Décision 243 en vertu de la LPRPS

Affaire marquante : Décision 243 en vertu de la LPRPS*

*Les décisions sont disponibles en anglais. Une traduction en français est fournie sur demande.

Introduction

La recherche s’appuyant sur des renseignements sur la santé joue un rôle crucial pour améliorer les traitements médicaux et la qualité des soins. Pour mener des recherches en santé, les chercheurs doivent accéder à des renseignements personnels sur la santé, dont la collecte et l’utilisation sont réglementées en vertu des lois régissant la protection des renseignements personnels sur la santé. Cependant, ces renseignements sont de nature délicate, et en Ontario, les chercheurs en santé qui les utilisent doivent observer les exigences de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS). Ces exigences visent à protéger les renseignements sur la santé tout en permettant la tenue d’importantes recherches en santé.

Contexte

Établie par l’Université de Toronto en 2013, UTOPIAN est une base de données destinée à la recherche qui contient des dossiers dépersonnalisés de patients tirés de dossiers médicaux électroniques (DME) provenant de médecins de premier recours participants. Les renseignements personnels sur la santé téléversés dans UTOPIAN ont été recueillis auprès de dépositaires de renseignements sur la santé aux termes des dispositions de la LPRPS applicables à la recherche. 

L’université a remis aux dépositaires une entente de fournisseur, qui consistait en une lettre de plusieurs pages décrivant le projet UTOPIAN, suivie d’un formulaire de consentement du dépositaire. L’entente prévoyait que seules des données dépersonnalisées extraites de la base de données seraient fournies aux chercheurs aux fins de la recherche sur les soins primaires en Ontario. Cependant, l’université n’a pas fourni aux dépositaires participants une copie du plan de recherche initial ou mis à jour après renouvellement et modification. L’université ne leur a pas remis non plus une copie de la décision de la commission d’éthique de la recherche (CER) approuvant le plan de recherche. 

À l’origine, le plan de recherche d’UTOPIAN précisait qu’aucun identifiant de patient ne serait extrait. Cependant, cela a changé en 2020, lorsque l’université a élargi l’ampleur des renseignements sur la santé recueillis par UTOPIAN afin d’inclure des identifiants comme le nom, l’adresse, les numéros de téléphone, les adresses courriel et les numéros de carte Santé. UTOPIAN a également commencé à recueillir auprès des fournisseurs des renseignements personnels sur la santé tirés des DME ainsi que des images et d’autres visuels.

Pour informer les dépositaires de ce changement, l’université a envoyé un courriel de modification suivi d’un autre courriel deux semaines plus tard, demandant une « confirmation de lecture » dans les deux cas. Cependant, l’université n’a pas fourni de version mise à jour de l’entente devant être exécutée par les dépositaires qui en avait déjà exécuté une version antérieure.   

L’université a également reconnu que lors de deux périodes où les approbations de la CER étaient échues, l’université a continué de recueillir des renseignements personnels sur la santé. Elle a remis aux dépositaires un avis d’atteinte à la vie privée pour l’une de ces périodes mais pas pour l’autre.

Plainte

En 2022, une plainte anonyme a été déposée par un groupe de médecins qui alléguaient que l’université avait obtenu des renseignements personnels sur la santé de la part de dépositaires de renseignements sur la santé sans le consentement des patients et sans avoir fourni assez de renseignements aux dépositaires. Les plaignants ont également fait part de leur préoccupation concernant la possibilité que la base de données téléverse des renseignements personnels sur la santé qui auraient pu avoir été « pris, transférés, utilisés, modifiés, stockés et vendus délibérément ». En outre, les plaignants ont soulevé des inquiétudes sur la question de savoir si le processus de dépersonnalisation était adéquat et sur la divulgation à d’autres parties de renseignements éventuellement identificatoires provenant de la base de données.

Conclusions

L’enquêteuse du CIPVP a conclu que les obligations prévues à l’article 44 de la LPRPS en matière de recherche n’avaient pas été respectées. Entre autres manquements, le CIPVP a constaté que l’université n’avait pas remis aux dépositaires un plan de recherche et la décision de la CER approuvant ce plan. Il a également constaté que l’université avait recueilli des renseignements personnels sur la santé alors que l’approbation de la CER était échue, et n’avait pas donné un avis de l’une de ces atteintes à la vie privée. 

L’enquêteuse n’a pas accepté l’affirmation de l’université selon laquelle l’entente de fournisseur avait été modifiée par l’envoi de courriels précisant les changements faits en 2020. Elle a conclu que l’université aurait dû s’assurer que les dépositaires avaient communiqué clairement et sans équivoque leur acceptation de la modification proposée à l’entente, au lieu de s’appuyer sur leur silence. 

