S1-Épisode 10 : Du chevet au conseil d’administration – Instaurer une culture de la vie privée et de la sécurité dans les établissements de santé
Les hôpitaux de l’Ontario investissent beaucoup dans la création de dossiers de santé électroniques, de portails pour patients et de solutions de santé numériques. Les systèmes d’information devenant de plus en plus complexes, les moyens de les sécuriser doivent également l’être. Dans cet épisode, la commissaire Kosseim discute avec Shafique Shamji, chef de l’information, et Nyranne Martin, chef de la protection des renseignements personnels de L’Hôpital d’Ottawa de leur travail concerté visant à intégrer les programmes de protection des renseignements personnels et de sécurité de l’information de l’hôpital et à réduire les risques pour les renseignements personnels sur la santé des patients. Nos invités traiteront des leçons tirées d’un grand projet de transformation de la TI, de certains aspects positifs découlant de la pandémie et de la création d’une culture interne qui accorde la priorité aux patients.
Remarques
Shafique Shamji est le vice-président exécutif et chef de l’information à L’Hôpital d’Ottawa et Nyranne Martin, l’avocate générale et directrice de la protection de la vie privée de l’hôpital
- Favoriser une culture de protection des renseignements et de sécurité personnels à L’Hôpital d’Ottawa [3:31]
- La protection des renseignements personnels et la sécurité font partie intégrante du cadre global de gestion du risque global de l’entreprise [6:58]
- Aller au-delà des vérifications au hasard pour détecter les accès non autorisés aux renseignements sur les patients [9:24]
- Maintenir des liens étroits entre les équipes de protection des renseignements personnels et de technologie de l’information [12:40]
- Assurer des contrôles techniques rigoureux ne constitue pas un obstacle à la prestation de soins [14:04]
- Établir le ton approprié au niveau de la haute direction [15:20]
- Leçons tirées de la pandémie [16:38]
- Passer du papier aux systèmes électroniques [18:30]
- Déployer un des projets de technologie de l’information les plus importants de l’histoire de l’hôpital [20:04]
- Intégrer la protection des renseignements personnels dans les nouveaux systèmes de l’hôpital [24:53]
- Choses qui empêchent le chef de l’information de dormir la nuit [29:18]
- Moyens de susciter la confiance dans la santé numérique en Ontario [31:56]
- Moderniser la loi en fonction des progrès technologiques [33:55]
Ressources :
- La confiance des patients au cœur de la santé virtuelle (L’info ça compte, épisode avec le Dr Duncan Rozario)
- La confiance dans la santé numérique : Priorités stratégiques du CIPVP – 2021‑2025 (plan stratégique du CIPVP)
- Les soins de santé numériques sous le régime de la LPRPS : aperçu sélectif (guide du CIPVP)
- La communication de renseignements personnels sur la santé par courriel (feuille-info du CIPVP)
- Reporting health privacy breaches to the IPC (webinaire du CIPVP)
- La seule constante, dans les soins de santé comme dans la vie, c’est le changement (blogue de la commissaire)
- Protection des renseignements personnels à L’Hôpital d’Ottawa (ressource pour les patients)
L’Info, ça compte est un balado sur les gens, la protection de la vie privée et l’accès à l’information animé par Patricia Kosseim, commissaire à l’information et à la protection de la vie privée. Avec des invités de tous les milieux, nous parlons des questions qui les intéressent le plus sur la protection de la vie privée et l’accès à l’information.
Si vous avez aimé cet épisode, laissez-nous une note ou un commentaire.
Vous aimeriez en apprendre plus sur un sujet lié à l’accès à l’information ou la protection de la vie privée? Vous aimeriez être invité à une émission? Envoyez-nous un gazouillis à @IPCinfoprivacy ou un courriel à @email.
Transcriptions
Patricia Kosseim :
Bonjour. Ici Patricia Kosseim, commissaire à l’information et à la protection de la vie privée de l’Ontario, et vous écoutez L’info, ça compte, un balado sur les gens, la protection de la vie privée et l’accès à l’information. Nous discutons avec des gens de tous les milieux des questions concernant l’accès à l’information et la protection de la vie privée qui comptent le plus pour eux.
Chers auditeurs, merci de vous joindre à nous aujourd’hui. Dans cet épisode de L’info, ça compte, nous parlerons des responsabilités des grands établissements de santé pour ce qui est de protéger les renseignements personnels sur la santé des patients. Les renseignements personnels sur la santé sont probablement le type de renseignements le plus sensible qui soit, car il renferme les renseignements les plus intimes et les plus personnels à notre sujet. Nos renseignements personnels nous suivent toute notre vie, littéralement. Ils peuvent avoir des répercussions sur nos perspectives de travail et nos assurances.
