Fonctionnalités Tarifs Référence API

Business Associate Agreement (BAA)

v1.0 -- En vigueur mars 2026

Morlivo s'engage à protéger les informations de santé protégées (PHI) conformément à la loi sur la portabilité et la responsabilité en matière d'assurance maladie de 1996 (HIPAA), telle que modifiée par la loi HITECH. Le présent Business Associate Agreement régit la relation entre Morlivo (« partenaire commercial ») et nos clients (« entité couverte ») en ce qui concerne le traitement des PHI.

1. Portée et objectif

Le présent Business Associate Agreement (« BAA ») complète et fait partie intégrante du contrat de service entre l'entité couverte et le partenaire commercial. Il établit les conditions dans lesquelles le partenaire commercial peut créer, recevoir, maintenir ou transmettre des informations de santé protégées (« PHI ») pour le compte de l'entité couverte dans le cadre des services de traduction, de transcription et de traitement linguistique fournis par Morlivo (les « services »).

Les parties reconnaissent que le partenaire commercial peut accéder aux PHI, les utiliser ou les divulguer dans le cadre de la fourniture des services, et ce BAA définit les obligations du partenaire commercial en ce qui concerne ces PHI conformément aux dispositions applicables de la HIPAA, de la loi HITECH et de leurs règlements d'application (collectivement, les « règles HIPAA »).

2. Utilisations et divulgations autorisées

Le partenaire commercial peut utiliser ou divulguer les PHI uniquement :

  • Dans la mesure nécessaire à l'exécution des services décrits dans le contrat de service sous-jacent
  • Comme l'exige la loi, y compris, mais sans s'y limiter, les divulgations requises par le secrétaire du département américain de la Santé et des Services sociaux
  • Pour la bonne gestion et l'administration du partenaire commercial, à condition que toute divulgation soit exigée par la loi ou que le partenaire commercial obtienne des assurances raisonnables de tout tiers que les informations seront traitées de manière confidentielle
  • Pour fournir des services d'agrégation de données relatifs aux opérations de soins de santé de l'entité couverte, si expressément autorisé dans le contrat de service

Le partenaire commercial ne doit pas utiliser ou divulguer les PHI d'une manière qui violerait les règles HIPAA si elle était effectuée par l'entité couverte, sauf dans les cas expressément autorisés par ce BAA. Le partenaire commercial ne doit pas utiliser les PHI à des fins de marketing, vendre des PHI ou utiliser des PHI à des fins de souscription.

3. Mesures de protection

Le partenaire commercial doit mettre en œuvre et maintenir des mesures de protection administratives, physiques et techniques qui protègent raisonnablement et adéquatement la confidentialité, l'intégrité et la disponibilité des PHI, y compris les PHI électroniques (ePHI), comme l'exige la règle de sécurité HIPAA. Ces mesures de protection comprennent, sans s'y limiter :

  • Chiffrement des ePHI au repos avec AES-256 et en transit avec TLS 1.2 ou supérieur
  • Contrôles d'accès basés sur les rôles limitant l'accès aux PHI au personnel autorisé uniquement
  • Journalisation complète de tous les accès et modifications des PHI
  • Évaluations régulières des risques et analyses de vulnérabilités
  • Formation du personnel aux exigences HIPAA et à la sensibilisation à la sécurité
  • Procédures d'élimination sécurisée des PHI qui ne sont plus nécessaires aux services

Le partenaire commercial doit s'assurer que tout agent, y compris les sous-traitants, à qui il fournit des PHI accepte les mêmes restrictions et conditions qui s'appliquent au partenaire commercial en vertu de ce BAA, conformément au 45 CFR § 164.502(e)(1)(ii).

4. Notification de violation

Le partenaire commercial doit signaler à l'entité couverte toute utilisation ou divulgation de PHI non autorisée par ce BAA dont il a connaissance, y compris toute violation de PHI non sécurisées telle que définie au 45 CFR § 164.402. Le partenaire commercial doit fournir cette notification sans délai excessif et au plus tard trente (30) jours civils après la découverte de la violation.

La notification doit inclure, dans la mesure du possible :

  • Identification de chaque individu dont les PHI non sécurisées ont été, ou sont raisonnablement supposées avoir été, consultées, acquises, utilisées ou divulguées
  • Une description de la nature de la violation, y compris les types de PHI concernés
  • La date de la violation et la date de sa découverte
  • Une description des mesures prises par le partenaire commercial pour enquêter sur la violation, en atténuer les effets et prévenir de futures occurrences
  • Coordonnées des personnes pouvant fournir des détails supplémentaires

5. Durée et résiliation

Ce BAA prend effet à la date d'exécution et reste en vigueur pendant la durée du contrat de service sous-jacent, sauf résiliation anticipée conformément aux dispositions du présent document.

Chaque partie peut résilier ce BAA si elle détermine que l'autre partie a violé une clause substantielle de ce BAA. La partie non fautive doit fournir à la partie fautive un avis écrit de la violation et accorder trente (30) jours pour y remédier. Si la correction n'est pas possible, la partie non fautive peut résilier immédiatement ce BAA et le contrat de service sous-jacent.

À la résiliation, le partenaire commercial doit, au choix de l'entité couverte, restituer ou détruire toutes les PHI reçues de l'entité couverte ou créées pour son compte. Si la restitution ou la destruction n'est pas réalisable, le partenaire commercial doit étendre les protections de ce BAA à ces PHI et limiter les utilisations et divulgations ultérieures aux fins qui rendent la restitution ou la destruction irréalisable.

6. Obligations de l'entité couverte

  • L'entité couverte doit informer le partenaire commercial de toute limitation dans son avis relatif aux pratiques de confidentialité susceptible d'affecter l'utilisation ou la divulgation des PHI par le partenaire commercial
  • L'entité couverte doit informer le partenaire commercial de tout changement ou révocation de l'autorisation d'un individu d'utiliser ou de divulguer des PHI, dans la mesure où ces changements peuvent affecter les utilisations et divulgations autorisées du partenaire commercial
  • L'entité couverte ne doit pas demander au partenaire commercial d'utiliser ou de divulguer des PHI d'une manière qui violerait les règles HIPAA

7. Dispositions diverses

Ce BAA est régi et interprété conformément au droit fédéral applicable, y compris les règles HIPAA. Toute ambiguïté dans ce BAA doit être interprétée de manière à permettre la conformité avec les règles HIPAA. Ce BAA constitue l'intégralité de l'accord entre les parties concernant l'objet du présent document et remplace tous les accords antérieurs, écrits ou oraux, relatifs au même objet.

Demander un BAA

Pour demander un Business Associate Agreement, contactez notre équipe de conformité. Nous travaillerons avec vous pour mettre en place un BAA adapté aux besoins de votre organisation.

Contacter l'équipe de conformité Télécharger le modèle BAA