Podcast

S4-Épisode 10 : La protection de la vie privée dans le secteur de la santé : principaux enseignements de 2024

Info Matters Podcast Awards Cover Graphic FR

Dans cet épisode, la commissaire Patricia Kosseim et ses collègues du CIPVP traitent de dossiers marquants de 2024 en matière de protection de la vie privée dans le secteur de la santé. Leur entretien fait ressortir les enjeux, les enseignements pratiques et les leçons tirées des affaires traitées et des enquêtes menées récemment aux termes de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS). Que vous soyez fournisseur de soins de santé, professionnel de la protection de la vie privée ou juriste, ne manquez pas cet épisode qui vous réserve une foule de renseignements utiles.

Remarques

Dans cet épisode de L’info, ça compte, la commissaire Patricia Kosseim traite de dossiers marquants de 2024 en matière de protection de la vie privée dans le secteur de la santé avec ses collègues du CIPVP. Cet entretien fait ressortir les enjeux, les enseignements pratiques et les leçons tirées des enquêtes menées aux termes de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS).Que vous soyez fournisseur de soins de santé, professionnel de la protection de la vie privée ou juriste, cet épisode vous réserve une foule de renseignements utiles.

Points saillants de l’épisode

Attaque de rançongiciel contre une clinique d'imagerie médicale et ses implications pour la vie privée et les opérations [2:28]

Cyberattaque LifeLabs : enquêtes conjointes et principaux résultats juridiques [8:55]

Accès non autorisé aux dossiers des patients : lacunes en matière de formation et solutions [16:39]

Dossiers de santé abandonnés : risques, actions réglementaires et mesures préventives [26:02]

Obligations en vertu de la LPRPS lorsque des documents abandonnés sont découverts [31:41]

Principaux enseignements

  • Fournir chaque année une formation rigoureuse sur la protection de la vie privée à tout le personnel, y compris les médecins.
  • Adopter des politiques claires concernant l’utilisation de renseignements personnels sur la santé à des fins de formation.
  • Dresser un plan de relève afin d’éviter l’abandon de dossiers en cas de fermeture ou de retraite.
  • Surveiller les comptes inactifs et instaurer des politiques d’accès fondées sur le principe du privilège minimal.
  • Adopter une démarche proactive relativement aux atteintes à la vie privée, notamment en effectuant des copies de sauvegarde sécurisées et en instaurant des protocoles de notification.

Ressources

L’info, ça compte est un balado sur les gens, la protection de la vie privée et l’accès à l’information animé par Patricia Kosseim, commissaire à l’information et à la protection de la vie privée. Avec des invités de tous les milieux, nous parlons des questions qui les intéressent le plus sur la protection de la vie privée et l’accès à l’information. 

Si vous avez aimé cet épisode, laissez-nous une note ou un commentaire.

Vous aimeriez en savoir plus sur un sujet lié à l’accès à l’information ou à la protection de la vie privée? Vous aimeriez être invité à notre balado? Envoyez-nous un message à @cipvp_ontario ou un courriel à @email.

Transcriptions

Patricia Kosseim :

Bonjour. Ici Patricia Kosseim, commissaire à l’information et à la protection de la vie privée de l’Ontario, et vous écoutez L’info, ça compte, un balado sur les gens, la protection de la vie privée et l’accès à l’information. Nous discutons avec des gens de tous les milieux des questions concernant l’accès à l’information et la protection de la vie privée qui comptent le plus pour eux.
Bonjour, chers auditeurs, et bienvenue à un autre épisode de L’info, ça compte. Nous parlerons aujourd’hui de la protection de la vie privée dans le secteur de la santé. Nous passerons en revue des défis que nous avons eu à relever et des leçons que nous avons tirées des enquêtes et décisions récentes du CIPVP en vertu de la Loi de 2004 sur la protection des renseignements personnels sur la santé, la LPRPS.