S’ils tombent entre de mauvaises mains, ces renseignements personnels peuvent causer de graves dommages, notamment réputation entachée, discrimination et stigmatisation. Pour partager en toute confiance nos renseignements médicaux avec les fournisseurs de soins, pour obtenir un diagnostic médical et un traitement approprié, nous devons pouvoir faire confiance aux personnes qui garderont nos renseignements en sécurité et confidentiels, et c’est particulièrement vrai pendant la pandémie, qui a contribué à accélérer l’adoption de nouvelles technologies numériques en santé.
Dans un autre épisode de L’info, ça compte, nous avons parlé des responsabilités des praticiens individuels ou des petites cliniques en matière de sécurité et de protection des renseignements personnels. Aujourd’hui, nous changeons de registre pour passer aux grandes institutions de santé. Depuis des années, les hôpitaux de toute la province investissent de fortes sommes dans le développement des dossiers de santé électroniques, les portails pour patients et les communications numériques entre fournisseurs de soins à l’échelle de la province. Et plus ces systèmes de gestion des renseignements deviennent complexes, plus les moyens de les sécuriser doivent faire de même.
Le problème d’employés d’hôpitaux qui fouillent dans les dossiers de santé électroniques de membres de leur famille, de voisins, d’anciens conjoints ou conjointes, d’amis et d’ennemis plus facilement que jamais, simplement d’un clic de souris, est devenu un enjeu très déconcertant. Nous sommes témoins de la montée des cyberattaques contre de très grandes institutions de santé, victimes de cybercriminels et de rançongiciels qui peuvent toucher des centaines de milliers de patients et paralyser tout le réseau de santé.
Les moyens que prennent les hôpitaux pour protéger leurs systèmes de dossiers de santé électronique contre ces menaces de plus en plus nombreuses sont devenus très complexes, et c’est ce qu’il faut. Dans cet épisode, nous verrons comment deux cadres très dévoués de L’Hôpital d’Ottawa, un des plus grands centres universitaires en sciences de la santé du Canada, travaillent ensemble pour protéger les renseignements personnels des patients. Avant de commencer, par souci de transparence, je tiens à mentionner que j’ai siégé au conseil d’administration de L’Hôpital d’Ottawa, mais en les invitant à participer à cet épisode, nous voulons simplement faire le point sur les enjeux avec lesquels beaucoup d’hôpitaux doivent composer aujourd’hui.
Mes invités sont Shafique Shamji, vice-président exécutif et chef de l’information, et Nyranne Martin, avocate générale et chef de la protection des renseignements personnels, tous deux de L’Hôpital d’Ottawa. Shafique et Nyranne, soyez les bienvenus.
Nyranne Martin :
Merci à vous de nous avoir invités.
Shafique Shamji :
Merci de nous avoir invités.
PK :
Merci à vous deux d’avoir accepté notre invitation. Du point de vue de la culture d’entreprise, nous savons que les politiques sur la sécurité et la protection des renseignements personnels sont peu utiles à moins que les employés consentent à les suivre. Quels moyens avez-vous pris pour favoriser une culture de sécurité et de protection des renseignements personnels à L’Hôpital d’Ottawa?
NM :
Tout d’abord, merci encore de nous avoir invités. C’est un plaisir de parler de certains enjeux, dont notre culture de protection des renseignements personnels. J’ai la chance de m’occuper de cinq enjeux dans mon portefeuille : services juridiques, protection des renseignements personnels, accès à l’information, respect de la réglementation et gouvernance. Cela signifie que la protection des renseignements personnels est prioritaire et qu’elle touche tous les enjeux que j’ai à gérer. Je dirais donc que, selon notre expérience, une approche qui intègre les politiques, les processus, l’éducation, la sensibilisation et la formation est efficace pour créer une culture de protection des renseignements personnels.
Et vraiment, cela commence par le haut. Tôt après mon arrivée à L’Hôpital d’Ottawa, il y a un peu plus de sept ans, ce que nous avons entrepris de faire c’est de trouver les lacunes et de trouver des moyens d’engager la direction. En fait, nous avons invité votre prédécesseur, le commissaire Beamish, à participer à un événement prestigieux pour parler des conséquences des consultations non autorisées et pour engager nos hauts dirigeants et notre personnel de première ligne, et cela a permis de montrer un autre aspect de la protection des renseignements personnels.
