Pour les clients du secteur de la santé : loi HIPAA et accord de partenariat commercial (BAA)
Avec plus de 900 clients dans le secteur de la santé, nous avons parfaitement conscience que le paysage de la confidentialité et de la réglementation des données est en constante évolution, et nous tenons à vous réaffirmer notre engagement à respecter l'ensemble des lois et réglementations applicables.
Contrairement à d'autres fournisseurs avec lesquels vous avez l'habitude de travailler, Sprout Social n'est pas conçu en conformité avec la loi HIPAA. Sans Guardian, et en accord avec nos réseaux sociaux partenaires, Sprout Social Conditions d'utilisation de Sprout Social interdisent aux clients de partager, collecter, transmettre ou stocker des informations sensibles, y compris des informations de santé protégées (PHI) via la plateforme.
Sprout Social est entièrement hébergé dans le cloud : la plateforme n'a pas accès à votre réseau local et ne se connecte à aucun système de dossiers médicaux électroniques. L'ensemble des données traitées par le biais de Sprout Social sont chiffrées à la fois en transit et au repos. Sprout Social doit être considéré comme sous-traitant des données, élargissant les fonctionnalités des réseaux sociaux natifs pour centraliser les interactions avec vos clients.
Nous prenons très au sérieux cette responsabilité ainsi que notre engagement envers nos partenaires de réseaux sociaux.
Comment la fonctionnalité Guardian change-t-elle la collecte de données PHI ?
Développé par Sprout Social, Guardian est un produit complémentaire qui permet aux clients de collecter des informations de santé protégées (PHI) en toute sécurité auprès d'un fournisseur tiers agréé par le biais de formulaires sécurisés.
Toutes les données traitées par notre fournisseur tiers sont chiffrées en transit et au repos.
Spécialement conçue pour nos clients du secteur de la santé, cette fonctionnalité leur permet d'interagir efficacement et sans accroc sur les réseaux sociaux tout en réduisant considérablement les risques, car les données sensibles ne sont jamais transmises ni stockées par Sprout Social ou ses partenaires réseau.
Sans Guardian, pourquoi Sprout Social interdit-il les données sensibles, telles que les informations de santé protégées (PHI), directement sur sa plateforme ?
Les réseaux sociaux ne sont pas conçus pour être conformes aux lois régissant les PHI et autres données sensibles. À notre connaissance, les réseaux sociaux ne signent aucun BAA et leurs conditions d’utilisation déclinent toute responsabilité quant audit contenu sur leurs plateformes. À ce titre, nos accords de partenariat avec les réseaux sociaux nous contraignent à interdire le traitement d’informations sensibles, y compris les PHI, sur notre plateforme.
À l'instar de Sprout Social, nos concurrents dans le domaine de la gestion des réseaux sociaux interdisent également à leurs clients de traiter les informations sensibles, y compris les PHI, sur leurs plateformes. En fin de compte, les acteurs du secteur des réseaux sociaux s'accordent à dire que ces plateformes ne sont pas une tribune appropriée pour collecter directement des données sensibles telles que les PHI.
Quelle est la position de Sprout concernant la loi HIPAA et la signature d’accords de partenariat commercial (BAA) ?
Au début de l'année 2023, Sprout Social a formé une équipe dédiée aux comptes du secteur de la santé afin de mieux comprendre et gérer les difficultés auxquelles sont confrontés les principaux systèmes de santé. Ce faisant, nous avons constaté que nos clients du secteur de la santé rencontrent des difficultés à gérer l'intersection entre les réseaux sociaux et la réglementation HIPAA, le Bulletin publié en décembre 2022 par l'OCR concernant les technologies de suivi, ainsi que les obligations imposées par les équipes de sécurité et de confidentialité en matière d'accords BAA.
