La confiance dans la santé numérique
Événement à l’occasion de la Journée de la protection des données : susciter la confiance dans les soins de santé numériques
L’événement que le CIPVP a tenu en 2023 à l’occasion de la Journée de la protection des données, intitulé Susciter la confiance dans les soins de santé numériques, a exploré des préoccupations et des occasions à saisir dans le secteur des soins de santé et la manière de gagner la confiance du public dans les nouveaux outils et innovations numériques dans le domaine de la santé. Un débat avec un panel d’experts a donné lieu à des discussions animées sur un éventail de sujet, notamment le passage du télécopieur à des modes de communication numérique sécurisés, l’instauration de pénalités administratives pécuniaires aux termes de la loi ontarienne sur les renseignements personnels sur la santé, la résilience contre les atteintes à la vie privée et les cyberattaques et la création d’une culture qui privilégie la protection de la vie privée et la sécurité dans l’ensemble de l’organisation.
Peu après cet événement, nous avons eu le plaisir d’apprendre que le gouvernement avait annoncé qu’il éliminerait le télécopieur. Dans une déclaration de la ministre de la Santé, le gouvernement de l’Ontario a annoncé qu’il « remplacera les antiques télécopieurs par des solutions de rechange numériques en matière de communication chez tous les fournisseurs de soins de santé de l’Ontario au cours des cinq prochaines années ». Nous avons également été ravis que le règlement sur les pénalités administratives soit finalement déposé et adopté quelques mois plus tard.
Les nouvelles pénalités administratives pécuniaires que peut imposer le CIPVP
Le 1er janvier 2024 est entré en vigueur un nouveau règlement pris en application de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS) de l’Ontario. Il permet au CIPVP d’imposer des pénalités administratives pécuniaires (PAP) à des particuliers et organisations qui enfreignent la LPRPS. Ce nouveau règlement montre à la population ontarienne que des mécanismes efficaces sont en place pour favoriser le respect de la LPRPS et contrer les menaces à leurs renseignements personnels sur la santé.
En prévision de l’entrée en vigueur du règlement, le CIPVP a publié un document d’orientation qui explique en détail comment il entend utiliser ces nouveaux pouvoirs. Ce document décrit les circonstances où nous pourrions envisager d’imposer des PAP, ainsi que les facteurs influant sur leur montant, lequel est établi au cas par cas. Nous avons l’intention d’adopter une approche semblable à celle d’une culture d’équité (utilisée couramment dans le secteur de la santé en cas d’erreur médicale) en soulignant l’importance de déclarer les erreurs pouvant survenir dans des systèmes complexes et d’en tirer la leçon, et en réservant les pénalités les plus lourdes aux cas où il est justifié de réagir avec plus de vigueur.
L’approche équitable, mesurée et proportionnelle du CIPVP vise à lutter efficacement contre les atteintes à la vie privée tout en encourageant la reddition de comptes et l’amélioration continue. Les PAP ne sont qu’une option parmi la gamme de mesures et d’interventions progressives dont dispose le CIPVP : fourniture de renseignements et de conseils, recommandations relatives aux mesures correctives à prendre, ordonnances, pénalités administratives et renvois au procureur général de l’Ontario à des fins de poursuites dans les cas les plus graves.
Examen triennal des personnes et entités prescrites : guide concernant la LPRPS
Tous les trois ans, le CIPVP examine en profondeur les pratiques et les procédures d’entités et de personnes prescrites qui traitent de grandes quantités de renseignements personnels sur la santé. Ces examens sont un élément fondamental de la LPRPS, et permettent de s’assurer que ces organisations, qui disposent d’une plus grande marge de manœuvre en vertu de la loi pour traiter sans consentement ces renseignements sensibles pour le bien public, respectent les normes de protection de la vie privée et de confidentialité les plus strictes.
Le CIPVP effectue ces examens en suivant les normes établies dans le Manual for The Review and Approval of Prescribed Persons and Prescribed Entities (guide d’examen et d’approbation des personnes et entités prescrites; en anglais seulement). Le CIPVP a passé une grande partie de l’année 2023 à revoir ce guide afin d’adopter une approche moderne, fondée sur les risques, et à mettre à jour les normes conformément à l’évolution des pratiques exemplaires, en particulier en ce qui concerne la cybersécurité. À l’automne 2023, le CIPVP a organisé pour la première fois une réunion en personne de toutes les entités et personnes prescrites en vertu de la LPRPS afin de discuter des changements et de les finaliser; ils ont été publiés en novembre. Cette réunion était le fruit d’un processus de consultation de deux ans visant à solliciter leurs points de vue et commentaires afin de s’assurer que les mises à jour que le CIPVP a apportées au guide sont applicables dans la pratique et peuvent résister à l’épreuve du temps. Cette approche réglementaire moderne et efficace nous permet de prendre en compte les points de vue des entités réglementées, d’établir une relation de confiance et, en définitive, de parvenir à une forme plus coopérative de respect de la loi.