Zoom est-il conforme HIPAA ? Ce que les équipes de santé doivent savoir

Ceci est un guide indépendant. Il n'est ni affilié ni approuvé par Zoom Communications, Inc.

Votre responsable conformité vient de signaler les séances de thérapie que votre équipe mène sur Zoom. Un patient a déposé une plainte. Vous avez besoin de réponses rapidement : Zoom est-il conforme HIPAA et que devez-vous changer avant lundi ?

La réponse courte est oui, Zoom peut être conforme HIPAA, mais uniquement si vous choisissez le bon forfait, signez un Business Associate Agreement (BAA) et configurez correctement une dizaine de paramètres. Le forfait gratuit et la plupart des configurations par défaut ne sont pas éligibles.

Ce guide vous explique exactement quels forfaits Zoom prennent en charge la conformité HIPAA (en mars 2026), ce que couvre un BAA, comment sécuriser vos paramètres et où se situent les limites de Zoom. Vous trouverez également une checklist à transmettre à votre équipe informatique et les réponses aux questions les plus fréquentes des administrateurs de santé.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique ou médical. Consultez un professionnel qualifié en conformité HIPAA pour des recommandations adaptées à votre organisation.

Zoom est-il conforme HIPAA ?

Zoom peut être conforme HIPAA, mais ne l'est pas par défaut. Aucun outil de visioconférence ne l'est. La conformité HIPAA n'est pas une fonctionnalité que l'on active ; c'est la combinaison du bon forfait logiciel, d'un accord juridique signé, d'une configuration correcte et de politiques organisationnelles.

Concrètement, si vous avez téléchargé Zoom la semaine dernière et commencé des séances de télémédecine avec le forfait gratuit, vous n'êtes pas conforme HIPAA. Même avec un forfait payant, vous ne l'êtes pas tant que vous n'avez pas signé un BAA avec Zoom et ajusté les paramètres de votre compte.

Prenons l'exemple du Dr Rivera, qui dirige un petit cabinet de santé mentale avec quatre thérapeutes. Ils utilisaient Zoom Basic depuis deux ans, pensant que le chiffrement suffisait. Après un audit de conformité, ils ont découvert que sans BAA, chaque séance enregistrée constituait une violation potentielle de la HIPAA. La correction a pris trois jours. Le stress a duré des mois.

En mars 2026, Zoom propose des configurations conformes HIPAA sur des forfaits payants spécifiques via son offre Zoom for Healthcare. Zoom signe des BAA pour les comptes éligibles, couvrant Zoom Meetings, Zoom Phone, Zoom Team Chat et Zoom Rooms lorsqu'ils sont utilisés dans le cadre des termes de l'accord.

Quels forfaits Zoom prennent en charge la conformité HIPAA ?

Tous les forfaits Zoom ne sont pas éligibles à un BAA. En mars 2026, Zoom propose des configurations HIPAA sur les forfaits suivants :

• Zoom Workplace Pro (payant) avec module complémentaire santé
• Zoom Workplace Business et supérieurs
• Zoom Workplace Enterprise (avec fonctionnalités dédiées au secteur médical)
• Zoom for Healthcare (forfait conçu pour le secteur de la santé avec intégrations DPI)

Le forfait gratuit Zoom Basic n'est pas éligible au BAA. Les comptes Pro personnels sans module complémentaire santé ne le sont pas non plus.

Les noms de forfaits, l'éligibilité au BAA et les tarifs changent fréquemment. Consultez zoom.us/pricing ou contactez l'équipe commerciale de Zoom pour confirmer les options actuelles avant toute décision de conformité.

La différence principale entre les forfaits ne se limite pas au BAA. Les forfaits supérieurs incluent des fonctionnalités dont les établissements de santé ont réellement besoin : salles d'attente personnalisées au nom de votre cabinet, intégration avec des systèmes de dossiers patients informatisés comme Epic et Cerner, et contrôles administratifs détaillés pour gérer les droits d'enregistrement.

Si vous comparez les options, notre guide sur les alternatives à Microsoft Teams présente l'approche d'autres plateformes en matière de conformité.

Qu'est-ce qu'un BAA et pourquoi est-ce important ?

