Préservation des dossiers médicaux abandonnés
Affaire marquante : Décision 221 en vertu de la LPRPS (provisoire) et Décision 230 en vertu de la LPRPS 230 (définitive)
Contexte
Le Commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP) a été informé de l’abandon possible de dossiers médicaux dans une installation d’entreposage. Cette situation lui a été signalée par une entreprise de gestion immobilière agissant au nom d’un créancier d’une clinique médicale. Cette clinique exerçait ses activités dans une propriété que le créditeur avait vendue à un nouveau propriétaire. Le CIPVP a appris plus tard que l’entreprise de gestion immobilière avait pris possession de la propriété et des dossiers (au nom du créditeur) et que ces dossiers avaient été déplacés de la propriété à l’installation d’entreposage.
Le CIPVP a entamé un examen en vertu de la Loi sur la protection des renseignements personnels sur la santé (LPRPS). Au cours de cet examen, il a demandé à la clinique médicale, qui était le dépositaire de renseignements sur la santé en l’occurrence, de récupérer les dossiers et d’en assurer la sécurité. Le dépositaire n’a pas été en mesure de le faire car il ne pouvait pas payer l’installation d’entreposage. L’entreprise de gestion immobilière, quant à elle, a menacé de détruire les dossiers.
Le CIPVP a rendu en urgence une ordonnance provisoire (Décision 221 en vertu de la LPRPS) contre le créancier, l’installation d’entreposage, l’entreprise de gestion immobilière et leurs mandataires, leur enjoignant de préserver les documents et d’empêcher leur destruction. Ces parties ont respecté cette ordonnance.
Conclusions
Le CIPVP a terminé son examen et a rendu sa décision définitive, la Décision 230 en vertu de la LPRPS, comportant les constatations et ordonnances suivantes :
- L’arbitre a conclu que l’utilisation et la divulgation des dossiers par le créditeur, l’entreprise de gestion immobilière, l’installation d’entreposage et le nouveau propriétaire étaient assujetties au paragraphe 49 (1) de la LPRPS, lequel énonce les obligations des « destinataires » de renseignements personnels sur la santé.
- L’arbitre a conclu que l’installation d’entreposage et l’entreprise de gestion immobilière avaient enfreint le paragraphe 49 (1) de la LPRPS en refusant de remettre certains dossiers au dépositaire de renseignements sur la santé, et leur a ordonné de les lui rendre.
- L’arbitre a ordonné au dépositaire de renseignements sur la santé de récupérer les dossiers et d’assurer leur sécurité conformément à ses obligations aux termes de l’article 12 (sécurité) et 13 (traitement des dossiers) de la LPRPS.
- L’arbitre a rendu d’autres ordonnances contre certains des intimés afin de préserver les dossiers et d’assurer leur sécurité en attendant que le dépositaire de renseignements sur la santé les récupère.
Principaux enseignements
- Lorsqu’on constate que des dossiers de renseignements personnels sur la santé ont été abandonnés, le particulier qui les trouve doit prendre des mesures pour les préserver. En effet, une personne qui découvre des dossiers abandonnés pourrait être considérée comme étant un « destinataire » de renseignements personnels sur la santé, ce qui lui impose des obligations importantes en vertu du sous-alinéa 7 (1) b) (ii) et de l’article 49 de la LPRPS. Ainsi, un particulier qui trouve des dossiers abandonnés ne doit pas utiliser ni divulguer de renseignements personnels sur la santé sans autorisation.
- Le dépositaire de renseignements sur la santé et ses mandataires doivent prendre des mesures raisonnables pour veiller à ce que les renseignements personnels sur la santé dont ils ont la garde ou le contrôle soient protégés contre le vol, la perte et une utilisation ou une divulgation non autorisée, conformément au paragraphe 12 (1) de la LPRPS. Ils doivent notamment dresser un plan d’urgence pour préserver les dossiers et en assurer la sécurité en cas de faillite, de retraite ou de décès. Le dépositaire de renseignements sur la santé doit également s’assurer que tout contrat avec des fournisseurs, comme des entreprises d’entreposage, est compatible avec son obligation de gérer et de protéger les dossiers de renseignements personnels sur la santé.
- S’il faut déplacer ou détruire des dossiers contenant des renseignements personnels sur la santé, le dépositaire de renseignements sur la santé et ses mandataires doivent veiller à ce que les dossiers dont ils ont la garde ou le contrôle soient conservés, transférés et éliminés de manière sécuritaire conformément aux exigences prescrites, le cas échéant, conformément au paragraphe 13 (1) de la LPRPS.
- Un particulier qui trouve des dossiers abandonnés doit tenter d’identifier le dépositaire de renseignements sur la santé à partir des dossiers, et s’il y parvient, communiquer avec lui afin de lui rendre les dossiers de façon sécuritaire.
Pour des précisions, consulter le document Éviter l’abandon des dossiers médicaux et la feuille-info Un plan de relève peut contribuer à prévenir l’abandon de dossiers du CIPVP.