Avec le temps, on a commencé à nous dire que la protection des renseignements personnels peut être un obstacle à l’accès à l’information, à l’efficacité du travail. Nous avons constaté alors qu’il était important de changer de ton et de lancer une campagne de communication qui parlait de la fierté de protéger les renseignements personnels et rappelait au personnel, de la haute direction aux travailleurs de première ligne en passant par les employés d’entretien, tout ce qu’ils font quotidiennement pour protéger les renseignements personnels des patients.
Je dirais donc que nous avons développé la culture en étant réceptifs, en écoutant, par la gouvernance, les communications, des événements, et en montrant que nous sommes réellement déterminés à protéger les renseignements personnels.
PK :
Vous avez souligné que vous vous occupez de plusieurs enjeux à titre d’avocate générale et de chef de la protection des renseignements personnels, ce qui, en fait, vous aide à tisser la culture du droit à la protection des renseignements personnels au sein de l’organisme. Je suis particulièrement intéressée à explorer votre rôle en ce qui concerne la gestion du risque en entreprise. Comment vous assurez-vous que la notion de protection des renseignements personnels et de sécurité est intégrée comme il convient dans le cadre de gestion du risque en entreprise?
NM :
L’Hôpital d’Ottawa, comme beaucoup d’institutions de notre taille, a un programme de gestion du risque en entreprise qui suppose un processus permettant d’identifier et d’atténuer les risques et de rendre compte de notre travail de gestion du risque. Les risques liés à la protection de la vie privée et à la sécurité, en raison seulement de la nature de notre secteur, de l’importance des renseignements personnels sur la santé, sont toujours présents dans notre approche en matière de gestion du risque en entreprise.
De plus, je dirais que, comme nous tentons maintenant d’intégrer tous nos efforts en matière de gestion du risque à l’échelle de l’organisme, la gestion du risque se fait maintenant à un niveau inférieur, soit au niveau des programmes et des initiatives de projet. Les enjeux de cybersécurité et de protection de la vie privée sont toujours prioritaires en raison de l’importance et de l’incidence que ces risques peuvent avoir sur notre travail quotidien et sur la confiance du public dans nos institutions de soins de santé.
PK :
Déjà, une bonne introduction qui démontre l’importance d’un cadre rigoureux de protection des renseignements personnels et de sécurité dans un organisme de soins de santé aussi important que le vôtre. Shafique, souhaitez-vous ajouter quelque chose?
SS :
Merci, Patricia. Je pense que je suis tout à fait d’accord avec Nyranne à deux égards. Le premier touche la reconnaissance et l’apprentissage méthodiques et constants que l’équipe chargée des questions de protection des renseignements personnels a fournis à l’organisme au fil des ans. Ce que nous voyons ce sont des gens qui sont plus sensibilisés, y compris les membres de la direction, à l’importance de la protection des renseignements personnels. La cybersécurité, franchement, c’est facile d’y être sensibilisé. On en entend parler constamment aux nouvelles, dans les médias, et elle a une incidence importante sur tous.
Ce que nous avons appris, avec le temps, c’est que tout ça est tellement intégré, que tout est relié. J’aimerais donc dire que Nyranne et moi sommes indissociables en quelque sorte, et vous verrez que nos façons d’aborder bon nombre des risques liés à la cybersécurité et à la protection des renseignements personnels sont alignées. Par conséquent, elles sont bien présentes dans notre cadre de gestion des risques.
PK :
Nyranne, vous avez fait preuve d’innovation dans les mesures que vous prenez pour assurer et surveiller l’observation des règles à l’hôpital, notamment le recours à des systèmes d’intelligence artificielle pour trouver différentes choses comme les consultations erratiques des dossiers de santé électroniques qui peuvent être un signe de consultations non autorisées. Parlez-nous de votre expérience et dites-nous comment les technologies novatrices vous ont aidée à jouer votre rôle pour ce qui est de l’observation des règles.
NM :
Nous savons que les vérifications au hasard sont rarement productives. Les vérifications ciblées permettent de détecter et, par la promotion de l’outil, de décourager les consultations non autorisées, qui sont un problème généralisé dans tous les secteurs. Chaque fois qu’ils en ont l’occasion, des individus peuvent parfois profiter de leur accès aux systèmes. J’ai donc eu la chance de pouvoir collaborer avec Shafique et son équipe, des professionnels très compétents en technologies de l’information, pour créer un outil de vérification et de contrôle, il y a quelques années, ce qui nous a permis de déceler et de décourager les atteintes à la vie privée au moyen de l’intelligence artificielle.
Très tôt, nous avons demandé conseil au CIPVP et avons mené des consultations, pour nous assurer que la façon dont nous avons élaboré cet outil protégerait les renseignements personnels et aurait tenu compte de tous les risques et occasions possibles. Ayant compris que cela était très efficace, nous avons mis à contribution, ce qui, selon moi, est plus important, Patricia, nos communications et notre messagerie automatique par l’entremise de l’outil afin d’assurer l’acceptation et la compréhension des paramètres d’utilisation appropriée des renseignements personnels sur la santé et d’assurer une surveillance et un suivi appropriés lorsqu’on constatait des lacunes.