Les dépositaires de renseignements sur la santé jouent un rôle essentiel pour protéger les renseignements personnels sur la santé, mais il est parfois difficile de se retrouver dans les règles de protection de la vie privée s’appliquant dans un système de santé complexe et dynamique. Qu’elles portent sur des brèches de cybersécurité, des attaques par rançongiciel, des consultations non autorisées de renseignements ou l’abandon de dossiers de santé, ces affaires soulignent les risques et les obligations qui sont au cœur de la protection de la vie privée dans le secteur de la santé.

Dans cet épisode, nous comptons fournir des conseils pratiques aux dépositaires de renseignements sur la santé pour leur permettre de renforcer leurs pratiques de protection de la vie privée et assurer le respect de la loi. Que vous soyez fournisseur de soins de santé, avocat du domaine de la santé, directeur général de la protection de la vie privée ou directeur général de l’information dans le secteur public ou privé, cet épisode regorge de renseignements pratiques dont vous voudrez prendre connaissance.
Mes invitées d’aujourd’hui sont toutes des collègues qui travaillent avec moi au CIPVP. Jennifer Olenick est arbitre au sein de notre Division du tribunal administratif et du règlement des différends. Linda Chen est avocate au sein de nos Services juridiques, et elle se spécialise en droit administratif et en contentieux. Alana Maloney est médiatrice et enquêteuse au sein de notre équipe des enquêtes, et Fida Hindi est avocate au sein de nos Services juridiques et se spécialise dans le droit de la protection de la vie privée en matière de santé. Chères collègues, bienvenue au balado.

Jennifer Olenick :

Merci de nous avoir invitées.

Linda Chen :

Merci. Ravie d’être avec vous.

JO :

Bravo.

PK :

Donc, Jennifer, commençons par vous. Vous avez rendu une décision, la Décision 249 en vertu de la LPRPS, qui portait sur une atteinte à la vie privée dans une clinique d’imagerie médicale. Pouvez-vous nous résumer cette affaire?

JO :

Avec plaisir. Donc c’est une situation qui, malheureusement, est de plus en plus fréquente, car cette affaire portait sur une attaque par rançongiciel. Une clinique d’imagerie médicale a été attaquée par un pirate, qui a chiffré les fichiers dans ses serveurs de documents électroniques et ses serveurs de fichiers, de sorte qu’il était impossible d’y accéder. Ce pirate a également exfiltré, c’est-à-dire volé, ces documents également. Il a aussi supprimé les systèmes de copie de sauvegarde, de sorte que la clinique ne pouvait pas simplement récupérer les données à partir d’une copie.

Donc, le pirate s’est emparé d’un peu plus d’un demi-million de dossiers de patients, avec leurs coordonnées, une partie de leur numéro de carte Santé et leur date de naissance, donc ce sont des renseignements importants. De plus, la clinique a été essentiellement incapable de poursuivre ses activités pendant environ deux semaines en attendant de résoudre cette situation. En définitive, elle a payé la rançon, obtenu des pirates une clé de déchiffrement et l’assurance qu’ils ne feraient rien d’autre de ces renseignements personnels sur la santé.

PK :

Voilà une situation très grave en effet. Qu’a fait la clinique dans l’immédiat en réponse à l’atteinte à la vie privée?

JO :

Les membres du personnel ont commencé par la maîtriser, c’est-à-dire en déconnectant les serveurs touchés d’Internet. Ils ont également déconnecté les autres serveurs reliés à leur réseau privé virtuel. De plus, ils ont mis hors service leurs serveurs critiques. Donc, essentiellement, ils ont tout déconnecté et tout rendu inaccessible.

La clinique a également fait appel à des enquêteurs spécialisés dans les atteintes à la vie privée pour déterminer ce qui s’était passé. Ils ont constaté que le pirate avait accédé au système par l’entremise d’un compte inactif. C’était un compte qu’avait utilisé un ancien employé de la clinique d’imagerie médicale. Et cet employé était en fait un développeur d’applications, et il avait des privilèges d’accès importants au système. Ces enquêteurs pensent que le pirate est parvenu à obtenir les données d’accès de cet ancien employé, que ce soit en devinant son mot de passe ou par un autre moyen, ce qui lui a permis d’ouvrir une session. Comme ce compte était assorti de nombreux privilèges, le pirate a pu essentiellement aller là où il voulait et causer tous ces dommages.

