Affaire marquante

L’élimination sécuritaire des dossiers de santé

3 février 2025

Affaire marquante : Décision 266 en vertu de la LPRPS

Contexte

Le Commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP) a reçu une plainte selon laquelle une clinique de santé avait omis d’éliminer de manière sécuritaire des dossiers de renseignements personnels sur la santé (RPS). Des photos de dossiers de patients qui avaient été jetés dans un bac de recyclage non sécurisé ont été fournies pour étayer les allégations.
Le CIPVP a écrit à la clinique au sujet de ces allégations. Elle lui a remis un rapport qui a soulevé des préoccupations supplémentaires, et le CIPVP a entamé une enquête sur cette affaire.

L’enquêteuse du CIPVP a pris possession des dossiers récupérés dans le bac de recyclage. Bon nombre avaient été déchiquetés ou déchirés à la main, mais l’enquêteuse a pu récupérer certains renseignements de nature délicate, notamment des dates de rendez-vous, des antécédents médicaux déclarés par un patient, la date de naissance d’un patient et le nom complet de six autres patients associés à la clinique.

Au cours de l’enquête, la clinique a expliqué que le personnel avait commencé à éliminer des dossiers pour libérer de l’espace. Certains dossiers avaient été déchiquetés, et d’autres avaient été déchirés à la main, car la déchiqueteuse était bruyante et aurait pu déranger des patients pendant leur rendez-vous. Le personnel d’entretien passait prendre les dossiers éliminés deux fois par semaine et les jetait dans une benne située dans un garage verrouillé du centre commercial où se trouve la clinique. L’éboueur local passait prendre les ordures toutes les semaines.

La clinique a convenu que le personnel d’entretien aurait pu accéder à des documents qui n’avaient pas été détruits de manière sécuritaire. Elle a reconnu qu’elle aurait dû prendre des mesures supplémentaires pour assurer l’élimination sécuritaire de ces renseignements. La clinique a également indiqué qu’elle n’avait pas adopté de politiques ou de procédures écrites de conservation, de destruction et d’élimination sécuritaires des dossiers. Elle donnait plutôt des directives verbales au personnel, et elle a reconnu que ces directives étaient insuffisantes.

La clinique a avisé par lettre les patients qui étaient concernés par cette atteinte à la vie privée. Plus tard, elle a envoyé une autre lettre à près de 500 patients qui étaient peut-être concernés également.

Conclusions

L’enquêteuse a constaté qu’au moment de l’atteinte à la vie privée, la clinique enfreignait plusieurs dispositions de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS). Ainsi, les dépositaires de renseignements sur la santé doivent :

  • prendre des mesures raisonnables pour protéger les renseignements personnels sur la santé [par. 12 (1)]; 
  • conserver et éliminer les dossiers de manière sécuritaire [par. 13 (1)];
  • adopter des pratiques relatives aux renseignements qui sont adéquates [par. 10 (1)];
  • suivre ces pratiques [par. 10 (2)]. 

L’enquêteuse a conclu qu’en raison de l’absence de mesures de précaution, la clinique n’avait pas été en mesure de s’assurer que les dossiers de RPS dont elle avait la garde ou le contrôle étaient conservés et éliminés de manière sécuritaire.
En réponse aux préoccupations de l’enquêteuse, la clinique a élaboré et mis en place des politiques et fourni une formation. Ainsi, elle a adopté une politique de confidentialité régissant la collecte, l’utilisation, la modification, la divulgation, la conservation et l’élimination de RPS. La clinique a également établi une politique sur les dossiers de clients énonçant des mesures précises à prendre pour protéger ces dossiers et les éliminer de manière sécuritaire.

Tous les membres du personnel ont été tenus d’examiner les nouvelles politiques et d’attester par écrit qu’ils les comprenaient et les respecteraient. Deux séances de formation ont également été tenues pour familiariser le personnel avec les pratiques de confidentialité mises à jour, et la clinique s’est engagée à fournir une formation deux fois par année à l’avenir. Elle a également mis à jour son guide de l’employé en y ajoutant des ressources sur ses obligations en vertu de la LPRPS, y compris une vidéo de formation sur la LPRPS et des liens vers la loi et d’autres ressources.

L’enquêteuse a conclu que, grâce à ces mesures correctives, la clinique était conforme à la LPRPS.

Enfin, l’enquêteuse a conclu que l’élimination de RPS de manière non sécuritaire constituait une perte de RPS, de sorte que la clinique était tenue d’aviser tous les particuliers concernés. La clinique avait envoyé une lettre d’avis, mais l’enquêteuse a constaté qu’elle présentait une lacune (qui a été comblée) et elle estimait que cet avis aurait dû avoir été donné plus tôt. Cependant, dans l’ensemble, l’enquêteuse considérait que la clinique avait donné l’avis exigé au paragraphe 12 (2) de la LPRPS. 

Principaux constats

  1. Les dépositaires de renseignements sur la santé (DRS) doivent protéger les RPS de leurs patients en tout temps, y compris pendant l’élimination des dossiers. 
  2. Les DRS doivent établir des politiques de confidentialité décrivant comment ils doivent recueillir, utiliser, modifier, divulguer, conserver ou éliminer des RPS. Ces politiques doivent préciser les mesures à prendre pour protéger les dossiers des patients et en assurer l’élimination de manière sécuritaire. 
  3. Les procédures à suivre pour assurer l’élimination des dossiers de manière sécuritaire reposent en partie sur le support utilisé. S’il s’agit de dossiers sur papier, comme c’était le cas en l’occurrence, il ne faut pas simplement les déchirer à la main. Il faut les déchiqueter correctement au moyen d’une déchiqueteuse à coupe transversale ou à micro-coupe afin qu’ils ne puissent être reconstitués. Cette opération peut avoir lieu sur place ou, si elle est confiée à un fournisseur externe, un contrat ou un accord officiel doit être conclu prévoyant la nécessité d’assurer la sécurité et la confidentialité des dossiers au cours du processus d’élimination et précisant la méthode d’élimination qui doit être employée.
  4. Les DRS doivent fournir à tous les membres de leur personnel une formation régulière sur les politiques et pratiques de confidentialité et sur l’élimination des dossiers de clients de manière sécuritaire. Les employés devraient suivre une formation annuelle et signer une attestation écrite selon laquelle ils ont lu et compris les politiques de confidentialité.
  5. Les DRS doivent aviser les particuliers concernés en cas de vol ou de perte de renseignements personnels sur la santé dont ils ont la garde ou le contrôle, ou en cas d’utilisation ou de divulgation non autorisée de ces renseignements. L’élimination de façon non sécuritaire de RPS constitue une perte de RPS, ce qui donne lieu à l’obligation d’aviser les particuliers concernés.

Ressources supplémentaires

Les sujets
Aidez-nous à améliorer notre site web. Cette page a-t-elle été utile?

Note:

  • Vous ne recevrez pas de réponse directe. Pour toute autre question, veuillez nous contacter à l'adresse suivante : @email
  • N'indiquez aucune information personnelle, telle que votre nom, votre numéro d'assurance sociale (NAS), votre adresse personnelle ou professionnelle, tout numéro de dossier ou d'affaire ou toute information personnelle relative à votre santé.
  • Pour plus d'informations sur cet outil, veuillez consulter notre politique de confidentialité.