Essayer Notion

Configuration HIPAA

Configuration HIPAA
Dans cet article

Cet article indique aux utilisateurs les configurations de produit nécessaires pour rendre leur espace de travail Notion conforme à la loi HIPAA. 🏥

Aller directement aux questions fréquentes

La loi Health Insurance Portability and Accountability Act (HIPAA), promulguée par le gouvernement fédéral des États-Unis en 1996, exige la protection et le traitement confidentiel des données médicales protégées (ou PHI, « Protected Health Information ») par les entités couvertes, telles que les prestataires de soins de santé, les régimes de soins médicaux et les centres d’échange de données médicales, ainsi que leurs associés.

Cet article indique aux utilisateurs les configurations de produit nécessaires pour rendre leur espace de travail Notion conforme à la loi HIPAA.

Note : l’accord de partenariat (ou BAA, pour « Business Associate Agreement ») de Notion régit la protection des données personnelles à caractère médical (PHI) stockées dans le service de Notion. Pour pouvoir signer le BAA de Notion, vous devez souscrire à notre forfait Enterprise.

Notion Calendar et les fonctionnalités de Notion Calendar ne sont pas couverts par l’accord de partenariat et ne peuvent donc pas être utilisés ou déployés d’une manière qui traite des informations de santé protégées.

En cas de conflit entre les dispositions de la présente page et celles du BAA, c’est le BAA qui prévaut.

Configurer Notion en conformité avec l’HIPAA

Mesures de protection technologiques imposées par la HIPAA

Configurations Notion compatibles

Contrôle des accès

Mettez en œuvre des politiques et des procédures techniques pour les systèmes d’information électroniques qui conservent des données médicales protégées, afin d’en réserver l’accès aux personnes ou aux programmes logiciels autorisés.

L’authentification unique (SSO) de Notion repose sur la norme SAML 2.0, qui connecte votre fournisseur d’identité (IdP) et vos espaces de travail, pour une expérience de connexion plus simple et sécurisée. Notion prend en charge les configurations SSO SAML officielles pour : Azure, Google, Gusto, Okta, OneLogin et Rippling.
Pour commencer à utiliser le SSO SAML avec Notion, effectuez les actions suivantes :


Vérifiez vos domaines : pour utiliser les fonctionnalités de sécurité avancées, vous devez vérifier la propriété de votre domaine de messagerie. Il s’agit d’un processus automatisé qui consiste à ajouter un enregistrement TXT au DNS de votre domaine, pour confirmer qu’il vous appartient.


Activez le SSO SAML : la fonctionnalité sera alors activée et sa configuration terminée. Pour plus d’informations sur la configuration du SSO SAML, consultez nos guides sur les fournisseurs d’identité (IdP).


Modifiez la méthode de connexion par défaut : lors de la première activation du SSO SAML, la méthode de connexion par défaut autorisera N’importe quelle méthode, ce qui signifie que les utilisateurs pourront se connecter via SSO SAML ou utiliser leur méthode de connexion habituelle. En sélectionnant l’option Uniquement l’authentification unique SAML, vous imposez SAML comme unique méthode de connexion à votre espace de travail pour les utilisateurs gérés disposant d’une adresse de messagerie vérifiée au sein de votre organisation.

Liez des espaces de travail supplémentaires : si vous avez plusieurs espaces pour lesquels vous souhaitez configurer le SSO, vous pouvez en faire la demande à l’adresse [email protected].

Une fois l’authentification correctement configurée, tout membre se connectant à votre ou vos espace(s) de travail devra utiliser le domaine vérifié et devra être authentifié par votre fournisseur d’identité. Les administrateurs d’espace de travail au forfait Entreprise peuvent contourner le problème en utilisant une méthode de connexion alternative en cas d’échec du protocole IdP/SSO SAML.

Identification unique des utilisateurs

Attribuez à vos utilisateurs un nom et/ou un nombre unique pour les identifier et les suivre.

Notion propose une API SCIM, qui peut être utilisée pour provisionner, gérer et déprovisionner des membres et des groupes. Les propriétaires d’espace de travail pourront trouver la clef API nécessaire dans Paramètres et membres -> Sécurité et identité -> Configuration SCIM. Il suffit ensuite de cliquer pour afficher le jeton.

Consultez notre documentation SCIM pour obtenir les toutes dernières informations sur les possibilités d’interaction avec l’API SCIM de Notion. Notion prend en charge les applications SCIM officielles avec Google, Gusto, Okta, OneLogin et Rippling.

Procédure d’accès d’urgence

Établissez des procédures permettant d’obtenir des données médicales électroniques protégées en cas de nécessité urgente, et implémentez-les chaque fois que nécessaire.

