La Journée de la protection des données 2023 : pronostic favorable pour la vie privée
À l’occasion de la Journée de la protection des données 2023, notre bureau a tenu un événement ayant pour thème Susciter la confiance dans les soins de santé numériques.
Depuis trois ans, le pays est éprouvé par la pandémie, les salles d’urgence débordées, l’accès difficile aux soins primaires et l’épuisement du personnel de santé. La population ontarienne (et canadienne) réclame haut et fort des améliorations aux services de santé. Le maintien de notre système de santé financé par l’État nécessitera des approches innovantes et de nouvelles solutions numériques.
Les premiers ministres s’apprêtent à négocier un nouvel accord de financement assorti de conditions qui entraîneront des changements fondamentaux dans la prestation des soins de santé, y compris le partage de données. Nous sommes à l’aube d’une véritable transformation.
Les changements susceptibles de découler de ce nouvel accord de financement s’ajouteront aux nombreux changements déjà en cours en Ontario, tels que la création des équipes Santé Ontario.
Pour être couronnés de succès, ces changements devront reposer sur une base solide fondée sur la confiance du public, en particulier dans le fait que les fournisseurs de soins de santé respecteront la vie privée des patients et assureront la sécurité des renseignements personnels sur la santé.
Sans confiance, les patients ne parleront pas franchement de leurs symptômes ou ne seront pas honnêtes quant au respect de leur plan de traitement. Pire encore, ils pourraient éviter tout simplement de demander de l’aide. Ils pourraient hésiter à adopter de nouvelles solutions numériques, à prendre part à des recherches ou à permettre que leurs renseignements personnels sur la santé soient partagés à des fins de santé publique plus larges, surtout s’ils craignent que l’on s’en serve pour stigmatiser la communauté à laquelle ils appartiennent.
On dit que la confiance s’apparente à un miroir : on peut la réparer si elle est brisée, mais on verra toujours la fissure dans le reflet. Les sujets que nous avons abordés vendredi dernier – abandonner le télécopieur, mettre un terme à la consultation non autorisée de renseignements personnels par les employés et se prémunir contre les cyberattaques, tout en créant une culture de la transparence et du respect de la vie privée – sont des conditions fondamentales pour mériter la confiance dans la santé numérique.
Mettre le télécopieur au rancart
D’après les statistiques sur les atteintes à la vie privée que tous les établissements de santé doivent envoyer chaque année à mon bureau, les télécopies mal acheminées demeurent la principale cause de divulgation non autorisée de renseignements personnels sur la santé en Ontario.
En 2021, 51 % des divulgations non autorisées signalées au CIPVP étaient attribuables à des télécopies mal acheminées; il s’agit heureusement d’une baisse par rapport aux 58,5 % de l’année précédente, mais ce pourcentage demeure beaucoup trop élevé.
Mon bureau a rendu public récemment un rapport sur le nombre élevé d’atteintes à la vie privée survenues dans un hôpital régional en raison de télécopies mal acheminées. Ce rapport contient des indications d’une grande utilité pour les fournisseurs de soins de santé sur les risques du télécopieur, et il fait état également de diverses mesures que l’on peut prendre pour minimiser le problème des télécopies mal acheminées et le recours au télécopieur.
Il est bon de constater que les parties prenantes peuvent collaborer pour remplacer le télécopieur par des formes de communication numérique plus sécuritaires. C’est ce que nous a expliqué vendredi dernier Wendy Lawrence, chef de la gestion des risques, des affaires juridiques et de la protection des renseignements personnels au Centre de soins de santé St-Joseph de Hamilton.
Ce thème va dans le sens d’une résolution conjointe que les commissaires fédéral, provinciaux et territoriaux à la protection de la vie privée, y compris mon bureau, ont rendue publique en septembre dernier sur le fait de susciter la confiance dans les services de santé numériques.
Cette résolution invite les gouvernements, les établissements de santé et les fournisseurs de soins à adopter diverses mesures, et notamment à dresser un plan coordonné pour éliminer progressivement l’utilisation du télécopieur et du courriel non chiffré. Elle préconise également l’adoption de technologies numériques sécurisées et la mise en œuvre de cadres de gouvernance responsable des données.
