Affaire marquante

Prévention des atteintes à la vie privée dans le secteur de la santé : l’importance de la formation, des politiques et des ententes de confidentialité

18 novembre 2024

Affaire marquante : Décision 260 en vertu de la LPRPS

Contexte

Un hôpital public a appris qu’un dossier de patient avait fait l’objet de consultations suspectes. Il a mené une enquête comprenant un audit ciblé. Cet audit a révélé qu’un médecin avait accédé à près de 4 000 dossiers de patients sans autorisation à partir d’un poste de travail éloigné, après les heures de travail. Ce médecin ne fournissait de soins à aucun de ces patients.

Le médecin a reconnu avoir accédé à distance aux dossiers de santé électroniques à des fins de formation, croyant que cette utilisation était autorisée. L’hôpital n’a relevé aucune indication de divulgation ou d’accès inapproprié après avoir soulevé cette question auprès du médecin. À la suite de cette atteinte à la vie privée, le médecin a dû suivre une formation sur la protection de la vie privée en 2023 et 2024.  

Au moment de l’atteinte à la vie privée, l’hôpital n’avait pas adopté de politique concernant l’utilisation de renseignements personnels sur la santé à des fins de formation. Les médecins de l’hôpital, y compris le médecin en question, n’avaient pas reçu de formation sur la protection de la vie privée ou sur l’utilisation de renseignements personnels sur la santé à de telles fins. L’hôpital a affirmé fournir une formation sur la protection de la vie privée à ses mandataires autres que des médecins au moment de leur embauche et chaque année par la suite. Cependant, il a constaté que seulement 50,4 % des mandataires autres que des médecins avaient suivi cette formation en 2023.

En vertu de la politique de l’hôpital, tous les mandataires, y compris les médecins, devaient signer une entente de confidentialité au moment de leur embauche et chaque année par la suite. Au cours de l’enquête, il est apparu que le médecin en question avait signé une telle entente lors de son embauche, mais pas chaque année par la suite. L’hôpital a expliqué qu’au moment de l’atteinte à la vie privée, il n’avait établi aucun processus structuré pour la signature des ententes de confidentialité et la vérification du respect de cette exigence auprès des médecins. Comme dans le cas des exigences en matière de formation sur la protection de la vie privée, l’hôpital a découvert que seulement 50,4 % de ses mandataires autres que des médecins avaient signé une entente de confidentialité en 2023.  

Conclusions

L’hôpital a signalé l’atteinte à la vie privée au Commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP). L’enquêteuse du CIPVP a constaté qu’au moment de l’atteinte à la vie privée, l’hôpital enfreignait la LPRPS pour les raisons suivantes :

  • il ne fournissait pas aux médecins une formation sur la protection de la vie privée;  
  • il ne s’assurait pas que les médecins signaient une entente de confidentialité chaque année;
  • il ne veillait pas à ce que ses mandataires autres que des médecins suivent également la formation requise et signent une entente de confidentialité chaque année;
  • il n’avait pas adopté de politiques ou de lignes directrices sur l’utilisation de renseignements personnels sur la santé à des fins de formation.  

L’hôpital a comblé ces lacunes en instaurant un système électronique de certification. Un responsable de la protection de la vie privée a été chargé de s’assurer que tous les mandataires, y compris les médecins, suivent leur formation obligatoire initiale et annuelle sur la protection de la vie privée.  

L’hôpital a également demandé au médecin en question de signer une nouvelle entente de confidentialité. De plus, en 2024, tous les médecins ont été tenus de signer à nouveau une entente de confidentialité par l’entremise du système en ligne de certification et de suivi. Comme pour le suivi de la formation sur la protection de la vie privée, la signature des ententes de confidentialité est incluse dans cette formation, et le responsable de la protection de la vie privée en fait le suivi.

En outre, l’hôpital a mis à jour et renforcé ses politiques et ententes de confidentialité afin de donner des directives claires à tous ses mandataires, y compris ses médecins, concernant l’utilisation des renseignements personnels sur la santé à des fins de formation.

Grâce à ces mesures, la totalité des médecins (y compris celui ayant commis l’attente à la vie privée) ont suivi une formation sur la protection de la vie privée et signé une entente de confidentialité annuelle en 2024. De même, tous les mandataires autres que des médecins à temps plein et à temps partiel ont respecté ces exigences en 2024.  

Comme l’hôpital a pris des mesures pour régler les problèmes relevés en matière de protection de la vie privée, l’enquêteuse a jugé qu’il respectait l’article 10 et le paragraphe 12 (1) de la LPRPS. Elle a conclu qu’il n’était pas nécessaire de procéder à un examen officiel en vertu de la LPRPS et a clos le dossier.

Principaux constats

  1. Les dépositaires de renseignements sur la santé doivent fournir à tous les mandataires, y compris les médecins, une formation sur la protection de la vie privée au moment de leur embauche et chaque année par la suite. Cette formation doit comprendre des lignes directrices sur l’utilisation de renseignements personnels sur la santé à des fins de formation, conformément aux politiques du dépositaire. Cette formation devrait être mise à jour régulièrement afin de fournir à tous les mandataires des directives claires et à jour sur les utilisations autorisées des renseignements personnels sur la santé.  
  2. Les dépositaires de renseignements sur la santé doivent adopter des politiques de confidentialité exhaustives, qui mentionnent expressément l’utilisation de renseignements personnels sur la santé à des fins de formation. Ces politiques doivent également contenir des directives claires à l’intention des mandataires, y compris les médecins, sur les attentes et exigences concernant la formation sur la protection de la vie privée et les ententes de confidentialité. De plus, il faut examiner régulièrement ces politiques de confidentialité pour s’assurer qu’elles demeurent conformes aux lois et règlements en vigueur sur la protection de la vie privée.
  3. Les dépositaires de renseignements sur la santé doivent s’assurer que tous leurs mandataires, y compris les médecins, signent chaque année une entente de confidentialité dont ils attestent avoir lu et compris le contenu.
  4. Les dépositaires de renseignements sur la santé devraient mettre en place un système de suivi de la conformité pour s’assurer que tous les mandataires, y compris les médecins, ont suivi leur formation sur la protection de la vie privée et signé une entente de confidentialité, conformément aux politiques établies.  
  5. Pour des précisions, consulter la publication L’accès non autorisé aux renseignements personnels sur la santé : détection et dissuasion du CIPVP. 
Aidez-nous à améliorer notre site web. Cette page a-t-elle été utile?

Note:

  • Vous ne recevrez pas de réponse directe. Pour toute autre question, veuillez nous contacter à l'adresse suivante : @email
  • N'indiquez aucune information personnelle, telle que votre nom, votre numéro d'assurance sociale (NAS), votre adresse personnelle ou professionnelle, tout numéro de dossier ou d'affaire ou toute information personnelle relative à votre santé.
  • Pour plus d'informations sur cet outil, veuillez consulter notre politique de confidentialité.