Ce que je peux vous dire c’est que cette façon de procéder nous a permis de créer une culture de protection de la vie privée au lieu de simplement favoriser le respect des règles, parce que ce que nous avons constaté à partir des renseignements que l’outil nous a fournis, c’est que la très grande majorité des cas d’ « atteintes à la vie privée » étaient surtout attribuables à une erreur humaine, à une consultation non intentionnelle, à des lacunes dans la compréhension des politiques et des procédures. Après avoir mieux compris dans quelles circonstances ces cas se produisent, nous avons pu concentrer nos efforts de contrôle sur la très grande majorité des circonstances qui s’appliquaient à nous.
Nous avons également profité de l’occasion pour instaurer notre cadre de culture d’équité qui nous permet de nous concentrer sur notre rôle d’institution d’apprentissage. Donc, lorsqu’une personne commet une erreur, nous l’encadrons, nous la corrigeons, nous la consolons, et nous nous assurons de partager les enseignements avec d’autres personnes. Les circonstances où il y a des contacts malveillants, intentionnels et inappropriés sont très rares et nous sommes toujours capables d’intervenir rapidement dans ces circonstances également.
PK :
Voilà qui montre brillamment comment la technologie novatrice peut vraiment contribuer à créer un milieu qui protège les renseignements personnels. Vous avez mentionné deux fois l’intégration entre la protection des renseignements personnels et la sécurité relativement au cadre de gestion du risque en entreprise, à la gouvernance générale de l’organisation, et à la collaboration qui a formé et contribué à créer et à instaurer ce nouvel outil. Beaucoup de choses ont été écrites au sujet de la nécessité d’assurer une intégration rigoureuse entre les fonctions de protection des renseignements personnels et de sécurité d’un organisme. Comment vous et les équipes de Shafique travaillez-vous ensemble pour intégrer protection des renseignements personnels et sécurité à L’Hôpital d’Ottawa?
NM :
Pour concilier protection des renseignements personnels et sécurité lorsque ces deux concepts ne relèvent pas d’une seule personne, il faut d’abord et avant tout bâtir des relations de confiance et de collaboration aux niveaux supérieurs que vous enchâssez ensuite dans une structure de gouvernance. Dans notre institution, nous travaillons ensemble au sein du comité de direction de l’accès à l’information et de protection des renseignements personnels, qui est une structure de gouvernance interne qui surveille les risques et les occasions d’atteinte à la vie privée et la sécurité des renseignements, et s’assure que nos équipes s’alignent pour élaborer nos programmes ensemble.
SS :
Je suis tout à fait d’accord. Je pense que nous sommes très chanceux à L’Hôpital d’Ottawa en ce que nous avons un spécialiste responsable de la protection des renseignements personnels et un spécialiste responsable de notre technologie. L’essentiel c’est vraiment d’établir cette relation de confiance entre ces deux spécialistes, qui sont experts dans leur domaine, mais qui peuvent s’ouvrir et apprendre l’un de l’autre, et trouver des moyens de travailler ensemble pour que, en définitive, non seulement nous puissions protéger les renseignements personnels de nos patients, mais aussi faciliter la vie de tout le monde, y compris nos patients, en facilitant l’utilisation du système de santé.
Et c’est un équilibre délicat parce que nous voulons éviter de tout arrêter, alors c’est très difficile pour tout le monde. Par ailleurs, nous ne voulons pas être trop ouverts pour que ça devienne facile pour tout le monde, y compris pour les mauvaises personnes. Je pense qu’il y a un très bon équilibre lorsque nous avons des contrôles très serrés, une technologie très puissante pour protéger les renseignements, mais en même temps que la technologie peut être utilisée d’une manière qui ne nuit pas à la prestation des soins, ce qui est réellement notre raison d’être.
PK :
Et quand vous dites que vous travaillez ensemble en étroite collaboration, j’imagine que ça vaut aussi pour vos équipes.
NM :
Absolument et je pense qu’un des rôles que nous jouons au niveau de la haute direction, ça ressemble à un service de traduction. Je traduis une partie du langage technique de Shafique à mes responsables ou à mes avocats de l’observation des règlements et des règles de protection des renseignements personnels, et vice-versa. On essaie de comprendre ce qui motive chacune de nos équipes, comprendre que ce que nous devons faire, en définitive, c’est de servir nos patients, notre communauté, et de renforcer notre institution, et c’est grâce aux experts techniques qui sont là pour nous aider mutuellement à comprendre le langage de l’autre.
