La confiance dans la santé numérique

Dans cet épisode spécial de L’info, ça compte, la commissaire Patricia Kosseim présente une rétrospective de ses entretiens marquants de la quatrième saison. De jeunes élèves du secondaire font part de leur opinion sur la protection de la vie privée, Cynthia Khoo parle de reconnaissance faciale et Robert Fabes nous dit ce que les personnes en situation d’itinérance pensent de la vie privée. Le D^r Devin Singh discute de l’IA dans les soins de santé, et Priya Shastri de WomanAct traite de la communication de renseignements afin de planifier la sécurité des survivantes de violence conjugale. Cet épisode aborde également le recours aux outils éducatifs numériques en classe, la médiation dans les appels de décisions relatives à l’accès à l’information au CIPVP, la Vitrine de la transparence du CIPVP et des affaires dont le CIPVP a été saisi concernant des cyberattaques et des dossiers abandonnés dans le secteur de la santé.

Affaire marquante : Décision 266 en vertu de la LPRPS

Contexte

Le Commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP) a reçu une plainte selon laquelle une clinique de santé avait omis d’éliminer de manière sécuritaire des dossiers de renseignements personnels sur la santé (RPS). Des photos de dossiers de patients qui avaient été jetés dans un bac de recyclage non sécurisé ont été fournies pour étayer les allégations.
Le CIPVP a écrit à la clinique au sujet de ces allégations. Elle lui a remis un rapport qui a soulevé des préoccupations supplémentaires, et le CIPVP a entamé une enquête sur cette affaire.

L’enquêteuse du CIPVP a pris possession des dossiers récupérés dans le bac de recyclage. Bon nombre avaient été déchiquetés ou déchirés à la main, mais l’enquêteuse a pu récupérer certains renseignements de nature délicate, notamment des dates de rendez-vous, des antécédents médicaux déclarés par un patient, la date de naissance d’un patient et le nom complet de six autres patients associés à la clinique.

Au cours de l’enquête, la clinique a expliqué que le personnel avait commencé à éliminer des dossiers pour libérer de l’espace. Certains dossiers avaient été déchiquetés, et d’autres avaient été déchirés à la main, car la déchiqueteuse était bruyante et aurait pu déranger des patients pendant leur rendez-vous. Le personnel d’entretien passait prendre les dossiers éliminés deux fois par semaine et les jetait dans une benne située dans un garage verrouillé du centre commercial où se trouve la clinique. L’éboueur local passait prendre les ordures toutes les semaines.

La clinique a convenu que le personnel d’entretien aurait pu accéder à des documents qui n’avaient pas été détruits de manière sécuritaire. Elle a reconnu qu’elle aurait dû prendre des mesures supplémentaires pour assurer l’élimination sécuritaire de ces renseignements. La clinique a également indiqué qu’elle n’avait pas adopté de politiques ou de procédures écrites de conservation, de destruction et d’élimination sécuritaires des dossiers. Elle donnait plutôt des directives verbales au personnel, et elle a reconnu que ces directives étaient insuffisantes.

La clinique a avisé par lettre les patients qui étaient concernés par cette atteinte à la vie privée. Plus tard, elle a envoyé une autre lettre à près de 500 patients qui étaient peut-être concernés également.

Conclusions

L’enquêteuse a constaté qu’au moment de l’atteinte à la vie privée, la clinique enfreignait plusieurs dispositions de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS). Ainsi, les dépositaires de renseignements sur la santé doivent :

• prendre des mesures raisonnables pour protéger les renseignements personnels sur la santé [par. 12 (1)]; 
• conserver et éliminer les dossiers de manière sécuritaire [par. 13 (1)];
• adopter des pratiques relatives aux renseignements qui sont adéquates [par. 10 (1)];
• suivre ces pratiques [par. 10 (2)]. 

L’enquêteuse a conclu qu’en raison de l’absence de mesures de précaution, la clinique n’avait pas été en mesure de s’assurer que les dossiers de RPS dont elle avait la garde ou le contrôle étaient conservés et éliminés de manière sécuritaire.
En réponse aux préoccupations de l’enquêteuse, la clinique a élaboré et mis en place des politiques et fourni une formation. Ainsi, elle a adopté une politique de confidentialité régissant la collecte, l’utilisation, la modification, la divulgation, la conservation et l’élimination de RPS. La clinique a également établi une politique sur les dossiers de clients énonçant des mesures précises à prendre pour protéger ces dossiers et les éliminer de manière sécuritaire.

Tous les membres du personnel ont été tenus d’examiner les nouvelles politiques et d’attester par écrit qu’ils les comprenaient et les respecteraient. Deux séances de formation ont également été tenues pour familiariser le personnel avec les pratiques de confidentialité mises à jour, et la clinique s’est engagée à fournir une formation deux fois par année à l’avenir. Elle a également mis à jour son guide de l’employé en y ajoutant des ressources sur ses obligations en vertu de la LPRPS, y compris une vidéo de formation sur la LPRPS et des liens vers la loi et d’autres ressources.

L’enquêteuse a conclu que, grâce à ces mesures correctives, la clinique était conforme à la LPRPS.

Enfin, l’enquêteuse a conclu que l’élimination de RPS de manière non sécuritaire constituait une perte de RPS, de sorte que la clinique était tenue d’aviser tous les particuliers concernés. La clinique avait envoyé une lettre d’avis, mais l’enquêteuse a constaté qu’elle présentait une lacune (qui a été comblée) et elle estimait que cet avis aurait dû avoir été donné plus tôt. Cependant, dans l’ensemble, l’enquêteuse considérait que la clinique avait donné l’avis exigé au paragraphe 12 (2) de la LPRPS. 

