Mettons fin une fois pour toutes à l’accès non autorisé aux renseignements personnels sur la santé
L’adoption rapide de technologies et la numérisation des services de santé font en sorte qu’il est plus important que jamais de protéger la vie privée des patients afin de préserver la confiance de la population ontarienne dans le système de santé. C’est pourquoi le CIPVP a choisi La confiance dans la santé numérique parmi les priorités stratégiques qui orienteront son travail au cours des prochaines années. Nous avons pour objectif de favoriser, d’une part, la confiance dans le système de soins de santé numérique en nous assurant que les dépositaires respectent les droits des Ontariennes et des Ontariens en matière de protection de la vie privée et d’accès à l’information et, d’autre part, l’utilisation novatrice des renseignements personnels sur la santé à des fins de recherche et d’analytique dans la mesure où elle sert le bien public.
Bien que l’utilisation accrue des outils numériques dans le secteur des soins de santé doive s’accompagner de mesures renforcées de protection de la vie privée et de sécurité pour parer aux attaques sophistiquées des cybercriminels, d’autres causes plus traditionnelles d’atteinte à la vie privée peuvent encore saper la confiance générale dans notre système de santé. Il est donc important de toujours rester vigilant et de se concentrer sur l’objectif final.
Le mois dernier, le rapport statistique annuel du CIPVP révélait que les accès non autorisés aux renseignements personnels sur la santé par des travailleurs de la santé ont compté pour plus de 20 % des atteintes à la vie privée autodéclarées dans le secteur de la santé en 2020.
Certains de ces cas d’accès non autorisé témoignent d’un penchant irrépressible à s’intéresser à la vie privée d’autrui et à alimenter des commérages inutiles. D’autres, en revanche, révèlent une tentative beaucoup plus sinistre de tirer un profit commercial de l’accès non autorisé à ces renseignements sur les patients en les fournissant, voire en les vendant, à d’autres personnes.
Mon bureau a rendu dernièrement la Décision 147 en vertu de la LPRPS (en anglais), qui décrit une enquête sur une plainte relative à la protection de la vie privée déposée par une patiente qui alléguait que des renseignements personnels sur sa santé avaient été utilisés et divulgués sans autorisation. Après avoir reçu un traitement hospitalier pour des blessures résultant d’un accident de la route, la patiente a été contactée par un médecin qui ne lui avait pas prodigué de soins, mais qui a prétendu faire une visite de courtoisie pour s’enquérir de son état dans le cadre d’une « vérification de la qualité ». Le médecin a recommandé à la patiente de se rendre dans une clinique de physiothérapie pour un suivi. À son arrivée à la clinique, la patiente a été accueillie par une avocate spécialisée dans les préjudices corporels qui a évoqué une éventuelle action en justice et décrit la procédure à suivre afin d’obtenir une indemnisation pour les préjudices résultant de son accident. Or, cette avocate était l’épouse du médecin qui l’avait dirigée vers la clinique.
Préoccupée par ce qui semblait constituer une consultation et une divulgation inappropriées de ses renseignements personnels, la patiente a signalé la situation à l’hôpital. Après examen, l’hôpital a découvert que le médecin et une commis de l’hôpital avaient accédé aux dossiers de renseignements personnels sur la santé de la patiente alors qu’ils n’avaient pas contribué à ses soins. La commis a été poursuivie et a plaidé coupable à une infraction à la LPRPS, et l’enquête de notre bureau s’est concentrée plus particulièrement sur les agissements du médecin et sur la responsabilité de l’hôpital à leur égard.
Notre enquête a révélé qu’au moment de l’atteinte à la vie privée, les politiques de l’hôpital et la formation de ses médecins en matière de vérification de la qualité n’étaient pas adéquates pour lui permettre de se conformer à ses obligations en matière de protection. Ces lacunes ont été comblées depuis, à la satisfaction de notre bureau.
