La confiance dans la santé numérique

« Rien n’est permanent, sauf le changement. » – Héraclite   

Cette parole célèbre d’Héraclite, philosophe grec, n’a jamais été aussi vraie qu’aujourd’hui.

Comme tout dans la vie, la prestation des soins de santé continue de changer et d’évoluer, surtout au cours des 20 dernières années, où nous avons été les témoins de la croissance vertigineuse des technologies numériques. Catapultée par la pandémie, la numérisation des services de soins de santé s’est accélérée encore plus rapidement pour s’adapter au monde virtuel dans lequel nous vivons tous actuellement. Les effets dévastateurs de la COVID-19 sur la vie des gens nous ont rappelé à tous qu’il est indispensable de partager les renseignements sur la santé de manière coordonnée, efficace et opportune, et que les responsables de la santé publique et les chercheurs jouent un rôle crucial dans la compréhension des maladies et la mise au point de traitements efficaces.

C’est pourquoi, à mon bureau, nous avons choisi La confiance dans la santé numérique comme l’une des quatre priorités stratégiques qui orienteront nos activités à partir d’aujourd’hui et pour les années qui suivent, afin d’accroître notre influence positive et notre valeur ajoutée pour la population ontarienne. Nous avons pour objectif de favoriser la confiance dans le système de soins de santé numérique en nous assurant que les dépositaires de renseignements sur la santé respectent les droits de la population ontarienne en matière de protection de la vie privée et d’accès à l’information, et en appuyant l’utilisation novatrice des renseignements personnels sur la santé à des fins de recherche et d’analytique dans la mesure où elle sert le bien public.

Bien que le changement soit inévitable, les dépositaires demeurent tenus de se conformer à la Loi sur la protection des renseignements personnels sur la santé  (LPRPS). Cependant, même cette loi a connu des changements majeurs récemment.

La LPRPS est un document évolutif qui s’est transformé au fil des ans, en parallèle avec les changements survenus dans la société et sur le plan technologique. Il y a près de 20 ans, lors de l’adoption de la LPRPS, les fonctions les plus perfectionnées des téléphones intelligents, des appareils qui étaient alors bien moins répandus, étaient le courriel et la messagerie texte sur un écran monochrome. De nos jours, on peut naviguer sur Internet, regarder des films et commander des repas avec son téléphone intelligent. On peut même s’en servir pour des consultations virtuelles avec son fournisseur de soins de santé. On peut le synchroniser avec des appareils portables qui surveillent son état de santé et sauvegardent des données biométriques sur le rythme cardiaque, la température, la respiration, les habitudes de sommeil, les mouvements et le niveau d’activité physique. On peut même partager ces données avec des chercheurs ou avec ses fournisseurs de soins de santé; d’ailleurs, il est courant désormais pour les dépositaires de se communiquer des renseignements sur la santé sous forme numérique afin de fournir des soins de façon plus efficace et efficiente.

Plusieurs changements ont été apportés à la LPRPS en réponse à ces progrès technologiques. En mars 2020, des modifications sont entrées en vigueur afin de tenir compte du fait que de plus en plus, les renseignements personnels sur la santé sont recueillis, utilisés et divulgués sous forme numérique. Ces modifications sont graduelles, mais elles sont aussi substantielles.

En vue de réaliser son objectif de favoriser la confiance dans la santé numérique, le CIPVP a publié un nouveau document intitulé Les soins de santé numériques sous le régime de la LPRPS : aperçu sélectif.

Ce nouveau document a pour but de familiariser les dépositaires de renseignements sur la santé avec les dernières modifications apportées à la LPRPS. Il en donne un aperçu et les explique d’une manière que, nous l’espérons, les dépositaires trouveront accessible. Il porte notamment sur le dossier de santé électronique, l’interopérabilité des actifs de soins de santé numériques, les registres électroniques des accès, les fournisseurs de services électroniques aux consommateurs et l’accès aux dossiers sous forme électronique.