Un Business Associate Agreement (BAA) est un contrat juridiquement contraignant entre un prestataire de soins (ou toute autre entité couverte) et un fournisseur qui traite des informations de santé protégées. En vertu de la HIPAA, vous devez disposer d'un BAA signé avec chaque service tiers susceptible d'accéder, de stocker ou de transmettre des PHI.

Sans BAA, peu importe la robustesse du chiffrement de Zoom. Vous êtes en violation de la HIPAA.

Le BAA de Zoom couvre les produits suivants lorsqu'ils sont correctement configurés :

• Zoom Meetings (vidéo et audio)
• Zoom Phone
• Zoom Team Chat
• Zoom Rooms
• Zoom Webinars (avec restrictions)
• Enregistrements dans le cloud (lorsqu'ils sont activés conformément aux termes du BAA)

Produits non couverts par le BAA standard de Zoom :

• Zoom Apps (applications tierces du marketplace)
• Zoom Whiteboard (vérifiez le statut actuel auprès de Zoom)
• Zoom Mail et Calendar
• Toute fonctionnalité du forfait gratuit

Pour demander un BAA à Zoom, vous devez généralement :

1. Disposer d'un forfait payant éligible (Business ou supérieur, ou Pro avec module complémentaire santé)
2. Contacter l'équipe commerciale de Zoom ou votre interlocuteur dédié
3. Examiner et contresigner le document BAA
4. Configurer votre compte conformément au guide d'implémentation HIPAA de Zoom

Le processus de signature du BAA prend généralement 1 à 5 jours ouvrés pour les forfaits standards. Les comptes Enterprise peuvent négocier des conditions BAA personnalisées, ce qui peut prendre 2 à 4 semaines.

Considérez le BAA comme une ceinture de sécurité. La voiture (Zoom) est peut-être sûre, mais sans ceinture (BAA), vous restez exposé en cas d'accident (audit ou violation de données).

Comment rendre Zoom conforme HIPAA : checklist de configuration

Signer le BAA est la première étape. La seconde consiste à configurer votre compte Zoom pour qu'il réponde réellement aux exigences HIPAA. Zoom fournit un guide d'implémentation HIPAA aux signataires du BAA, mais voici les paramètres essentiels que votre équipe informatique doit traiter.

Paramètres de chiffrement

• Activez le chiffrement de bout en bout (E2EE) pour les réunions contenant des PHI. Zoom propose l'E2EE en option, mais il n'est pas activé par défaut. Remarque : l'E2EE désactive certaines fonctionnalités comme l'enregistrement cloud, les salles de sous-groupes et la transcription en direct.
• Exigez le chiffrement pour les terminaux tiers (H.323/SIP) si vous utilisez du matériel de salle de conférence.
• Activez le chiffrement AES 256 bits GCM (activé par défaut pour toutes les réunions Zoom depuis 2020).

Sécurité des réunions

• Activez les salles d'attente pour éviter que les patients ne se retrouvent dans des séances avec d'autres patients.
• Exigez un mot de passe pour chaque séance.
• Désactivez « Rejoindre avant l'hôte » pour empêcher les patients d'entrer dans une salle non supervisée.
• Verrouillez la réunion une fois que tous les participants attendus ont rejoint.
• Désactivez le transfert de fichiers dans le chat pendant les réunions (empêche le partage accidentel de PHI par chat).
• Désactivez l'enregistrement cloud par défaut et activez-le uniquement pour les séances où l'enregistrement est cliniquement nécessaire et le patient a donné son consentement.

Administration du compte

• Limitez le partage d'écran à l'hôte uniquement (empêche les patients de partager leur écran accidentellement).
• Désactivez les fonctionnalités Zoom AI Companion pour les réunions impliquant des PHI, sauf si elles sont explicitement couvertes par votre BAA.
• Désactivez la transcription des réunions sauf si elle est nécessaire et consentie.
• Utilisez des domaines gérés pour que seules les adresses e-mail autorisées accèdent à votre organisation Zoom.
• Activez l'authentification à deux facteurs (2FA) pour tous les comptes utilisateurs.
• Configurez des délais d'expiration automatiques pour les comptes inactifs.

