Affaires marquantes

Comptes rendus d’affaires et de décisions marquantes du CIPVP

Affaires vedettes

Médecin tenant un iPad et regardant des données médicales.

Décision 249 en vertu de la LPRPS

Les attaques par rançongiciel ne sont pas rares, surtout à notre époque où les technologies progressent rapidement. Comme ces types d’attaques se multiplient, les dépositaires de renseignements sur la santé devraient mettre en place de solides mesures préventives pour minimiser et prévenir les risques des attaques liées à la cybersécurité.

Main tendue vers une illustration numérique d'un bouclier.

Décision 243 en vertu de la LPRPS

La recherche s’appuyant sur des renseignements sur la santé joue un rôle crucial pour améliorer les traitements médicaux et la qualité des soins. Cependant, ces renseignements sont de nature délicate, et en Ontario, les chercheurs en santé qui les utilisent doivent observer les exigences de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS).

Pirate utilisant un ordinateur portable.

Réponse à une cyberattaque : l’obligation d’aviser les particuliers en vertu de la LPRPS et de la LSEJF

Les institutions du secteur public courent un risque croissant de cyberattaque. Lorsqu’elles en sont victimes, elles doivent agir vite pour maîtriser l’atteinte à la vie privée et aviser les particuliers dont des renseignements personnels auraient pu avoir été touchés. Ces affaires soulignent l’obligation des organisations d’aviser les particuliers concernés en cas de cyberattaque aux termes de la Loi de 2004 sur la protection des renseignements personnels sur la santé et de la partie X de la Loi de 2017 sur les services à l’enfance, à la jeunesse et à la famille. .

Recent cases of note

La cyberattaque contre Toronto Public Library : un appel au renforcement des mesures de sécurité

Les cyberattaques se multiplient dans le monde, ce qui soulève des inquiétudes quant à la sécurité des documents électroniques. En vertu des lois ontariennes sur la protection de la vie privée, les organisations du secteur public doivent prendre des mesures raisonnables pour prévenir l’accès non autorisé aux documents dont elles ont la garde et le contrôle qui contiennent des renseignements personnels, y compris les documents électroniques. À moins de prendre des mesures de cybersécurité solides, efficaces et souples, les organisations, même les bibliothèques publiques, demeurent vulnérables aux attaques.

L’élimination sécuritaire des dossiers de santé

En vertu de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS), les dépositaires de renseignements sur la santé (DRS) doivent protéger les renseignements personnels sur la santé (RPS) dont ils ont la garde ou le contrôle, notamment en adoptant des méthodes d’élimination sécuritaire des dossiers pour éviter qu’on y accède sans autorisation. La Décision 266 en vertu de la LPRPS souligne les conséquences du non-respect de ces obligations, et donne des indications utiles à tous les DRS sur l’élimination sécuritaire des dossiers de patients.

Préservation des dossiers médicaux abandonnés

En vertu de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS), les dépositaires de renseignements sur la santé ont l’obligation de protéger les dossiers de renseignements personnels sur la santé des particuliers et d’en assurer la sécurité. Les dépositaires qui abandonnent ces renseignements, en perdent la garde ou le contrôle ou omettent de prendre des mesures raisonnables pour les protéger enfreignent la LPRPS. Les parties qui ne sont pas dépositaires mais qui sont en possession de dossiers de renseignements personnels sur la santé pourraient également être tenues de les préserver en tant que destinataires de ces renseignements [paragraphe 49 (1)].

Prévention des atteintes à la vie privée dans le secteur de la santé : l’importance de la formation, des politiques et des ententes de confidentialité

En vertu de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS), les dépositaires de renseignements sur la santé doivent protéger les renseignements personnels sur la santé de leurs patients. Ils doivent notamment adopter des politiques concernant l’utilisation de ces renseignements à des fins de formation et assurer le respect de ces politiques. Cette affaire souligne combien il est important d’adopter des politiques de confidentialité exhaustives, de fournir une formation annuelle sur la protection de la vie privée et de prévoir des ententes de confidentialité afin de prévenir l’accès non autorisé aux renseignements personnels sur la santé.