Un thérapeute IA est-il conforme à la loi HIPAA ? Ce qu'il faut vérifier avant de partager quoi que ce soit

La plupart des applis de thérapie par IA ne sont pas conformes à la loi HIPAA, et les rares qui le sont vous le diront en langage clair et vous remettront les documents pour le prouver. Si une appli esquive la question, traite « nous utilisons le chiffrement » comme une réponse complète, ou enterre le sujet à trois taps de profondeur, partez du principe que vos conversations ne sont pas protégées comme vous le croyez. Qu'un thérapeute IA soit conforme à la HIPAA tient à quelques éléments précis et vérifiables — pas à un badge sur la page d'accueil.

Voici la partie qui dérange. Vous pouvez déverser votre pire semaine dans une fenêtre de chat à 1 h du matin, vous sentir plus léger, et ne jamais réaliser que ces mêmes mots reposent dans un journal quelque part, rattachés à votre e-mail, et entraînent peut-être un modèle. La solution, ce n'est pas la paranoïa. C'est cinq minutes de lecture avant de faire confiance à la fenêtre.

Ce que « conforme à la HIPAA » veut dire au juste pour un thérapeute IA

La HIPAA est une loi américaine sur la confidentialité des données de santé. Elle encadre la façon dont les « entités couvertes » — médecins, cliniques, assureurs — et leurs « sous-traitants » manipulent vos informations de santé protégées. L'expression « thérapeute IA conforme HIPAA » est lancée à tort et à travers, alors clouons-la : une appli n'est réellement couverte que si elle agit comme un prestataire de santé ou pour son compte, et qu'elle a signé les bons contrats pour le garantir.

Cette distinction compte plus qu'elle n'en a l'air. Un chatbot de bien-être qui se présente comme un « compagnon » ou un « coach » se situe en général entièrement hors HIPAA. Pas parce qu'il est louche, mais parce qu'il n'a jamais prétendu être un soin de santé au départ. Donc la loi sur laquelle vous comptez peut ne même pas s'appliquer à l'appli dans votre poche.

Deux choses séparent un dispositif conforme du langage marketing :

• Un contrat de sous-traitance (BAA, « Business Associate Agreement »). C'est le contrat qui lie juridiquement un prestataire à la protection de vos données de santé. Pas de BAA dans la chaîne, pas de protection HIPAA — point final.
• Des garde-fous définis. Contrôles d'accès, journaux d'audit, chiffrement, obligations de notification en cas de fuite. Des vrais, écrits noir sur blanc, pas sous-entendus par une icône de cadenas.

Mon thérapeute IA est-il conforme à la HIPAA ? Les 6 vérifications qui vous le disent vraiment

Faites-les avant de partager quoi que ce soit que vous ne diriez pas à un inconnu dans le bus.

1. Lisez ce qu'ils disent être. Cherchez sur le site et sur la fiche de la boutique d'applis les mots « HIPAA », « covered entity » (entité couverte) et « business associate » (sous-traitant). Un service conforme l'indique directement. Un vague langage de bien-être (« soutien », « développement personnel », « pas un service médical ») est lui-même une réponse — en général « non ».

2. Trouvez le chemin du BAA. Un outil de niveau clinique nommera son BAA ou expliquera comment les informations de santé protégées sont gérées contractuellement. Les applis grand public n'en proposent presque jamais aux utilisateurs individuels. Si vous ne trouvez pas le terme, traitez la réponse comme un non.

3. Ouvrez la politique de confidentialité et utilisez Ctrl-F. Cherchez « tiers », « vendre », « partager », « publicité » et « entraînement ». Si vos messages peuvent servir à entraîner des modèles ou être partagés avec des partenaires publicitaires, ça vous dit comment l'entreprise voit réellement vos données — comme un actif, pas comme une confidence.

4. Vérifiez où vivent les données et combien de temps. Cherchez une durée de conservation et une vraie option de suppression. « Nous conservons les données aussi longtemps que nécessaire » sans bouton d'arrêt veut dire que votre confession de 1 h du matin peut survivre à votre intérêt pour l'appli.

5. Regardez la connexion et le cadenas. Le chiffrement en transit (HTTPS) est le minimum vital. Le chiffrement au repos, la connexion à deux facteurs, et la possibilité d'utiliser un pseudonyme sont les signes que quelqu'un a pensé à la personne derrière le compte.

6. Trouvez le plan en cas de fuite. Les dispositifs conformes précisent ce qui se passe si des données fuient et à quelle vitesse ils vous préviendront. Le silence ici est un signal d'alerte au visage calme.