Enregistrement et stockage

• Si vous devez utiliser l'enregistrement cloud, assurez-vous que votre BAA le couvre explicitement et que l'accès est réservé au personnel autorisé.
• Les enregistrements locaux conservent les données sur votre propre infrastructure, mais nécessitent votre propre chiffrement et vos propres contrôles d'accès.
• Supprimez les enregistrements lorsqu'ils ne sont plus cliniquement nécessaires (définissez une politique de rétention).

Pour les organisations qui ont besoin d'aide pour configurer des réunions virtuelles en toute sécurité, nous avons préparé un guide étape par étape.

Zoom est-il conforme HIPAA pour la télémédecine et la psychothérapie ?

C'est la question la plus fréquente des professionnels de santé, et la réponse comporte des nuances.

Pour la télémédecine en général, les forfaits Zoom conformes HIPAA fonctionnent bien. La plateforme prend en charge les consultations vidéo individuelles, les séances de thérapie de groupe et même les suivis de télésurveillance. En mars 2026, Zoom for Healthcare intègre des fonctionnalités conçues spécifiquement pour la télémédecine : salles d'attente virtuelles, intégrations DPI avec Epic et Cerner, et outils de workflow clinique.

Pour la psychothérapie et la santé mentale, des précautions supplémentaires s'imposent. Les thérapeutes traitent des PHI particulièrement sensibles (dossiers d'addictions, diagnostics psychiatriques, notes de séance). Voici les mesures supplémentaires à envisager :

• N'utilisez jamais l'AI Companion ou la transcription de Zoom pendant les séances de thérapie. Même couvertes par le BAA, les transcriptions automatiques de thérapie créent un risque inutile.
• Désactivez tout enregistrement sauf si le patient a donné son consentement écrit et que la législation de l'État le permet.
• Utilisez la salle d'attente pour que les patients de séances de groupe ne se voient pas avant l'admission par l'hôte.
• Formez le personnel sur ce qui peut et ne peut pas être dit dans le chat Zoom pendant les séances (les logs de chat peuvent être conservés).

Un cabinet de thérapie de groupe organise quatre séances simultanées en soirée. Sans configuration correcte de la salle d'attente, le Patient A du groupe anxiété rejoint accidentellement la séance addictions. Les noms de patients visibles à l'écran constituent une violation HIPAA. Une configuration appropriée de la salle d'attente et du mot de passe l'empêche totalement.

Qu'en est-il des dérogations HIPAA de l'ère COVID ? De 2020 à 2023, le ministère de la Santé américain (HHS) a accordé une tolérance aux prestataires de télémédecine utilisant des outils grand public de visioconférence. Ces dérogations ont expiré. En mars 2026, les règles d'application HIPAA standard s'appliquent pleinement. Utiliser Zoom sans BAA pour la télémédecine constitue une violation.

Si vous souhaitez savoir comment créer des salles de sous-groupes pour la thérapie de groupe, notre guide détaille la procédure.

Zoom est-il conforme HIPAA par rapport à Google Meet et Microsoft Teams ?

Les décideurs du secteur de la santé comparent souvent Zoom à Google Meet et Microsoft Teams. Voici leur positionnement en matière de conformité HIPAA en mars 2026 :

Zoom propose une offre dédiée au secteur de la santé avec des fonctionnalités sur mesure. Son BAA couvre Meetings, Phone, Chat et Rooms. Le forfait Zoom for Healthcare inclut des intégrations DPI et des outils de workflow clinique. L'atout de Zoom réside dans ses fonctionnalités de télémédecine et la familiarité des patients avec la plateforme.

Google Meet (via Google Workspace) peut être conforme HIPAA. Google signe des BAA pour les forfaits Workspace Business, Enterprise et Education Plus. Le BAA couvre Meet, Gmail, Drive, Calendar et d'autres applications Workspace principales. Google Meet n'offre pas les fonctionnalités santé spécifiques de Zoom (pas d'intégrations DPI, pas de salles d'attente cliniques), mais s'intègre bien si votre organisation utilise déjà Google Workspace.