Après cet examen, nous avons commencé à proposer un BAA pour prendre en compte la mise en ligne involontaire de données PHI par un utilisateur des réseaux sociaux. Et, en 2025, nous avons étendu notre offre de produits Formulaires sécurisés de Guardian afin de prendre en charge les PHI. Ceci a été rendu possible grâce à un BAA mis à jour qui définit la relation entre les clients, Sprout et notre fournisseur tiers sécurisé (avec lequel Sprout a signé un Accord de Sous-traitance de Partenaire Commercial, ou BASA).
En rappelant aux utilisateurs de vos réseaux sociaux qu'ils ne doivent pas partager directement d'informations sensibles sur ces plateformes, et en utilisant les Formulaires sécurisés de Guardian (y compris en signant un BAA avec Sprout si vous souhaitez collecter des données PHI par le biais de Formulaires sécurisés), vous pouvez réduire considérablement les risques pour vos utilisateurs, tout en renforçant leur confiance.
- Objectif du BAA personnalisé : le BAA est adapté à la nature et au profil de risque limité des principaux services de Sprout Social. Il est utilisé en cas de téléchargement involontaire de PHI par un utilisateur des réseaux sociaux que votre organisation ne peut pas contrôler. Il offre une couverture et des procédures claires pour gérer cette exposition rare et accidentelle.
- BAA et Formulaires sécurisés Guardian : les dispositions de ce BAA personnalisé concernant les informations de santé protégées (PHI) transmises de façon involontaire ne s'appliquent pas aux données envoyées par le biais de Formulaires sécurisés. Étant donné que les Formulaires sécurisés s'appuient sur un fournisseur tiers distinct et sécurisé, et que le traitement des données est indépendant de la plateforme Sprout Social, le risque d'exposition involontaire des données PHI à Sprout Social est éliminé dans ce flux de travail spécifique.
Quels sont les types de données traitées par Sprout Social ?
La grande majorité des données traitées par Sprout Social sont déjà accessibles au public. En tant que sous-traitant, Sprout Social extrait des informations des comptes de médias sociaux que vous choisissez de connecter à notre plateforme. Cela signifie que les informations que vous partagez avec Sprout Social existent déjà sur vos comptes de médias sociaux. Pour plus d'informations sur les données traitées par Sprout Social et les données reçues des réseaux sociaux, veuillez télécharger notre Engagement en matière de protection des données ici.
Comment pouvons-nous utiliser Sprout Social en toute sécurité en tant qu’organisme de soins de santé ?
Pour aider les clients du secteur de la santé à respecter leurs obligations en matière de conformité, nous avons élaboré plusieurs méthodes et configurations de produits (décrites ci-dessous) qui limitent la probabilité de recevoir des informations sensibles telles que des PHI sur les réseaux sociaux. Nos équipes de vente et d’ingénierie des solutions sont disponibles pour discuter de chaque option en détail au cours du processus de passation de contrats. Nos équipes d’assistance et d’intégration peuvent également vous aider à activer ces options lors de l’intégration.
- Formulaires sécurisés (via Guardian) — les Formulaires sécurisés permettent aux clients de recueillir les données PHI nécessaires directement auprès des utilisateurs en s'appuyant sur une plateforme tierce sécurisée. Ces informations ne sont jamais traitées ni conservées par la plateforme Sprout Social.
- BAA – Signez un BAA avec Sprout (soit pour couvrir le partage involontaire de PHI par vos utilisateurs, soit pour le partage prévu par le biais des Formulaires Sécurisés)
- Clause de non-responsabilité pour les profils : les clients peuvent ajouter une clause de non-responsabilité à leurs profils sociaux pour demander aux utilisateurs des médias sociaux de s’abstenir de partager des informations médicales et pour les rediriger vers les ressources pouvant recueillir ces informations.