SS :
Vous avez dit quelque chose un peu plus tôt au sujet du ton au sommet. C’est amusant de voir ce qui se produit quand il y a une relation de confiance entre les leaders. Cela se fait sentir dans l’ensemble de l’organisation et vos équipes le comprennent et commencent à collaborer plus étroitement. Je pense que le ton commence au sommet et imprègne l’ensemble de l’organisation.
PK :
Tous les deux, vous avez été au cœur de la pandémie de COVID au cours de la dernière année et demie. Je ne peux que difficilement imaginer ce que vous et vos collègues avez vécu dans les derniers mois. Cependant, soyons positifs pour un instant, à votre avis, y a-t-il eu des points positifs concernant la protection des renseignements personnels ou le renforcement de la sécurité en raison ou à cause de la pandémie de COVID?
NM :
Merci, Patricia. Je pense que pendant toute la pandémie, nous avons tous eu à nous concentrer, dans nos vies personnelles et professionnelles, sur les occasions qui s’offraient à nous, sur le bon côté des choses. La pandémie a nécessité l’adoption et le déploiement immédiats d’outils visant à faciliter les soins virtuels et le télétravail. Shafique peut en dire plus sur les détails requis du point de vue technique.
Par contre, du point de vue de la protection des renseignements personnels et de l’observation des règles, nous avons dû nous adapter très rapidement à cette réalité en mettant en œuvre des processus comme des lignes directrices sur la protection des renseignements personnels, des soutiens aux équipes pour leur permettre de fournir le plus de soins possible virtuellement, quand les opérations cliniques ont été arrêtées, et de le faire d’une manière qui protégeait les renseignements personnels, en quelques jours, semaines ou mois, alors que dans des circonstances « normales », cela aurait pris des années. Alors, je pense que, en raison de la quantité de travail virtuel que nous avons eu à faire et de soins virtuels que nous avons eu à donner, nous avons pu renforcer très rapidement nos contrôles techniques et administratifs.
SS :
Absolument. Ça a été une période très difficile pour tout le système de santé parce qu’il a été débordé à cause de la pandémie. Mais je dirai que notre approche et notre réponse à la pandémie ont été en grande partie propulsées par la technologie, et tout le travail acharné et toute l’attention que nous avons déployés pour bâtir méthodiquement et très solidement nos systèmes et notre infrastructure ont porté des fruits, au final, pendant la pandémie.
Donc, le télétravail, les soins virtuels, et même des petites choses comme donner aux personnes accès à leurs résultats de tests, leur permettre de prendre rendez-vous pour leurs vaccins et subir des tests, tous ces résultats ont été obtenus très rapidement par voie électronique. Cela aurait été beaucoup plus difficile s’il avait fallu faire tout ça sur papier ou au téléphone. J’ajouterais qu’on est beaucoup plus sensibilisé à la technologie et à l’importance de la sécurité et de la protection des renseignements personnels.
Les employés savent donc que même s’ils travaillent chez eux, ils doivent être très prudents lorsqu’ils accèdent à des renseignements. Cela a réellement haussé le degré de sensibilisation de toute la population, franchement, à l’importance de rester vigilant et sensibilisé aux questions de protection des renseignements personnels et de sécurité. Vu sous cet angle, ce sont les points positifs.
PK :
Maintenant, même avant la pandémie, je pense que c’était en 2019, votre hôpital avait adopté un tout nouveau système d’information sur la santé. Shafique, je sais que vous avez été en grande partie responsable du déploiement de ce qui a probablement été un des plus grands projets de transformation informatique de toute l’histoire de l’hôpital. Pouvez-vous nous dire comment vous avez planifié une telle entreprise et quels contrôles vous avez instaurés pour assurer la gestion efficace du projet?
SS :
Oui, c’était réellement le projet de technologie le plus important de notre histoire. Six organismes ont œuvré ensemble pour créer un seul système informatique hospitalier que nous partageons. En ce qui concerne le plan, je dois dire que nous avons pu grandement compter sur nos prédécesseurs. Nous n’étions donc pas les premiers à mettre en œuvre un système informatique hospitalier. Dans notre cas, c’était Epic, un des plus importants systèmes de l’industrie. Un certain nombre de personnes et un certain nombre d’organismes, au Canada et aux États-Unis, l’avaient déjà instauré.