Pour assurer l’adoption fructueuse des technologies de santé numériques et, en définitive, l’amélioration de la santé de tous, le public doit croire que les renseignements personnels sur la santé qui le concernent seront traités à bon escient. Je recommande à tous les dépositaires de renseignements sur la santé de lire ce nouveau document et de se familiariser avec les nouvelles dispositions de la LPRPS afin d’intégrer les technologies numériques dans la prestation des soins de santé dans le respect de cette loi.

Notre bureau est toujours à votre disposition pour toute question sur ce document ou d’autres sujets touchant les renseignements sur la santé et la protection de la vie privée.

Patricia

• Télécharger le document Les soins de santé numériques sous le régime de la LPRPS : aperçu sélectif

Aujourd’hui, j’ai eu le plaisir de présenter un exposé au sommet annuel PHIPA Connections sur la Loi sur la protection des renseignements personnels sur la santé (LPRPS). Cette année, les conférenciers ont abordé de nouveaux enjeux concernant la gestion des renseignements personnels sur la santé en période de pandémie. Dans mon exposé, j’ai communiqué certaines statistiques de 2020 sur le secteur de la santé, décrit les changements récents apportés à la LPRPS et présenté notre nouveau document d’orientation destiné aux professionnels du secteur des soins de santé, Considérations relatives à la protection de la vie privée et à la sécurité dans le contexte des visites de soins de santé virtuelles. J’espère que ce guide se révélera utile aux dépositaires de renseignements sur la santé qui fournissent ou comptent fournir des soins de santé virtuels à leurs patients.

À cause de la COVID-19, qui s’accompagne de lignes directrices en matière de distanciation physique, les soins de santé virtuels sont devenus une solution de rechange pratique permettant aux dépositaires de communiquer avec leurs patients et de leur prodiguer des soins. Les soins de santé virtuels comprennent des modes de communication numériques tels que les services de messagerie sécurisée, les consultations téléphoniques et la vidéoconférence.

En mai 2020, l’Association médicale canadienne (AMC) a effectué un sondage auprès de 1 800 Canadiennes et Canadiens et a constaté que près de la moitié d’entre eux avaient reçu des soins virtuels d’un médecin et en étaient très satisfaits. D’après ce sondage, près de la moitié (46 %) des personnes qui ont eu l’occasion d’utiliser les soins virtuels pendant la pandémie de COVID-19 préféreraient une méthode virtuelle comme premier point de contact avec leur médecin à l’avenir. Compte tenu du fait que ce sondage a été effectué deux mois seulement après le début de la pandémie mondiale, on pourrait s’attendre à ce que cette proportion soit encore plus élevée aujourd’hui, les gens s’étant adaptés de plus en plus à leur vie numérique.

Les soins de santé virtuels sont bien reçus d’après de telles études, mais il est important de tenir compte des risques pour la vie privée et la sécurité que pose la technologie employée pour les fournir. Les dépositaires ontariens doivent également être conscients du fait que la LPRPS s’applique tant aux soins virtuels qu’aux soins en présentiel.

En plus de donner un rappel succinct sur la LPRPS, notre document d’orientation sur les soins de santé virtuels aborde différentes considérations relatives à la tenue de séances de vidéoconférence sécuritaires, et donne aux dépositaires des conseils pour aider leurs patients à utiliser les systèmes électroniques de tenue de dossiers médicaux, notamment les portails pour patients.

D’après nombre d’études et de documents de discussion, les soins de santé virtuels seront un phénomène durable. Par exemple, selon une enquête nationale effectuée en septembre 2020 par Environics Research , 70 % des Canadiennes et des Canadiens conviennent que les soins de santé virtuels sont l'avenir des soins de santé. Le sondage de l’AMC avait d’ailleurs permis de constater que la population canadienne souhaite le maintien, l’amélioration et l’expansion des options de soins virtuels après la crise de la COVID-19.