L’an dernier, j’ai renouvelé l’invitation de mon bureau aux gouvernements, ordres professionnels, établissements de santé, fournisseurs et autres intervenants de collaborer avec nous pour mettre au rancart le télécopieur, qui expose inutilement les particuliers à des dangers pour leur vie privée et mine leur confiance dans l’ensemble du système de santé.
Cela dit, nous sommes conscients du fait qu’il ne sera pas si facile d’abandonner le télécopieur.
Michael Hillmer, du ministère de la Santé, a décrit des difficultés d’ordre pratique dans l’ensemble du secteur, et notamment chez les fournisseurs de soins de santé en milieu communautaire, comme l’a expliqué Ariane Siegel d’Ontario MD. Sylvie Gaskin, de Santé Ontario, a expliqué les mesures concrètes qui ont été prises jusqu’à présent pour inviter les fournisseurs de soins de santé à adopter progressivement des formes de communication numérique plus sûres et plus interopérables.
La consultation non autorisée de renseignements personnels par des employés et les pénalités administratives pécuniaires
La consultation de dossiers médicaux sans autorisation par des employés est un autre problème persistant qui mine la confiance dans le système de santé.
Qu’elle soit perpétrée par malveillance, pour l’appât du gain, par simple curiosité ou pour se renseigner sur l’état de santé d’amis ou de membres de sa famille, la consultation non autorisée de dossiers médicaux peut entraîner des conséquences dévastatrices pour les patients, les professionnels de la santé et l’ensemble du système de santé.
Quelle que soit la raison qui motive une consultation non autorisée, elle mine toujours la confiance des patients.
Les rapports fournis à notre bureau en 2022 révèlent que la consultation non autorisée de renseignements personnels sur la santé par des travailleurs de la santé comptait pour 29 % des atteintes à la vie privée autodéclarées dans le secteur de la santé, en hausse par rapport à 21 % l’année précédente. Il s’agit d’une tendance troublante et persistante que nous constatons depuis quelques années.
Nous devons collaborer afin d’éliminer ce problème une fois pour toutes, en donnant une formation aux travailleurs pour les sensibiliser et prévenir les accès inappropriés, même bien intentionnés, et imposer des mesures disciplinaires efficaces en cas de malveillance.
Dans ce but, la loi ontarienne sur la protection des renseignements personnels sur la santé, la LPRPS, a été modifiée en 2020 afin de conférer à mon bureau le pouvoir d’imposer des pénalités administratives pécuniaires (PAP) aux personnes qui commettent des infractions graves à la loi. Michael Hillmer a décrit les objectifs que l’on compte atteindre en imposant des PAP en Ontario.
Il reste à adopter un règlement pour assurer l’entrée en vigueur de ces pénalités administratives, mais nos panélistes ont discuté de la façon dont ce nouvel outil d’application de la loi pourrait être utilisé efficacement pour décourager les mauvais agissements, comme la consultation non autorisée de dossiers médicaux, tout en encourageant de bons comportements.
Le secteur des soins de santé s’est familiarisé avec le concept de culture d’équité, qui consiste à sanctionner les erreurs médicales de façon équilibrée.
Il arrive en effet que les professionnels de la santé commettent des erreurs. Nyranne Martin, de L’Hôpital d’Ottawa, a expliqué que la culture d’équité consiste à recourir à un éventail de mesures, allant du fait de consoler, d’encadrer ou d’imposer des changements systémiques, à l’imposition de mesures disciplinaires et de sanctions, lesquelles sont réservées aux cas les plus répréhensibles.
Comme les erreurs médicales, les atteintes à la vie privée varient quant à ce qui les motive et à leur gravité. Wendy Lawrence a décrit des interventions concrètes pour freiner la consultation non autorisée de renseignements personnels, notamment des mécanismes renforcés de formation et de reddition de comptes, pour aider les employés à tirer la leçon de leurs erreurs, à les corriger et à éviter qu’elles ne se reproduisent, selon une démarche qui s’appuie sur une culture d’équité.
Les cyberattaques
Notre troisième thème : les cyberattaques, qui constituent malheureusement une menace de plus en plus sérieuse et généralisée pour la sécurité des renseignements personnels dans tous les secteurs, y compris celui de la santé.