Nous avons donc pu compter grandement sur nos pairs, non seulement pour apprendre comment ils avaient fait ça, mais aussi pour connaître certains des obstacles qu’ils avaient rencontrés, afin d’être prêts et de pouvoir atténuer certaines de ces difficultés. L’autre chose que je dirais c’est que nous étions particulièrement fiers d’avoir placé le patient au cœur de notre projet. Donc, même si c’était un projet technologique, nous étions très conscients de ce qu’il signifiait pour les patients, du point de vue de leur cheminement à l’hôpital, qui un grand nombre d’établissements, pour nous assurer que ce ne soit ni compliqué, ni angoissant de naviguer dans le système.
Nous nous sommes donc concentrés sur la façon d’instaurer la technologie de manière à aider les patients à s’y retrouver dans le système. Finalement, nous voulions donner accès aux renseignements sur les patients d’une manière facile et lisible, 24 heures sur 24, 7 jours sur 7. Donc, pour ce portail de patients, nous avons accordé une grande attention à l’aspect sécurité, mais aussi à la facilité d’utilisation. À ces trois choses, j’ajouterais la gestion du changement. Comme vous pouvez l’imaginer, quand vous fournissez des soins de santé d’une certaine façon pendant très, très longtemps, changer cette façon de faire est très difficile pour certains.
Franchement, certaines choses sont plus faciles sur papier, et vous devez réellement vous habituer à faire les choses de façon électronique. Après un certain temps, vous vous habituez et vous vous demandez : « Mon Dieu! Comment est-ce que je pouvais faire ça sur papier avant? » C’est une des meilleures choses que nous avons faites pour l’hôpital et c’était le début de beaucoup d’autres choses dont nous avons parlé tantôt, les visites virtuelles, notre portail de patients, et autres attributs et valeurs que nous offrons aux patients de la région.
PK :
Nyranne, à titre de gestionnaire, selon vous, quels sont les principaux ingrédients pour assurer une gestion efficace de la protection des renseignements personnels et de la sécurité relativement à ce projet? Qu’est-ce que vous avez fait pour vous assurer qu’il se maintenait sur la bonne voie, qu’il comportait les éléments et la sécurité nécessaires dès le départ? Fondamentalement, comment vous êtes-vous assurée d’une approche de protection intégrée de la vie privée?
NM :
Le concept de protection intégrée de la vie privée faisait partie de la gestion et de la supervision du projet, ce qui comprenait un élément d’assurance risque, et de la technologie elle-même. D’entrée de jeu, en tant qu’institution, nous savions que nous devions chercher la meilleure technologie disponible pour protéger les renseignements personnels des patients. C’était le point de départ de la solution que nous avons évaluée. Cela était également inclus dans le développement du projet et le contrôle administratif.
C’est donc dire que la protection des renseignements personnels était priorisée dans les politiques, les procédures, l’éducation et la gestion. Maintenant que ce nouveau système informatique est fonctionnel depuis quelque temps, nous continuons d’assurer une gestion et une assurance risque efficaces, et la protection des renseignements personnels demeure prioritaire.
PK :
Vous avez parlé de la surveillance du projet. Comment vous êtes-vous assurés que la protection des renseignements personnels et la sécurité étaient prioritaires dans la planification du projet, la conception, le développement et la mise en œuvre?
SS :
Nous avons adopté une approche à deux volets pour nous assurer que la protection des renseignements personnels et la sécurité étaient prioritaires. Premièrement, notre structure de gouvernance comprenait un comité sur la protection des renseignements personnels et l’accès à l’information qui comprenait des représentants de toutes les parties prenantes pour nous assurer que ces exigences étaient enchâssées dans le système quand il serait mis en œuvre. Ce comité, qui était présidé par Nyranne, faisait part à notre comité de direction de toutes les exigences liées à la fonctionnalité et comment les patients verraient le système et comment les cliniciens allaient l’utiliser. Et nos spécialistes en sécurité des renseignements personnels étaient un élément important de cette structure.
Le second volet a consisté à utiliser les services d’un groupe externe d’assurance risque qui a examiné toutes les composantes de la mise en œuvre, y compris la protection des renseignements personnels et la sécurité. Donc, si nous avions oublié quelque chose, une tierce partie qui relevait directement de notre conseil et ferait un second examen objectif de tous ces éléments, quelqu’un qui n’était pas engagé et voulait s’assurer que les renseignements personnels des patients soient bien traités et sécurisés.
PK :
J’imagine que ça n’a pas toujours été facile. Avez-vous tiré des leçons que vous pourriez partager avec nos auditeurs?
SS :
Comme c’est le cas pour la transformation de toute grande entreprise, je pense que nous avons tiré beaucoup de leçons et qu’il y a eu quelques secousses. Nous avons beaucoup appris sur comment, avec le temps, des personnes changent leur façon de travailler. Et ce n’était pas intentionnel. Juste un petit mouvement vers la gauche ou vers la droite. L’installation d’un système électronique ne tolère pas de changement. Il faut la faire en suivant les règlements et les lois.