La recherche de contenu offre aux propriétaires d’espace une visibilité sur le contenu de leur espace de travail au forfait Enterprise, afin d’en améliorer la gouvernance et de résoudre les problèmes d’accès aux pages :

- Voir qui a accès à une page
- Modifier les autorisations d’une page
- Découvrir et réassigner des pages abandonnées par d’anciens employés

Vous pouvez à tout moment exporter une page Notion, une base de données ou même l’ensemble de l’espace de travail.

Déconnexion automatique

Mettez en œuvre des procédures électroniques afin de mettre fin aux sessions électroniques après une période d’inactivité déterminée.

Définir une durée de session personnalisée : pour les utilisateurs gérés d’un espace de travail au forfait Enterprise, la durée de session Notion par défaut est de 180 jours. Toutefois, les propriétaires d’espace de travail peuvent définir une durée de session personnalisée, comprise entre une heure et 180 jours.

Forcer la déconnexion des utilisateurs gérés : forcez la déconnexion d’utilisateurs spécifiques ou de tous les utilisateurs de l’espace de travail en même temps.

Forcer la réinitialisation du mot de passe : forcez la réinitialisation du mot de passe d’utilisateurs spécifiques ou de tous les utilisateurs de l’espace de travail en même temps.

Si vous déprovisionnez un utilisateur via SCIM, il sera retiré de l’espace de travail et sa session prendra fin.

Contrôles d’audit

Mettez en œuvre des mécanismes matériels, logiciels et/ou procéduraux qui enregistrent et examinent l’activité des systèmes d’information contenant ou utilisant des données électroniques protégées à caractère médical.

Les propriétaires d’espace de travail au forfait Entreprise ont accès à un journal d’audit (dans Paramètres et membres), qui répertorie différents types d’événements survenus dans l’espace de travail.

Cela peut être particulièrement utile pour identifier d’éventuels problèmes de sécurité, enquêter sur les comportements suspects et résoudre les problèmes d’accès. Vous pouvez exporter le journal d’audit de l’espace de travail au format CSV.

Les clients Enterprise peuvent également utiliser nos intégrations de partenaires concernant la prévention des pertes de données (DLP) pour découvrir, classer et protéger les données sensibles dans Notion.

Contrôles d’intégrité

Mettez en œuvre des politiques et procédures visant à prévenir toute altération ou destruction inappropriée des données électroniques protégées à caractère médical.

Mettez en œuvre des mécanismes électroniques permettant de corroborer l’absence d’altération ou de destruction non autorisée données électroniques protégées à caractère médical.

Mettez en œuvre des mesures de sécurité permettant de prévenir et de détecter les modifications inappropriées des données électroniques protégées à caractère médical transmises par voie électronique, et ce jusqu’à leur élimination.

Désactiver le partage public des pages : désactive l’option Partager sur le Web du menu « Partager » pour chaque page de cet espace de travail.

Désactiver les invités : bloque l’invitation de personnes extérieures à l’espace de travail, sur toutes les pages.

Vous n’avez pas besoin d’utiliser cette option si vous souhaitez pouvoir inviter des invités en cas de besoin, mais gardez à l’esprit que Notion ne doit pas être utilisé pour communiquer avec des patients, des assurés, ou leurs familles et employeurs. Si vous devez activer les invités, nous vous recommandons d’activer les demandes d’invités. Cela impose un processus d’approbation vous permettant d’avoir des invités dans votre espace de travail tout en garantissant la conformité HIPAA.

Désactiver le déplacement ou la copie des pages vers d’autres espaces de travail : empêche le déplacement ou la copie des pages vers d’autres espaces de travail via les actions Déplacer vers ou Dupliquer.

Désactiver l’exportation : empêche toute exportation de fichier Markdown, CSV ou PDF.

Désactiver la création d’espaces de travail : cette option empêche toute personne de créer de nouveaux espaces de travail sans autorisation.

Désactiver ou autoriser des extensions tierces : empêche quiconque d’ajouter des extensions tierces non approuvées à votre espace de travail Notion.

Désactiver l’accès à des espaces de travail externes : empêche les utilisateurs gérés de rejoindre ou d’accéder à des espaces de travail externes en dehors de votre organisation.

Authentification des personnes et entités

Mettez en œuvre des procédures permettant de vérifier l’identité d’une personne ou entité demandant l’accès à des données électroniques protégées à caractère médical.

Désactiver les modifications de profil : cette option empêche les utilisateurs gérés de modifier leurs propres informations de profil afin d’éviter les usurpations d’identité.