Principaux constats

1. Les dépositaires de renseignements sur la santé (DRS) doivent protéger les RPS de leurs patients en tout temps, y compris pendant l’élimination des dossiers. 
2. Les DRS doivent établir des politiques de confidentialité décrivant comment ils doivent recueillir, utiliser, modifier, divulguer, conserver ou éliminer des RPS. Ces politiques doivent préciser les mesures à prendre pour protéger les dossiers des patients et en assurer l’élimination de manière sécuritaire. 
3. Les procédures à suivre pour assurer l’élimination des dossiers de manière sécuritaire reposent en partie sur le support utilisé. S’il s’agit de dossiers sur papier, comme c’était le cas en l’occurrence, il ne faut pas simplement les déchirer à la main. Il faut les déchiqueter correctement au moyen d’une déchiqueteuse à coupe transversale ou à micro-coupe afin qu’ils ne puissent être reconstitués. Cette opération peut avoir lieu sur place ou, si elle est confiée à un fournisseur externe, un contrat ou un accord officiel doit être conclu prévoyant la nécessité d’assurer la sécurité et la confidentialité des dossiers au cours du processus d’élimination et précisant la méthode d’élimination qui doit être employée.
4. Les DRS doivent fournir à tous les membres de leur personnel une formation régulière sur les politiques et pratiques de confidentialité et sur l’élimination des dossiers de clients de manière sécuritaire. Les employés devraient suivre une formation annuelle et signer une attestation écrite selon laquelle ils ont lu et compris les politiques de confidentialité.
5. Les DRS doivent aviser les particuliers concernés en cas de vol ou de perte de renseignements personnels sur la santé dont ils ont la garde ou le contrôle, ou en cas d’utilisation ou de divulgation non autorisée de ces renseignements. L’élimination de façon non sécuritaire de RPS constitue une perte de RPS, ce qui donne lieu à l’obligation d’aviser les particuliers concernés.

Ressources supplémentaires

• Lignes directrices sur les interventions en cas d’atteinte à la vie privée dans le secteur de la santé
• L’accès non autorisé aux renseignements personnels sur la santé : détection et dissuasion
• Le signalement d’une atteinte à la vie privée au commissaire : Lignes directrices pour le secteur de la santé
• Rapport statistique annuel au commissaire sur les atteintes à la vie privée - Exigences s’appliquant au secteur de la santé

Les observations du CIPVP sur les modifications proposées au Règlement de l'Ontario 329/04 pour soutenir le transfert du Système d’information sur les soins aux malades en phase critique de la Hamilton Health Sciences Corporation à Ornge, et pour maintenir les pratiques et les procédures pour assurer la protection continue des informations personnelles de santé pendant le transfert.

L’annexe 6 du projet de loi 231, la Loi de 2024 pour plus de soins commodes, instaure une initiative complexe visant à permettre aux Ontariennes et aux Ontariens d’utiliser un identifiant Santé numérique pour accéder à leurs dossiers de santé. Elle apporte des changements importants à la loi ontarienne sur la protection des renseignements personnels sur la santé qui mettent en péril la confidentialité des renseignements sur la santé des Ontariennes et des Ontariens et limite, au lieu de favoriser, leur droit d’accès à ces renseignements.

Ce rapport d’enquête conjoint sur la cyberattaque commise en 2019 contre les systèmes informatiques de LifeLabs a été dressé en juin 2020. Ce rapport (disponible en anglais uniquement) fait suite au rejet par la Cour d’appel de l’Ontario de la motion de LifeLabs visant à en interdire la publication.

Dans sa lettre, la commissaire Kosseim recommande au ministère de reconsidérer sa proposition visant à faciliter l'accès facile et pertinent des Ontariens à leurs dossiers dans le dossier de santé électronique provincial. La commissaire recommande également au ministère d'examiner attentivement la transparence et la responsabilisation de l'écosystème numérique proposé pour accéder à ces dossiers.

Lettre au ministère de la Santé concernant les changements proposés au règlement pris en application de la LPRPS exigeant que des renseignements personnels sur la santé soient versés au dossier de santé électronique. Cette lettre réitère la nécessité d’assurer la protection des renseignements personnels sur la santé dans les systèmes utilisés pour prodiguer des soins de santé.

Le Bureau du commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP) tient à protéger les renseignements sur la santé selon une approche flexible et équilibrée consistant à sanctionner les atteintes à la vie privée tout en favorisant la reddition de comptes, l’information et l’amélioration continue.

Depuis le 1^er janvier 2024, le CIPVP peut imposer des pénalités administratives pécuniaires, entre autres mesures, en cas de contravention à la Loi de 2004 sur la protection des renseignements sur la santé (LPRPS).

Ces pénalités peuvent atteindre au plus 50 000 $ pour les particuliers et 500 000 $ pour les organisations. Elles peuvent être imposées pour favoriser la conformité à la LPRPS ou pour éviter qu’une personne ne tire un bénéfice pécuniaire direct ou indirect d’une contravention à la loi.

Lisez notre document d’orientation pour en savoir davantage sur ces critères et sur la façon dont le CIPVP établira le montant des PAP.

Si vous avez d’autres questions sur les PAP, écrivez-nous à @email.

À compter du 1er janvier 2024, le CIPVP a le pouvoir discrétionnaire d'imposer des pénalités administratives pécuniaires dans le cadre de ses pouvoirs d'exécution en cas de violation de la Loi sur la protection des renseignements personnels sur la santé (LPRPS). Téléchargez le document d'orientation pour en savoir plus :

Dans cette lettre adressée à Brian Riddell, président du Comité permanent de la politique sociale, le CIPVP formule des observations concernant les modifications proposées à la Loi de 2019 pour des soins interconnectés