Certes, les soins de santé virtuels sont des moyens précieux de consulter des professionnels pour leur demander conseil et trouver une certaine tranquillité d’esprit à notre époque en mutation. Cependant, les dépositaires doivent prendre les mesures de précaution d’ordre technique, matériel et administratif qui s’imposent pour sécuriser les plateformes de soins de santé virtuelles et protéger ainsi la vie privée de leurs patients, aujourd’hui et à l’avenir.

Car même si les soins de santé deviennent virtuels, la confiance des patients, elle, doit demeurer bien réelle.

Au nom du CIPVP, je remercie tous ceux et celles qui, dans le secteur des soins de santé, travaillent sans relâche pour nous protéger.

Portez-vous bien,

Patricia

Même avant de me joindre au CIPVP, j’admirais déjà la Loi sur la protection des renseignements personnels sur la santé (LPRPS), que je trouvais « audacieuse ». La LPRPS comportait de nombreux concepts nouveaux à l’époque. J’en veux pour preuve l’obligation de donner un avis en cas d’atteinte à la vie privée, une première au Canada; un code global relatif au consentement et à la prise de décisions au nom d’autrui; un cadre de gestion de la recherche intégrant les obligations des dépositaires en matière de gestion des données aux normes d’éthique nationales pertinentes et à l’examen obligatoire par une commission d’éthique de la recherche.

La LPRPS a également servi de prélude au modèle de « fiducies de données ». En vertu de ce modèle, certains registres et entités prescrits ont une grande marge de manœuvre leur permettant d’utiliser les renseignements personnels sur la santé qui leur sont confiés pour le bien public, sous réserve de mesures strictes de reddition de comptes, notamment un examen par le CIPVP de leurs pratiques et procédures en matière de protection de la vie privée tous les trois ans.

La LPRPS a évolué au cours des 16 dernières années et a subi toute une série de modifications supplémentaires en 2020. Ces modifications ont été graduelles, mais substantielles.

Responsabilités et droits accrus; application de la loi plus rigoureuse

Par exemple, en mars dernier, le projet de loi 188 a doublé le montant des amendes imposées pour des infractions à la LPRPS, les portant à 200 000 $ dans le cas des particuliers et 1 000 000 $ pour les entreprises.

Le projet de loi 188 permet également à la commissaire à l’information et à la protection de la vie privée d’imposer des pénalités administratives, une toute première au Canada. En vertu de cette mesure, mon bureau pourra imposer des pénalités administratives pécuniaires aux personnes qui contreviennent à la LPRPS. Le montant et l’administration des pénalités seront établis par règlement.

Outre ces nouvelles mesures rigoureuses, le projet de loi 188 prévoit de nouveaux droits et responsabilités :

• le droit d’accès pour les particuliers à leur dossier de renseignements personnels sur la santé sous forme électronique (sous réserve des règlements éventuels) afin qu’ils puissent prendre les mesures nécessaires pour gérer leurs propres renseignements sur la santé, notamment par l’entremise de portails et d’applications numériques liées à la santé;
• les responsabilités des fournisseurs de ces portails et applications (de nouvelles entités appelées « fournisseurs de services électroniques aux consommateurs ») qui devront se conformer à certaines exigences à définir par règlement.

Le projet de loi contient également des dispositions précises exigeant que tous les dépositaires tiennent et surveillent un registre électronique des accès lorsque des renseignements personnels sur la santé sont recueillis, utilisés, divulgués, modifiés, conservés ou éliminés, et fournissent à la commissaire, sur demande, une copie du registre électronique des accès (pas encore en vigueur).