Quant au médecin, l’enquête a révélé que son utilisation des renseignements personnels sur la santé de la patiente à des fins de vérification de la qualité n’était pas autorisée par la loi. Les preuves étaient insuffisantes pour déterminer si le médecin avait divulgué les renseignements personnels sur la santé de la patiente à son épouse dans ce cas précis, mais l’enquête a révélé des indices troublants selon lesquels d’autres patients victimes d’un accident de la route avaient vécu une expérience semblable après avoir quitté l’hôpital. Cette affaire devrait servir de mise en garde à tous les hôpitaux, leur rappelant la valeur pécuniaire éventuelle de certains renseignements personnels sur la santé et les incitatifs financiers importants qui augmentent le risque d’accès inapproprié à ces renseignements. En conséquence, les hôpitaux devraient penser à ces risques et s’en prémunir lorsqu’ils prennent des mesures raisonnables pour protéger les renseignements personnels sur la santé des patients contre les utilisations et les divulgations non autorisées.
On peut établir quelques parallèles entre cette décision récente et une autre, rendue il y a quelques années, qui portait également sur l’accès inapproprié à des renseignements par des employés d’hôpital pour en tirer un avantage financier. L’ordonnance HO-013 (en anglais) portait sur la collecte inappropriée de renseignements personnels sur la santé concernant de nouvelles mères de famille qui avaient accouché récemment dans un hôpital afin de vendre ou de commercialiser des régimes enregistrés d’épargne-études (REEE). Dans cette affaire, le CIPVP avait conclu que l’hôpital en question n’avait pas pris les mesures de précaution d’ordre technique et administratif qui s’imposaient pour éviter que ses employés n’utilisent ainsi à mauvais escient les renseignements personnels sur la santé de ses patientes.
Bien que tout cas d’accès non autorisé à des dossiers médicaux puisse entraîner des conséquences dévastatrices pour les patients, les professionnels de la santé et le système de santé dans son ensemble, de tels agissements sont encore plus répréhensibles lorsqu’ils sont commis dans un but commercial. Tous les fournisseurs de soins de santé de la province doivent prendre les mesures de précaution nécessaires pour déceler les accès non autorisés, en rendre compte et, en définitive, les éviter. Ils devront notamment utiliser des registres électroniques des accès, qui deviendront obligatoires en vertu d’une nouvelle disposition de la LPRPS une fois les règlements connexes adoptés.
Depuis l’entrée en vigueur de la LPRPS en 2004, huit dossiers ont été renvoyés au procureur général de l’Ontario en vue de poursuites en vertu de la loi. Six personnes ont été reconnues coupables et condamnées à des amendes pouvant atteindre 20 000 $ en plus d’une suramende compensatoire de 5 000 $. Des modifications apportées récemment à la LPRPS ont porté l’amende maximum pour infraction à cette loi à 1 million de dollars pour les personnes morales et à 200 000 $ pour les particuliers, et les contrevenants s’exposent à une peine de prison. Les tribunaux peuvent mettre beaucoup de temps à se prononcer sur ces affaires et il reste à voir si ces amendes maximales seront bientôt imposées pour dissuader les contrevenants éventuels de se livrer à des accès non autorisés.
Également aux termes de modifications apportées récemment à la LPRPS, mon bureau aura le pouvoir d’imposer le paiement de pénalités administratives aux personnes qui contreviennent à cette loi afin d’encourager l’observation de la loi ou d’empêcher quiconque de tirer un avantage économique par suite d’une telle contravention. Cependant, ces pénalités administratives ne pourront être imposées qu’une fois les règlements connexes adoptés.
Nous attendons ces nouveaux règlements avec beaucoup d’impatience et espérons que nous disposerons enfin des outils contraignants dont nous avons besoin afin qu’il soit trop coûteux et difficile pour les personnes voulant accéder sans autorisation à des renseignements personnels de succomber à la tentation.
Réduisons le nombre d’atteintes à la vie privée dans le secteur de la santé en mettant fin une fois pour toutes à l’accès non autorisé aux renseignements personnels sur la santé.
Patricia
Contact média
Pour une réponse rapide, veuillez nous envoyer un e-mail ou nous téléphoner avec les détails de votre demande tels que le média, le sujet et la date limite :
E-mail : @email
Téléphone : 416-326-3965
Médias Sociaux
Le CIPVP maintient des chaînes sur Twitter, YouTube et Linkedin afin de communiquer avec les Ontariens et les autres personnes intéressées par la vie privée, l'accès et les questions connexes.