Microsoft Teams (via Microsoft 365) prend également en charge la conformité HIPAA. Microsoft signe des BAA pour les forfaits Business, Enterprise et Education. Teams s'intègre en profondeur avec les outils santé de Microsoft, notamment la plateforme Microsoft Cloud for Healthcare et Azure Health Data Services. Teams est le plus adapté aux organisations déjà ancrées dans l'écosystème Microsoft.

Les trois plateformes peuvent être conformes HIPAA. Votre choix dépend de votre infrastructure existante, de votre budget et du système DPI que vous utilisez.

Pour les équipes qui explorent des alternatives au-delà des appels vidéo classiques, découvrez les plateformes de réunion en ligne qui proposent d'autres approches de la collaboration virtuelle.

Que se passe-t-il si vous utilisez Zoom sans conformité HIPAA ?

Utiliser Zoom (ou tout autre outil vidéo) pour traiter des PHI sans conformité appropriée n'est pas qu'un problème de politique interne. Cela entraîne des conséquences financières et juridiques réelles.

Les sanctions HIPAA se répartissent en quatre niveaux selon le degré de négligence :

Montants des sanctions ajustés à l'inflation en 2026. Source : HHS Office for Civil Rights.

Au-delà des amendes, une violation HIPAA peut entraîner :

• Des enquêtes des procureurs généraux des États (de nombreux États ont leurs propres lois sur la confidentialité des données de santé avec des sanctions distinctes)
• Des poursuites de patients pour négligence ou violation du secret professionnel
• La perte de licence professionnelle pour les praticiens concernés
• Des dommages réputationnels poussant les patients à changer de cabinet
• Une notification obligatoire de la violation à chaque patient concerné, au HHS et (pour les violations de plus de 500 dossiers) aux médias locaux

Les violations HIPAA les plus courantes liées à Zoom ne sont pas des piratages spectaculaires. Ce sont des erreurs banales : un thérapeute utilisant Zoom Basic sans BAA, un cabinet qui n'a jamais désactivé l'enregistrement cloud, un administrateur qui a partagé un lien de réunion contenant le nom du patient dans l'URL. Chacune de ces situations constitue un incident à signaler.

Pour des conseils sur l'organisation de meilleures réunions virtuelles avec des pratiques de sécurité appropriées, consultez notre guide sur les réunions en ligne engageantes.

Zoom et HIPAA : les points essentiels

Zoom est conforme HIPAA lorsqu'il est correctement configuré. Voici ce qu'il faut faire cette semaine :

1. Vérifiez votre forfait. Vous avez besoin de Zoom Workplace Business ou supérieur, ou de Zoom Pro avec le module complémentaire santé. Le forfait gratuit n'est pas éligible.
2. Signez le BAA. Contactez l'équipe commerciale de Zoom. Ne planifiez aucune autre séance patient tant que le BAA n'est pas signé.
3. Appliquez la checklist de configuration. Activez les salles d'attente, exigez les mots de passe, activez l'E2EE pour les séances avec PHI, désactivez les fonctionnalités IA et limitez l'enregistrement.
4. Formez votre personnel. La conformité HIPAA échoue plus souvent au niveau humain qu'au niveau technologique. Chaque clinicien et administrateur utilisant Zoom doit comprendre ce qui est permis et ce qui ne l'est pas.
5. Documentez tout. Conservez le BAA, les captures d'écran de configuration, les attestations de formation et le plan de réponse aux incidents en un seul endroit. Les auditeurs les demanderont.

Zoom est un choix solide pour la télémédecine et la communication dans le secteur de la santé lorsqu'il est correctement configuré. La familiarité des patients, les intégrations DPI et les fonctionnalités dédiées à la santé en font l'une des options les plus robustes du marché. Mais la responsabilité de la conformité vous incombe, pas à Zoom.

Pour les réunions d'équipe non cliniques comme les assemblées générales, événements sociaux ou sessions de networking, Flat.social propose une approche spatiale où les participants se déplacent et échangent naturellement.

Zoom est une marque déposée de Zoom Communications, Inc. HIPAA est une loi fédérale américaine. Ce site n'est ni affilié, ni approuvé, ni parrainé par Zoom Communications, Inc.