Le dossier de santé électronique est enfin là

Le 1^er octobre 2020, Santé Ontario a été désigné par règlement comme l’organisme prescrit chargé d’instaurer le dossier de santé électronique, dont la venue était attendue depuis longtemps, en vertu de la partie V.1 de la LPRPS. Un des principaux objectifs du dossier de santé électronique, c’est de faire en sorte que les renseignements sur la santé des Ontariennes et des Ontariens soient regroupés sous un même « toit » virtuel. Ce faisant, les fournisseurs de soins de santé, quelle que soit leur pratique, pourront avoir facilement accès à ces renseignements, ce qui permettra de fournir des soins de santé plus efficaces et mieux intégrés.

La partie V.1 établit un cadre global concernant la protection de la vie privée et la responsabilisation en ce qui a trait au dossier de santé électronique. Elle définit le rôle magistral de Santé Ontario à titre d’administrateur du dossier de santé électronique qui sera assujetti à la surveillance de mon bureau. Elle prévoit le partage des responsabilités entre de multiples dépositaires de renseignements sur la santé qui utilisent le dossier de santé électronique, pour établir qui y a accès en premier. Par exemple, elle précise les règles que doivent suivre les dépositaires qui veulent télécharger des renseignements personnels sur la santé, en amont ou en aval, les règles à suivre pour respecter les directives d’une personne en matière de consentement et les conditions dans lesquelles les dépositaires peuvent divulguer des renseignements malgré une directive après en avoir donné un avis. La loi prévoit également de nouvelles règles établissant les avis requis en cas d’atteinte à la vie privée dans le contexte du dossier de santé électronique.

De nouvelles règles permettent aux coroners, aux médecins-hygiénistes et aux services d’intégration des données du ministère de la Santé (désignés en vertu de la partie III.1 de la LAIPVP) de recueillir des renseignements personnels sur la santé du dossier de santé électronique. La ministre de la Santé peut également ordonner que des renseignements personnels sur la santé soient extraits du dossier de santé électronique à l’intention d’autres personnes (par exemple, des chercheurs) sur demande, après avoir consulté le comité consultatif qui sera éventuellement mis sur pied. Le concept de comité consultatif est un autre aspect intéressant de la LPRPS.

Spécifications d’interopérabilité

D’autres règlements d’application de la LPRPS ayant trait à la numérisation des renseignements personnels sur la santé entreront en vigueur le 1^er janvier 2021. Ces règlements prévoient le cadre d’établissement, de contrôle et d’application des spécifications d’interopérabilité. L’interopérabilité permet de s’assurer que les systèmes d’information électroniques des dépositaires de renseignements sur la santé, qu’on appelle les « actifs de soins de santé numériques », peuvent communiquer entre eux, facilitant l’échange de renseignements personnels sur la santé entre les dépositaires de différentes institutions.

Santé Ontario est chargée de créer ces spécifications d’interopérabilité, de concert avec mon bureau (en particulier lorsque les droits des particuliers en matière de protection de la vie privée et d’accès sont en jeu), et sous réserve de l’approbation de la ministre de la Santé. Santé Ontario devra également rendre publiques ces spécifications, élaborer un processus d’agrément de conformité des actifs de soins de santé numériques aux spécifications d’interopérabilité, et vérifier si les dépositaires de renseignements sur la santé respectent les normes.

2020 – Une année importante pour la LPRPS

En rétrospective, l’année 2020 a été importante pour la LPRPS à maints égards. Les modifications majeures qui ont été apportées témoignent des subtilités de la nouvelle réalité numérique du système de santé. Elles démontrent jusqu’à quel point le système de santé est devenu complexe lorsqu’il s’agit de fournir des solutions numériques individuelles très personnalisées en matière de santé tout en augmentant l’échange de données entre les différentes entités afin de permettre de régler les enjeux plus globaux de santé publique, comme ceux dont nous sommes témoins dans le cas de la COVID‑19, par exemple.