Les cyberattaques s’intensifient dans le monde entier, surtout depuis l’avènement de la COVID-19; des institutions du secteur public ainsi que des infrastructures et services essentiels sont de plus en plus ciblés.
En 2021, le nombre d’atteintes à la vie privée attribuables à des cyberattaques dans le secteur de la santé qui ont été signalées à notre bureau a doublé par rapport à l’année précédente.
Nyranne Martin et Wendy Lawrence ont affirmé que les grands établissements doivent non seulement réaliser des investissements fondés sur le risque dans des technologies de protection, mais aussi investir dans les gens, afin que leur personnel soit conscient de ces dangers, et sache comment les éviter et quoi faire en cas d’atteinte à la vie privée.
Les cyberattaques sont particulièrement inquiétantes pour les petites organisations de soins de santé qui traitent de grandes quantités de données personnelles délicates, mais qui sont dépourvues des ressources financières nécessaires pour prendre des mesures défensives efficaces, et encore moins pour payer les rançons que réclament les pirates.
Sylvie Gaskin a décrit un projet conjoint de Santé Ontario et du ministère de la Santé visant à créer des centres opérationnels pouvant aider ces petites organisations à se donner plus de résilience contre les cyberattaques. Ariane Siegel, quant à elle, a décrit la formation pratique qu’Ontario MD fournit aux professionnels de la santé en milieu communautaire en matière de cybersécurité, notamment en ce qui concerne l’assurance.
Bon nombre des conseils techniques proposés par les panélistes vont dans le sens de la feuille-info récemment mise à jour du CIPVP sur la protection contre les attaques par rançongiciel.
Comme le dit le proverbe, mieux vaut prévenir que guérir!
Bâtir une culture de la transparence et du respect de la vie privée
Enfin, le panel s’est penché sur la création d’une culture de la transparence et du respect de la vie privée dans les organisations afin de rehausser et de préserver la confiance du public.
Nyranne Martin a mentionné qu’il est primordial d’assurer la protection et la sécurité des données dans l’ensemble de l’organisation, à commencer par le conseil d’administration et les cadres supérieurs. La protection de la vie privée et la sécurité informatique doivent également être intégrées de manière transversale et dans le cadre plus large de la gestion des risques afin d’atténuer ces derniers. Elle a souligné que le personnel de tous les échelons peut en venir à considérer son rôle de protéger la vie privée des patients non seulement comme une obligation, mais également comme une source de fierté.
D’autres panélistes ont discuté du rôle clé de l’éducation dans la sensibilisation aux questions relatives à la protection de la vie privée et à la sécurité et de l’importance d’intégrer dans la culture organisationnelle le respect de la vie privée des patients.
Enfin, Michael Hilmer nous a dit qu’il est essentiel de bâtir une culture de la transparence et du respect de la vie privée pour mériter la confiance des gens, et ainsi réaliser le projet ambitieux de l’Ontario d’assurer l’avenir de son modèle de prestation de soins de santé d’une manière plus viable sur le plan financier.
La modernisation de notre système de soins de santé par l’adoption d’outils numériques transformateurs et l’amélioration du partage des données nécessitera des structures et des processus de gouvernance appropriés pour maintenir la confiance du public, sur laquelle repose toute cette initiative.
Si la confiance est « la colle de la vie », comme l’a dit l’auteur Stephen Covey, elle est aussi la colle qui maintiendra l’intégrité de notre système de santé, quelle que soit la forme qu’il prendra à l’avenir, afin qu’il soit toujours là, inébranlable, pour soigner nos proches quand ils en auront le plus besoin.
Si vous n’avez pas pu assister à notre événement ou regarder la webémission, celle-ci est désormais accessible sur notre chaîne YouTube, et je vous invite à en faire part à vos amis, collègues et réseaux.
— Patricia
Contact média
Pour une réponse rapide, veuillez nous envoyer un e-mail ou nous téléphoner avec les détails de votre demande tels que le média, le sujet et la date limite :
E-mail : @email
Téléphone : 416-326-3965
Médias Sociaux
Le CIPVP maintient des chaînes sur Twitter, YouTube et Linkedin afin de communiquer avec les Ontariens et les autres personnes intéressées par la vie privée, l'accès et les questions connexes.