Il a donc fallu un peu de temps, franchement, pour rappeler à tout le monde de maintenir le cap et de ne pas prendre de raccourci. Personne ne prenait de raccourci, mais cette possibilité existait. En fait, le système électronique élimine ces options. Alors nous avions beaucoup appris à ce point. Je dirais aussi que la gouvernance est une chose difficile, vrai? Les organismes ne sont pas tous identiques et tout le monde n’a pas la même culture ni les mêmes défis. Et il est très important de relativiser.
Nous avons travaillé avec de formidables hôpitaux communautaires, beaucoup plus souples et plus petits, qui prennent leurs décisions plus vite. Une des choses que nous avons apprises c’est comment nous rencontrer au milieu pour prendre plus rapidement nos décisions en tenant compte de toutes les incidences possibles. Nous sommes très, très heureux d’avoir pris le temps de faire ça parce que le travail a donné des résultats, et depuis que le système est entré en fonction, il y a toujours des structures de gouvernance en place pour prendre des décisions. Et nous sommes bien meilleurs maintenant, parce que nous avons fait une bonne partie de ce travail pendant la mise en œuvre.
NM :
Je pense qu’une des leçons les plus importantes que nous avons tirées c’est de savoir que ce n’était pas un projet informatique, c’était une initiative de gestion du changement qui touchait le fonctionnement des activités cliniques, notre façon de documenter, de communiquer entre fournisseurs et de communiquer avec nos patients, et nous avons appris que la technologie permet ce changement. Une fois que nous l’avons compris, je pense que c’était la meilleure voie à prendre pour réussir. En rétrospective, je pense que cela a été une leçon importante.
PK :
Shafique, je ne peux pas résister à la tentation de vous demander ce qui vous empêche de dormir la nuit en tant que chef de l’information chargé de protéger l’hôpital contre les menaces de cybersécurité?
SS :
En fait, c’est la cybersécurité qui m’empêche de dormir. C’est quelque chose qui pourrait être dévastateur et qui pourrait arriver à n’importe quel organisme, pas seulement dans le secteur des soins de santé. Nous, les gens du système de soins de santé, sommes les gardiens des renseignements personnels de personnes, et nous prenons cela très, très au sérieux. Nous savons, par exemple, que le rythme de la technologie change et que la fréquence des cyberattaques augmente sans cesse. Nous n’avons pas à regarder très loin pour constater l’effet dévastateur qu’une cyberattaque pourrait avoir.
Il y a un certain nombre d’exemples, malheureusement, en Ontario, mais ce qui me vient à l’esprit c’est ce qui arrive à Terre-Neuve, une situation horrible, et je suis de tout cœur avec eux. Mais vous pouvez voir que cela peut avoir des effets dévastateurs non seulement pour les renseignements personnels sur la santé, mais aussi sur tout le système de santé. C’est donc ça qui m’empêche de dormir la nuit. Par contre, trois choses m’aident à dormir. La première, c’est la formidable équipe d’experts sur laquelle je peux compter. Ce sont des experts accrédités qui nous ont aidés à installer la technologie et les contrôles techniques appropriés qui gardent nos systèmes sûrs.
La deuxième chose, c’est que nous collaborons avec un grand nombre de collègues dans l’industrie avec qui nous travaillons, d’autres chefs de l’information et chefs de la sécurité de l’information, des agents de la sécurité de l’information de toute la province, qui font face aux mêmes défis. Alors, nous travaillons ensemble et c’est le pouvoir du nombre. Enfin, nous avons beaucoup de soutien de la province. Je dois dire que le ministère de la Santé et le ministère des Services gouvernementaux se sont associés pour aider les organismes de tout l’Ontario à adopter une approche normalisée en matière de cybersécurité et de protection de la sécurité.
Ils ont été formidables et nous ont donné des fonds pour nous aider à nous assurer d’être en sécurité et à maintenir les renseignements de nos patients en sécurité. Je pense que c’est ça qui m’aide. Je suis très chanceux d’avoir ce réseau et je pense que c’est ce qui m’aide à dormir.
PK :
Ou se remettre au lit.
SS :
Ou se remettre au lit. Une bonne façon de voir les choses.
PK :
Comme le savez tous les deux, mon bureau a fait de « La confiance dans la santé numérique » une des quatre priorités stratégiques qui guideront et orienteront notre travail au cours des quatre prochaines années. Comme dernière question avant de nous quitter, je vous demande à tous les deux quels conseils vous donneriez à mon bureau pour promouvoir la confiance dans la santé numérique en Ontario?
