loi HIPAA et s'ils utilisent ou ont l'intention d'utiliser les services Google en association avec des données de santé protégées. Les clients n'ayant pas signé d'accord de partenariat avec Google ne doivent pas utiliser les services Google en rapport avec des données de santé protégées.
Le service Identity Platform
Le service Identity Platform deGoogle Cloudest une solution IDaaS (Identity as a Service) qui fournit une infrastructure basée sur le cloud permettant d'ajouter des fonctionnalités d'identité à des applications ou à des services. Le service Identity Platform propose une base de données/un annuaire utilisateur et des API d'authentification cloud qui permettent de réduire les frais généraux liés au développement et à la gestion des identités pour votre application.
Nous vous recommandons de stocker uniquement les données minimales requises pour fournir une authentification et une autorisation pour votre application ou service. Lorsque vous créez un utilisateur dans la base de données Identity Platform, le seul attribut obligatoire est une adresse e-mail (pour une authentification par e-mail/mot de passe) ou un numéro de téléphone (pour une authentification par téléphone).
Bien qu'Identity Platform accepte des attributs facultatifs supplémentaires, y compris un nom à afficher et l'URL d'une photo, ainsi que la possibilité d'ajouter des attributs personnalisés/revendications à un objet utilisateur, les données de santé protégées ne doivent être stockées dans aucun de ces attributs. Si vous devez stocker des données de santé protégées, nous vous recommandons d'utiliser une solution de base de données à usage général dans Google Cloud, conformément aux consignes d'implémentation de Google Cloud.
Fournisseurs d'identité fédérée et connexion anonyme
Identity Platform peut être intégrée à divers fournisseurs de fédération de réseaux sociaux basés sur Internet, ainsi qu'à des normes configurables de fédération d'entreprise, telles que SAML et OpenID Connect (OIDC). Toutefois, les données de santé protégées ne doivent pas être transmises par ces fournisseurs d'identité (IdPs) à Identity Platform dans des jetons, revendications, assertions ni par aucun autre mécanisme.
La synchronisation des données de santé protégées provenant de systèmes d'identité externes vers Identity Platform n'est ni recommandée ni acceptée. Google Cloud n'émet aucune assertion ni garantie quant à leur sécurité lors du transfert ou à réception par la tierce partie.
Il est fortement déconseillé d'utiliser des comptes anonymes lors de l'interaction, de la gestion ou du stockage des données de santé protégées.
Kits de développement logiciel et bibliothèques clientes (SDK)
Identity Platform propose des kits de développement logiciel et des bibliothèques clientes qui s'exécutent en dehors du service Identity Platform. Ces SDK sont disponibles côté client (sur iOS, Android et Web) ou dans le code serveur pour les principaux langages de développement (Java, C++, Go, NodeJS, etc.).
Comme ce code s'exécute en dehors du service Identity Platform, Google Cloudn'émet aucune assertion ni garantie quant à la sécurité des informations en dehors du service Identity Platform, par exemple sur l'appareil d'un utilisateur final. Les SDK et les bibliothèques clientes ne doivent donc pas être utilisés lors des interaction avec des données protégées, ni pour leur gestion, ni pour leur stockage.
Autres ressources
Ces ressources supplémentaires peuvent vous aider à comprendre comment les services Google sont conçus dans l'optique de garantir confidentialité, intégrité et disponibilité des données.
- Conformité avec la loi HIPAA sur Google Cloud
- Livre blanc sur la sécurité de Google
- Présentation de la sécurité sur l'infrastructure de Google