- Clauses de non-responsabilité pour les messages directs : de même, les clients peuvent ajouter une clause de non-responsabilité qui s'affiche automatiquement lorsque les utilisateurs de médias sociaux commencent à rédiger un message direct sur leur profil. Voici un exemple de clause de non-responsabilité : « Merci de nous avoir contactés. Veuillez noter que nous ne sommes pas en mesure de répondre aux questions médicales ou de fournir des conseils médicaux par le biais des médias sociaux. Nous répondrons à toute autre question dans les plus brefs délais. »
- Chatbots : notre plateforme fournit un outil de création de chatbot qui peut rediriger les utilisateurs de médias sociaux vers une adresse e-mail ou un autre canal sécurisé pour les conversations d'ordre médical.
- Smart Inbox : notre Smart Inbox peut être configurée pour étiqueter automatiquement les messages susceptibles de contenir des informations médicales et les acheminer vers un dossier à des fins d'examen et de suppression.
- Rôles et autorisations : les clients peuvent désigner des rôles et des autorisations d’utilisateur pour restreindre l’accès aux profils et aux dossiers d'étiquettes, ou pour empêcher les utilisateurs de répondre aux messages des clients.
- Réponses enregistrées : les clients peuvent enregistrer des réponses pré-rédigées qui peuvent être utilisées pour répondre rapidement aux clients et rediriger la conversation vers un canal sécurisé dédié aux conversations d'ordre médical.
Questions fréquentes
Sprout Social se connecte-t-il à notre réseau local ou à l’un de nos autres systèmes ?
Non, Sprout Social est entièrement hébergé dans le cloud sur Amazon Web Services (AWS) et n'a pas accès à votre réseau local.
Sprout Social chiffre-t-il les données qu’il reçoit et transmet ?
Oui, toutes les données sont stockées mélangées, séparées logiquement et chiffrées au repos à l’aide d’AES-256 ou supérieur, y compris les sauvegardes. Toutes les communications sur les réseaux publics avec l'application et l'API Sprout Social utilisent le protocole HTTPS avec TLS 1.2 ou supérieur.
Comment Sprout Social stocke-t-il et conserve-t-il les données ?
En vertu de la politique de conservation des données de Sprout Social, nous pouvons être amenés à conserver les données des clients pendant une période de 13 mois à compter de la date d'annulation à des fins de réactivation du compte. Les clients peuvent supprimer les données en libre-service au sein de la plateforme. Après résiliation, Sprout Social supprimera rapidement les données du client sur demande écrite. L'ensemble des données transmises par le biais des Formulaires sécurisés de Guardian sont conservées dans un stockage tiers sécurisé. Sprout Social n'accède jamais à ces informations, ne les visualise pas et ne les conserve pas.
Où puis-je trouver des informations sur les normes de sécurité de Sprout Social ?
Des informations détaillées sur nos normes de sécurité sont disponibles ici. Des informations sur nos certifications de sécurité sont disponibles dans notre centre de confiance.. Enfin, notre DPA comprend notre annexe sur la sécurité standard qui est intégrée à tous les contrats clients.
Sprout collecte-t-il les adresses IP des utilisateurs de médias sociaux ?
Non, les réseaux sociaux ne nous communiquent aucune adresse IP d'utilisateur des médias sociaux. Si nous traitons un message sur les réseaux sociaux de l’un de vos patients ou clients, nous ne recevrons, ne traiterons, ni ne stockerons son adresse IP. Comme pour la plupart des applications basées sur le cloud, nous recevons les adresses IP des personnes qui se connectent à la plateforme Sprout Social avec des identifiants Sprout Social (c’est-à-dire les membres de votre équipe de gestion des médias sociaux).
Les formulaires sécurisés Guardian sont-ils conformes à la loi HIPAA ?
Sprout Social ne peut pas conseiller ses clients en matière de conformité légale. Cependant, nous avons mené un examen approfondi de notre fournisseur de formulaires sécurisés en utilisant l'outil d'évaluation des risques de sécurité (SRA) proposé par le Bureau des droits civils (OCR) du Département américain de la Santé et des Services sociaux. Ce cadre nous a permis d'évaluer les contrôles de sécurité du fournisseur et de garantir que la solution prend en charge les normes de conformité relatives à la loi HIPAA.