Si une appli passe une ou deux de ces vérifications et rate le reste, elle n'est pas conforme. Elle est optimiste.

Conforme à la HIPAA ou réellement confidentiel : ce n'est pas la même chose

Voici la ligne à se tatouer à l'intérieur des paupières : la conformité HIPAA n'est pas la même chose que la confidentialité. Une appli peut être parfaitement conforme et tout de même partager ou vendre légalement des données que vous n'aviez pas réalisé avoir remises, selon les consentements que vous avez cochés au fil des écrans. Et une appli peut être profondément confidentielle — données minimales, chiffrement solide, aucun partenaire publicitaire — sans être conforme HIPAA du tout, simplement parce qu'elle n'a jamais opéré comme un soin de santé.

Alors arrêtez d'employer « conforme HIPAA » comme synonyme de « sûr ». Posez deux questions distinctes. La loi couvre-t-elle ceci ? Et, indépendamment de la loi, que fait réellement cette entreprise de mes mots ? La deuxième question est celle qui vous protège un mardi ordinaire.

Pour la plupart des outils de santé mentale par IA grand public, le cadrage honnête est celui-ci : ils sont confidentiels par politique, pas par la loi. Ça peut être tout à fait correct. Ça veut juste dire que vous faites confiance aux choix et à l'ingénierie d'une entreprise plutôt qu'à un texte de loi. Décidez-le exprès, pas par accident.

Ce que ça veut dire avant de taper quoi que ce soit de réel

Accordez votre honnêteté à la protection que vous pouvez vérifier. Une règle empirique utile :

• Le détail complet (noms, les notes de votre thérapeute, des antécédents médicaux précis) n'a sa place que dans un outil dont vous avez confirmé qu'il est conforme HIPAA avec un BAA, ou dans une séance avec un humain diplômé.
• Les thèmes et les ressentis (« j'appréhende les dimanches », « ma poitrine se serre avant les réunions ») sont en général sûrs à explorer avec une appli grand public réputée dont vous avez réellement lu la politique.
• Tout ce dont une fuite vous ferait paniquer devrait vous faire faire une pause et relire d'abord cette liste.

Vous n'avez pas à choisir entre obtenir de l'aide et vous protéger. Vous devez juste savoir par quel genre de porte vous passez.

Si vous êtes en danger immédiat ou pensez à vous faire du mal, contactez maintenant le numéro d'urgence ou une ligne d'écoute de votre pays — en France, le 3114 (prévention du suicide, gratuit, 24h/24) ou le 15. C'est un moment pour un humain, pas pour une fenêtre de chat.

FAQ

Les applis de thérapie par IA sont-elles conformes à la HIPAA par défaut ?

Non. La plupart des applis grand public de thérapie et de « compagnon » par IA ne sont pas conformes à la HIPAA, et beaucoup ne sont même pas couvertes par la HIPAA parce qu'elles n'opèrent pas comme des prestataires de santé. La conformité est quelque chose qu'un service doit délibérément construire et documenter, y compris un contrat de sous-traitance (BAA). Partez du principe qu'une appli n'est pas conforme tant qu'elle ne le prouve pas par écrit.

Comment savoir si un thérapeute IA est conforme à la HIPAA ?

Cherchez une déclaration claire sur le site ou la fiche de l'appli, un contrat de sous-traitance (BAA) nommé, une politique de confidentialité qui limite le partage et la vente, une vraie politique de conservation et de suppression des données, un chiffrement en transit et au repos, et un processus annoncé de notification en cas de fuite. Si ces éléments manquent ou sont vagues, traitez-la comme non conforme. Un service réellement conforme rend ça facile à confirmer plutôt que difficile.

Une appli conforme HIPAA, c'est pareil qu'une appli confidentielle ?

Non, et les confondre est l'erreur courante. La HIPAA est un cadre juridique qui peut s'appliquer ou non ; la confidentialité, c'est ce que l'entreprise fait réellement de vos données. Une appli peut être conforme tout en partageant des données que vous avez consenti à donner, ou être très confidentielle sans être couverte par la HIPAA du tout. Vérifiez à la fois le statut juridique et les pratiques réelles concernant les données.

Qu'est-ce que je devrais éviter de dire à un chatbot IA non conforme ?

Tenez les détails très identifiants ou sensibles — nom complet, antécédents médicaux exacts, les notes d'un clinicien, tout ce qu'une fuite vous alarmerait de voir — à l'écart de toute appli que vous n'avez pas vérifiée. Partager des ressentis et des schémas généraux présente en général peu de risque avec un outil réputé. Le but, c'est d'accorder ce que vous révélez à la protection que vous avez réellement confirmée.