En vertu de l’article 44, la LPRPS n’exige pas le consentement des patients, mais l’université ne s’est pas assurée que les dépositaires avaient fourni aux patients un avis approprié au sujet de la recherche, ce qui était une des modalités du plan de recherche approuvé par la CER. 

Enfin, l’enquêteuse n’a pas trouvé de preuve étayant les allégations des plaignants concernant la vente de renseignements personnels sur la santé ou leurs préoccupations relatives à la dépersonnalisation.

Recommandations

L’enquêteuse a fait un certain nombre de recommandations et donné à l’université un délai de six mois pour rendre compte au CIPVP de leur mise en œuvre. Elle a notamment recommandé à l’université de s’assurer de conclure une entente de recherche en bonne et due forme avec chaque dépositaire et de s’assurer que toute modification importante soit incluse dans l’entente de recherche et explicitement acceptée. 

L’enquêteuse a également recommandé à l’université de mener une étude sur la réidentification afin d’évaluer la rigueur de ces procédures de dépersonnalisation. Elle lui a recommandé de mettre à jour ses procédures de notification des patients concernant le projet UTOPIAN et de ne pas se fonder uniquement sur l’installation d’affiches dans les bureaux des médecins, particulièrement dans un contexte de soins virtuels. Enfin, l’enquêteuse a recommandé à l’université de faire preuve de plus de transparence auprès des dépositaires participants et de créer un climat de confiance en communiquant avec eux de façon plus soutenue. 

Principales constatations

Cette décision a mis en relief plusieurs points importants concernant les obligations des chercheurs en vertu de la LPRPS :

  1. Les chercheurs doivent s’assurer de fournir toute l’information requise en vertu de la LPRPS aux dépositaires pour que ceux-ci puissent prendre des décisions éclairées concernant leur participation au projet de recherche en santé, notamment une copie du plan de recherche et de la ou des approbations de la CER.
  2. Lorsque des modifications importantes sont apportées à un plan de recherche en santé, les chercheurs devraient prendre les mesures nécessaires pour s’assurer que les dépositaires communiquent clairement et explicitement leur acceptation des modifications proposées. Par exemple, en l’occurrence, des copies de l’entente du fournisseur modifiée comprenant le formulaire de consentement mis à jour auraient pu être envoyées aux dépositaires en demandant qu’ils les exécutent, en incluant dans le courriel un hyperlien sur lequel les dépositaires auraient pu cliquer pour indiquer leur consentement ou en utilisant un autre moyen semblable.
  3. Les chercheurs devraient revoir la façon dont ils avisent les patients de la tenue d’une recherche (au moyen d’affiches dans les bureaux des médecins) et réévaluer son efficacité, en particulier dans un contexte de soins de santé virtuels. Par exemple, un plan de recherche pourrait être modifié de manière à proposer un avis différent et plus efficace dans ce contexte.
  4. Les chercheurs doivent faire preuve de transparence et maintenir une bonne communication avec les dépositaires concernant la collecte et l’utilisation de renseignements personnels sur la santé afin d’instaurer un climat de confiance envers la recherche. 
  5. Les chercheurs devraient réévaluer périodiquement la rigueur de leurs procédures de dépersonnalisation pour réduire les risques de réidentification qui évoluent en raison de changements apportés au plan ou à l’environnement de recherche, par exemple, en effectuant une évaluation de la réidentification conformément aux pratiques exemplaires énoncées dans les lignes directrices sur la dépersonnalisation des données structurées (De-identification Guidelines for Structured Data) du CIPVP et la norme ISO/IEC 27559:2022, comprenant une analyse d’un ensemble de données spécifique.

En définitive, les renseignements personnels sur la santé sont des renseignements de nature délicate qui nécessitent un degré élevé de protection. Bien que la recherche soit essentielle pour améliorer la qualité des soins et l’efficacité du système de santé, les dépositaires et le public doivent avoir la certitude que leurs renseignements personnels sur la santé sont protégés et que les chercheurs qui les recueillent et les utilisent respectent la loi.

Aidez-nous à améliorer notre site web. Cette page a-t-elle été utile?

Note:

  • Vous ne recevrez pas de réponse directe. Pour toute autre question, veuillez nous contacter à l'adresse suivante : @email
  • N'indiquez aucune information personnelle, telle que votre nom, votre numéro d'assurance sociale (NAS), votre adresse personnelle ou professionnelle, tout numéro de dossier ou d'affaire ou toute information personnelle relative à votre santé.
  • Pour plus d'informations sur cet outil, veuillez consulter notre politique de confidentialité.