Gestion de domaine : le terme « domaine » désigne le domaine de messagerie associé à un compte Notion. La vérification de domaine permet aux propriétaires d’espace de travail de revendiquer la propriété d’un domaine, ce qui leur donne accès à des paramètres de gestion de domaine dans Notion.

Désactiver les invités : bloque l’invitation de personnes extérieures à l’espace de travail, sur toutes les pages.

Vous n’avez pas besoin d’utiliser cette option si vous souhaitez pouvoir inviter des invités en cas de besoin, mais gardez à l’esprit que Notion ne doit pas être utilisé pour communiquer avec des patients, des assurés, ou leurs familles et employeurs. Si vous devez activer les invités, nous vous recommandons d’activer les demandes d’invités. Cela impose un processus d’approbation vous permettant d’avoir des invités dans votre espace de travail tout en garantissant la conformité HIPAA.

Suspendre et supprimer un compte d’utilisateur géré : suspend ou supprime des comptes d’utilisateurs gérés à partir du tableau de bord de gestion des utilisateurs.

Désactiver la suppression de comptes d’utilisateurs gérés : empêche les utilisateurs gérés de supprimer leurs propres comptes.

Conservation et élimination des données

Mettez en œuvre des politiques et des procédures en matière d’élimination des PHI électroniques et/ou du matériel ou des supports électroniques sur lesquels elles sont stockées.

Il n’est pas possible de vider toute la corbeille d’un coup. Vous pouvez toutefois ouvrir la corbeille pour supprimer définitivement les pages voulues. Quand une page est supprimée de la Corbeille, elle est conservée sur les serveurs de Notion pendant 30 jours avant sa suppression définitive.

Nous conservons des sauvegardes de nos bases de données, ce qui nous permet de restaurer une version de votre contenu dans les 30 jours suivant sa suppression, si vous en avez besoin.

Sécurité des transmissions

Mettez en œuvre des mesures de sécurité technique pour empêcher l’accès non autorisé
à des données médicales électroniques protégées en cours de transmission sur un réseau de communication électronique.

Mettez en œuvre un mécanisme permettant de chiffrer données électroniques protégées à caractère médical chaque fois que nécessaire.

Chiffrement au repos : les données des clients sont chiffrées au repos à l'aide de la norme AES-256. Les données des clients sont chiffrées lorsqu'elles se trouvent sur les réseaux internes de Notion, au repos dans le stockage sur le cloud, dans les tables de base de données et dans les sauvegardes.

Chiffrement en transit : les données en transit sont chiffrées à l'aide du protocole TLS 1.2 ou d'une version supérieure.

Note : en cas d’échec du fournisseur d’identité ou du protocole SSO SAML, les administrateurs d’espace de travail au forfait Entreprise peuvent utiliser une méthode de connexion alternative.

Questions fréquentes

Quel est le coût de la conformité avec la loi HIPAA ?

La conformité à la loi HIPAA est proposée gratuitement aux clients disposant d’un forfait Entreprise avec plus de 100 membres.

Les clients doivent accepter l’accord de partenariat de Notion et utiliser Notion conformément à la loi HIPAA, au BAA et au Guide de configuration des produits HIPAA.

Pour plus d’informations, contactez notre équipe à l’adresse [email protected].

Quelles sont les limites du produit en matière de conformité à la loi HIPAA ?

  • Notion ne doit pas être utilisé pour communiquer avec des patients, des assurés, leurs familles ou leurs employeurs.

  • Les utilisateurs ne doivent pas inclure de données personnelles à caractère médical (PHI) dans les champs ou fonctionnalités qui suivent :

    • Noms d’espaces de travail ou d’organisations

    • Noms d’espaces d’équipe

    • Noms de fichiers

    • Compte/profil d’utilisateur

    • Noms de groupes d’utilisateurs

  • Les demandes d’assistance et leurs pièces jointes ne doivent pas inclure de données personnelles à caractère médical.

  • Le module complémentaire d’IA de Notion et les fonctionnalités d’IA Notion ne doivent pas être utilisés/déployés dans un espace de travail qui a signé un BAA et ces fonctionnalités ne sont pas soumises aux engagements de Notion spécifiés dans le BAA.

  • Cron et les fonctionnalités de Cron ne sont pas couverts par le BAA et ne doivent donc pas être utilisées/déployées d’une manière qui recueille ou traite des informations de santé protégées.

Les intégrations seront-elles toujours disponibles ?

Oui, les applications précédemment activées resteront activées. Les administrateurs doivent examiner les intégrations existantes utilisées pour s’assurer qu’elles sont conformes. Les administrateurs peuvent choisir de désactiver l’ajout de nouvelles intégrations non autorisées.

D’autres questions ? Envoyez un message au service client
Donner votre avis

Cette ressource vous a-t-elle été utile ?