La clinique a également avisé le public en décrivant l’incident et les renseignements dérobés, et en publiant ces informations dans une fenêtre surgissante dans son site Web et en les affichant dans ses bureaux.

PK :

Donc on voit que la clinique a pris plusieurs mesures après l’incident; elle a maîtrisé l’atteinte à la vie privée, avisé les particuliers et mené une enquête. Et par la suite, qu’a fait la clinique pour réduire le risque qu’une telle atteinte à la vie privée se reproduise?

JO :

Elle a instauré des politiques supplémentaires, particulièrement au sujet des comptes inactifs et des privilèges qui y sont associés. Lorsqu’un compte est inactif pendant 90 jours ou plus, un avertissement est donné, puis le compte est supprimé. La clinique a également adopté une politique d’accès fondée sur le principe du privilège minimal, c’est-à-dire que seuls les employés qui ont besoin de privilèges supplémentaires pour leur compte les reçoivent. Actuellement, seuls deux employés de cette clinique d’imagerie médicale ont le plus haut niveau de privilèges administratifs.

La clinique a également posé un geste important en implantant un nouveau système pour les copies de sauvegarde. Le pirate a pu effacer les deux copies de sauvegarde lors de son attaque parce qu’elles étaient accessibles par l’entremise du système. Il n’a pas pu déterminer le contenu de ces copies, mais il a été en mesure de les supprimer complètement. Le nouveau système fait en sorte qu’une copie de sauvegarde est toujours hors ligne, alors quoi qu’il arrive, un pirate ne pourrait pas l’atteindre. Cette mesure ne réduit pas le risque d’atteinte à la vie privée ou d’attaque par rançongiciel, mais elle permet à la clinique de rétablir ses activités, peut-être sans être contrainte à payer une autre rançon.

PK :

Donc quelles sont les leçons que les autres institutions peuvent tirer de cette affaire?

JO :

Je crois que ce qu’il faut retenir, c’est qu’il faut être attentif aux aspects de base, par exemple, surveiller les comptes inactifs. Il ne faut pas les perdre de vue car il peut toujours arriver quelque chose. Il faut s’assurer que tous les comptes sont effectivement utilisés. Sont-ils nécessaires? Assurez-vous qu’ils le sont. Et aussi, accordez des privilèges uniquement aux personnes qui en ont besoin. N’accordez pas aux employés plus de privilèges d’accès aux systèmes que ceux dont ils ont besoin. Ainsi, les conséquences d’une atteinte à la vie privée pourraient être moins graves. Et enfin, il faut penser aux mots de passe. Adoptez des politiques pour faire comprendre aux employés qu’ils doivent utiliser des mots de passe forts qui sont difficiles à deviner, et qu’ils n’utilisent pas déjà ailleurs.
Une autre leçon à retenir, c’est qu’il faut garder l’œil sur ses systèmes de copie de sauvegarde, et veiller à toujours conserver une copie à un endroit inaccessible à un pirate. Vous pouvez configurer le système à votre guise, mais assurez-vous que vous aurez une copie de sauvegarde au besoin.

PK :

En l’occurrence, si elle avait disposé d’une copie de sauvegarde hors ligne, la clinique aurait pu maintenir ses activités.

JO :

Ou du moins, les rétablir beaucoup plus rapidement, en effet.