NM :
Nous avons lu ce document fantastique avec grand intérêt quand il a été rendu public. Je pense que le CIPVP joue un rôle essentiel dans notre écosystème grâce à son travail de défense découlant de la loi et de la réglementation, à son analyse. Et nous, les institutions de santé, comptons beaucoup sur vous pour établir les normes de conduite acceptable et établir la confiance au sein du public pour la santé numérique. La technologie, particulièrement dans le contexte postpandémique, est une composante cruciale de la prestation de services essentiels.
En dernier ressort, c’est ce que nous avons à faire. Alors je pense que pour notre part, la modernisation de nos paramètres législatifs et réglementaires est essentielle à notre réussite et à notre capacité d’adopter des technologies novatrices et de collaborer avec les fournisseurs de soins de santé chaque jour. Alors, dans la mesure où le CIPVP peut fournir l’analyse essentielle, donner au gouvernement des conseils essentiels et favoriser la confiance du public dans les outils technologiques que nous avons, je pense que cela facilitera notre réussite à tous.
SS :
Je me fais l’écho de ce que Nyranne vient de dire. Merci d’avoir posé cette question. Ce que j’ai appris en travaillant avec vous au fil du temps, c’est que vous comblez un fossé, créer par l’impossibilité pour les lois et les règlements de suivre le rythme de la technologie et des changements technologiques. Le CIPVP joue donc un rôle important en comblant ce fossé entre ce qui se passe sur les premières lignes aujourd’hui et ce que les lois prévoyaient quand elles ont été rédigées il y a de nombreuses années. J’apprécie que vous soyez là.
Quand nous avons réalisé notre projet, il y a de nombreuses années, concernant la détection et le contrôle de l’intelligence artificielle, vous étiez avec nous, vous avez travaillé avec nous, vous avez pris le temps de comprendre la technologie, vous avez essayé de combler l’écart entre la loi et ce dont la technologie est capable maintenant, ce qui, bien franchement, n’était pas dans le radar quand la loi a été écrite. Alors je vous dirais de continuer à jouer ce rôle parce que nous avons besoin de ce pont. Sinon, nous ne progresserons jamais autant que nous le pouvons pour utiliser la technologie à bon escient pour améliorer les soins aux patients.
Je pense que fondamentalement, nous voulons tous la technologie, non pas pour la technologie en soi, mais comment l’utiliser pour améliorer les soins et les résultats pour les patients. Je vous dirais de continuer à faire ce que vous faites et continuer de combler cet écart.
PK :
Nyranne, Shafique, merci encore de vous être joints à moi à L’info, ça compte. Vous avez donné de précieux points de vue sur les mécanismes de protection administratifs, techniques et physiques, et ceux liés à la gestion, que les grands organismes de santé mettent en place pour protéger les renseignements personnels des patients.
Il y a tant de choses à apprendre, et vous nous avez donné quelques renseignements aujourd’hui, notamment comment les équipes de protection de la vie privée et de sécurité doivent collaborer, comment les risques liés à la sécurité et à la protection des renseignements personnels doivent être mieux intégrés dans un cadre de gestion du risque en entreprise, et comment la gestion de la protection des renseignements personnels et de la sécurité doit demeurer prioritaire et être prise en compte pour que les risques soient atténués en conséquence. Nous avons tous besoin de pouvoir avoir confiance que nos renseignements personnels sur la santé sont protégés et en sécurité, et cette confiance doit être méritée et maintenue.
Les auditeurs qui veulent en savoir plus sur les renseignements personnels sur la santé, l’accès et la protection de ces renseignements peuvent consulter notre site Web à ipc.on.ca. Vous pouvez aussi communiquer avec notre bureau pour obtenir de l’aide et des renseignements généraux en français concernant les lois sur l’accès à l’information et la protection de la vie privée. C’est ici que se termine l’épisode d’aujourd’hui. Merci de nous avoir écoutés. À la prochaine.
Ici Patricia Kosseim, commissaire à l’information et à la protection de la vie privée de l’Ontario, et vous avez écouté L’info, ça compte. Si vous avez aimé ce balado, laissez-nous une note ou un commentaire. Si vous souhaitez en savoir plus sur un sujet qui concerne l’accès à l’information ou la protection de la vie privée dans un épisode futur, communiquez avec nous. Envoyez-nous un gazouillis à IPCinfoprivacy ou un courriel à @email. Merci d’avoir été des nôtres, et à bientôt pour d’autres conversations sur les gens, la protection de la vie privée et l’accès à l’information. Si ça compte pour vous, ça compte pour moi.