Ce qu’il nous faut maintenant déterminer, c’est comment mieux réglementer le nombre sans cesse croissant d’acteurs du secteur privé qui deviennent inextricablement liés au système de santé numérique de l’Ontario. La LPRPS a déjà démontré sa capacité à amener certains intervenants du secteur privé (comme les fournisseurs de réseaux d’information sur la santé et les fournisseurs de services électroniques aux consommateurs) à respecter certaines obligations, mais qu’en est-il des autres? Beaucoup doivent se le demander alors que l’Ontario continue de mener des consultations sur d’éventuelles mesures législatives propres à l’Ontario qui régiraient le secteur privé. Si elles étaient adoptées, ces mesures législatives devraient composer avec les tentacules de plus de plus longues de la LPRPS pour créer un régime uniforme et intégré, qui serait à la fois pratique et cohérent.

Aujourd’hui, l’application de notification d’exposition Alerte COVID a été lancée. Il s’agit d’un outil numérique important qui, de concert avec d’autres mesures de santé publique, contribuera à freiner la propagation de la COVID-19 en Ontario.

Je félicite le gouvernement pour les mesures de précaution rigoureuses qu’il a prises afin de protéger la vie privée et la sécurité des Ontariennes et des Ontariens qui décident de se servir de cette application. Je lui suis reconnaissante également de l’occasion qui nous a été donnée de discuter avec lui de cette importante initiative, ainsi que de sa collaboration et de l’empressement avec lequel il a mis en œuvre nos recommandations.

Comme cette application est une initiative nationale que l’on compte lancer dans l’ensemble du pays, notre examen de ses aspects touchant la protection de la vie privée a été effectué de concert avec le Commissariat à la protection de la vie privée du Canada. À l’issue de cet examen, nous avons fourni à nos gouvernements respectifs des recommandations exhaustives, qui s’appuient sur les principes de base en matière de protection de la vie privée énoncés dans une déclaration commune fédérale, provinciale et territoriale sur les applications de traçage de contacts.

Ayant effectué un examen approfondi de l’application et reçu l’assurance que nos recommandations seraient mises en œuvre, j’ai le plaisir, à l’instar de mon homologue fédéral, d’appuyer l’utilisation de l’application Alerte COVID.

Je suis consciente du fait que pour que cette application soit efficace en vue d’endiguer la COVID-19, le public doit savoir que ses renseignements personnels seront protégés, et que l’utilisation de cette technologie est facultative. À ma demande expresse, le gouvernement de l’Ontario a accepté de faire savoir clairement et publiquement aux entreprises et aux employeurs qu’ils doivent respecter le caractère facultatif de l’application Alerte COVID en n’obligeant pas les particuliers à s’en servir ou à divulguer des renseignements sur son utilisation.

Nous vivons une période exceptionnelle, au cours de laquelle la COVID-19 a eu de lourdes et tragiques conséquences pour de nombreux membres vulnérables de la collectivité. Bien que le lancement de l’application Alerte COVID constitue un jalon marquant dans notre lutte contre la propagation de la COVID-19, le travail du CIPVP n’est pas terminé. Nous continuerons de nous assurer que l’application est employée aux fins escomptées, que les mesures de précaution permettent comme prévu de protéger la vie privée, et que la collecte et l’utilisation de renseignements personnels recueillis au moyen de cette application demeurent un moyen nécessaire et efficace de freiner la propagation de la COVID-19 en Ontario.

Patricia Kosseim

Documents connexes

• Communiqué : Les commissaires fédéral et ontarien à la vie privée soutiennent l’utilisation de l’appli Alerte COVID sous réserve d’une surveillance continue de ses mesures de protection et de son efficacité
• Recommandations du Bureau du commissaire à l’information et à la protection de la vie privée de l’Ontario sur Alerte COVID
• Examen des répercussions sur la vie privée de l’application Alerte COVID (Commissariat à la protection de la vie privée du Canada

Cette société canadienne de laboratoires d’analyse a enfreint les lois sur la vie privée

 TORONTO – Le jeudi 25 juin 2020 – À l’issue d’une enquête conjointe, les commissaires à l’information et à la protection de la vie privée de l’Ontario et de la Colombie-Britannique ont conclu que LifeLabs avait négligé de protéger les renseignements personnels sur la santé de millions de Canadiennes et de Canadiens, et que cela avait causé une importante atteinte à la vie privée en 2019.

