BAA
Définition
Business Associate Agreement. Contrat de protection des données de santé requis par la HIPAA aux États-Unis. OpenAI et Anthropic en proposent pour les usages santé US.
Le contexte HIPAA
Le BAA (Business Associate Agreement) est un contrat de protection des données de santé prévu par la loi HIPAA (Health Insurance Portability and Accountability Act) aux États-Unis. Cette loi de 1996 encadre la confidentialité des données médicales américaines (PHI : Protected Health Information). Tout sous-traitant qui traite des données médicales pour le compte d'un Covered Entity (hôpital, assureur santé, médecin, plateforme santé) doit signer un BAA avant tout traitement. Sans BAA, le sous-traitant est en infraction et l'acteur santé l'est également : les amendes vont de quelques milliers à plus d'un million de dollars par violation.
Ce que contient un BAA
Un BAA couvre des engagements précis. La nature des PHI traitées et les usages autorisés. Les mesures de sécurité techniques (chiffrement au repos et en transit, contrôle d'accès, logs d'audit) et administratives (formation du personnel, contrôle des sous-traitants). L'obligation de notifier toute violation de données dans des délais courts (60 jours maximum, parfois bien moins selon le contrat). La gestion des sous-traitants (sous-BAA cascadés). Le droit d'audit du Covered Entity sur les pratiques de sécurité. Les obligations en fin de contrat : destruction ou retour des PHI. Et la conformité avec les règles HIPAA Privacy, Security et Breach Notification.
Pour qui c'est nécessaire
Si votre produit traite des données médicales pour des acteurs santé américains, le BAA est obligatoire. Concrètement : SaaS de gestion de cabinet médical, plateforme de télémédecine, outil de transcription pour médecins, agent IA pour le triage en hôpital, application mobile de suivi santé liée à un système hospitalier. Pour un produit français ou européen qui ne touche pas au marché US, le BAA n'est pas requis : on s'appuie alors sur le RGPD et ses certifications (HDS pour les données de santé en France, ISO 27001 pour la sécurité). Mais dès qu'un client américain entre dans le tableau, la question du BAA devient bloquante.
Les fournisseurs IA et le BAA
Pour bâtir des produits IA santé visant les États-Unis, il faut un fournisseur LLM qui signe un BAA. OpenAI propose un BAA sur ses offres Enterprise et certaines offres API avec engagement de volume. Anthropic propose aussi des BAA sur Claude Enterprise et certaines configurations API. AWS Bedrock, Azure OpenAI et Google Vertex AI signent également des BAA dans leurs offres entreprise. À l'inverse, les API standard gratuites ou pay-as-you-go ne sont généralement pas couvertes par un BAA, ce qui les exclut d'office pour ce type de produit. La signature d'un BAA implique souvent un commitment de volume et un onboarding commercial plus structuré.
Comment le négocier
La plupart des grands fournisseurs proposent un BAA standard non négociable, parfois signable en ligne via leur portail entreprise. Vous le lisez, vous identifiez les éventuels manques (notification trop tardive, exclusions trop larges, sous-traitants non listés), et vous demandez des avenants si c'est critique. Pour les fournisseurs plus petits, on peut souvent négocier des clauses additionnelles. On fait toujours relire le BAA par un juriste spécialisé HIPAA, surtout si on est nouveau sur ce marché. L'erreur la plus chère est de signer un BAA en pensant être protégé, alors qu'il contient des trous qui vous laissent exposé en cas de violation.
L'équivalent côté français et européen
En France et en Europe, il n'y a pas d'équivalent exact du BAA : c'est le RGPD qui encadre les données personnelles, dont les données de santé bénéficient d'une protection renforcée (article 9). Le DPA conforme RGPD joue un rôle similaire pour la chaîne de sous-traitance. À cela s'ajoutent la certification HDS (Hébergeur de Données de Santé) en France pour l'infrastructure, et ISO 27001 pour la sécurité de l'information. Pour un produit santé qui vise simultanément l'UE et les US, on combine RGPD + DPA pour l'Europe et HIPAA + BAA pour les États-Unis. Les deux régimes coexistent et leur application varie selon le pays de résidence des patients.