Cette enquête conjointe a révélé que la société avait omis de prendre des mesures de précaution suffisantes afin de protéger les renseignements personnels sur la santé de millions de Canadiennes et de Canadiens, et qu’ainsi, elle avait enfreint la Loi sur la protection des renseignements personnels sur la santé (LPRPS) de l’Ontario et la loi sur la protection des renseignements personnels de la Colombie-Britannique, la PIPA.

Les commissaires de l’Ontario et de la Colombie-Britannique ont conclu que la société avait :

• omis de prendre des mesures raisonnables pour protéger les renseignements personnels sur la santé sauvegardés dans ses systèmes électroniques;
• omis d’adopter des politiques adéquates de sécurité informatique;
• recueilli plus de renseignements personnels sur la santé que raisonnablement nécessaire.

Les deux commissaires ont ordonné à LifeLabs de prendre certaines mesures (résumées dans le document d’information qui accompagne le présent communiqué) afin de combler ces lacunes.

La publication du rapport d’enquête a été retardée, LifeLabs ayant affirmé que les renseignements qu’elle a remis aux commissaires font l’objet d’un privilège ou sont confidentiels. Les commissaires rejettent cette affirmation. Le CIPVP et l’OIPC de la Colombie-Britannique ont l’intention de rendre leur rapport public à moins que Lifelabs n’intente une action en justice.

« Notre enquête a révélé que LifeLabs avait omis de prendre les précautions requises afin de protéger adéquatement les renseignements personnels sur la santé de millions de Canadiennes et de Canadiens, en contravention de la Loi sur la protection des renseignements personnels sur la santé de l’Ontario. Cette atteinte à la vie privée devrait rappeler aux organisations de toute taille qu’elles ont le devoir de faire preuve de vigilance pour se prémunir contre de telles attaques. Je suis impatient de divulguer tous les détails de notre enquête au public, et particulièrement aux personnes touchées par l’atteinte à la vie privée. »

— Brian Beamish, commissaire à l’information et à la protection de la vie privée de l’Ontario

« LifeLabs a négligé de protéger suffisamment les renseignements personnels sur la santé des citoyens de la Colombie-Britannique et du reste du Canada, ce qui est inacceptable. Cette société a exposé nos citoyens et des millions d’autres Canadiennes et Canadiens au vol d’identité, à des pertes financières et à des atteintes à leur réputation. Les ordonnances que nous avons rendues ont pour but de nous assurer que cela ne se reproduira pas.

Cette enquête souligne également la nécessité de modifier les lois de la Colombie-Britannique afin de permettre aux organismes de réglementation d’imposer des pénalités financières aux sociétés qui violent le droit à la vie privée des particuliers. Cette affaire est précisément du genre de celles où mon bureau aurait envisagé d’infliger de telles pénalités. »

— Michael McEvoy, commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique

Le 25 mars 2020, le gouvernement de l’Ontario a modifié la Loi sur la protection des renseignements personnels sur la santé de l’Ontario. Lorsque ces modifications seront en vigueur, l’Ontario sera la première province du Canada à conférer à son commissaire à l’information et à la protection de la vie privée le pouvoir d’imposer des pénalités financières aux particuliers et aux sociétés qui contreviennent à la LPRPS.

• Contexte :
  • Backgrounder
  • Atteinte à la vie privée chez LifeLabs – 17 décembre 2019

Renseignements pour les médias

Jason Papadimos (CIPVP de l’Ontario)
@email

416 326-3965

Michelle Mitchell (OIPC de la C.-B.)

@email

250 217-7872