PK :

Merci beaucoup. Maintenant, Linda, j’aimerais vous parler d’une affaire qui a fait la manchette dans tout le Canada. En 2019, une cyberattaque commise contre les systèmes informatiques de LifeLabs s’est répercutée sur les renseignements personnels sur la santé d’environ 8,6 millions de clients situés pour la plupart en Ontario et en Colombie-Britannique. Nous avons mené une enquête conjointe avec le commissaire à l’information et à la protection de la vie privée de cette province. Notre rapport conjoint a été finalisé en juin 2020, et depuis, l’entreprise s’est conformée à toutes nos ordonnances et a mis en œuvre toutes nos recommandations.
Donc cette affaire remonte à un certain temps, mais jusqu’à tout récemment, on n’en a pas entendu parler parce que l’entreprise s’est opposée à ce que l’on publie notre rapport d’enquête conjoint, affirmant qu’une partie des renseignements qu’il contenait étaient visés par le secret professionnel de l’avocat ou le privilège relatif au litige. Ainsi, ce n’est que très récemment que nous avons pu rendre ce rapport public. Donc, Linda, pouvez-vous nous décrire les types de documents qui, selon LifeLabs, étaient privilégiés?

LC :

Merci, Patricia, oui. LifeLabs a affirmé que bon nombre de documents étaient privilégiés, notamment un rapport d’un expert-conseil en technologie de l’information sur les causes de la cyberattaque, les systèmes touchés et les mesures correctives à prendre pour éviter qu’une telle cyberattaque se reproduise. Ces documents comprenaient aussi une analyse de données interne réalisée par LifeLabs pour déterminer les clients qui avaient été touchés par cette atteinte à la vie privée. Comme vous l’avez mentionné, 8,6 millions de Canadiennes et de Canadiens ont été touchés. L’entreprise a également affirmé que la correspondance entre sa firme d’experts-conseils et les pirates était privilégiée. Et il y a eu des négociations sur la rançon, et l’entreprise a également revendiqué un privilège à leur égard. Il y avait aussi quelques documents contenant des réponses à des questions que les commissaires avaient posées à LifeLabs. Comme l’entreprise avait acheminé ses réponses par l’entremise de ses avocats, elle a soutenu qu’ils étaient également privilégiés. Pour ceux qui ne connaissent pas très bien ces concepts, disons que le privilège du secret professionnel de l’avocat s’applique généralement aux communications confidentielles entre clients et avocats visant à donner et à recevoir des conseils juridiques. Et le privilège relatif au litige, en gros, protège les documents qui ont été créés essentiellement pour se préparer à un litige. Donc, LifeLabs a invoqué à la fois le privilège du secret professionnel de l’avocat et le privilège relatif au litige pour tous ces documents.

PK :

Quelle a été la décision initiale des commissaires au sujet de ces revendications?

LC :

Les commissaires ont décidé que LifeLabs n’avait pas fourni de preuves suffisantes pour démontrer que les critères juridiques d’application de ces privilèges avaient été respectés. Ils ont souligné que certains faits contenus dans ces documents existaient ailleurs, par exemple, dans des rapports publics. Ainsi, le commissaire à l’information et à la protection de la vie privée de la Saskatchewan a rendu public son rapport sur la cyberattaque commise contre LifeLabs un mois avant que les commissaires de la Colombie-Britannique et de l’Ontario ne terminent leur rapport. Et le rapport de la Saskatchewan faisait état de différents faits qui se trouvaient également dans le rapport d’enquête des commissaires de la Colombie-Britannique et de l’Ontario et qui, selon LifeLabs, étaient privilégiés.

PK :

L’entreprise a alors déposé une requête en révision judiciaire de la décision des commissaires concernant ces privilèges. Quelle a été la décision de la Cour divisionnaire de l’Ontario en définitive?

LC :

La Cour divisionnaire de l’Ontario a décidé en définitive que la preuve ne permettait pas d’étayer les affirmations de LifeLabs selon lesquelles les faits inclus dans le rapport d’enquête des commissaires étaient privilégiés. La cour a également souligné que le privilège du secret professionnel de l’avocat ne protège pas les faits que la partie réglementée, donc LifeLabs, doit produire en raison d’obligations d’origine législative, c’est-à-dire, en l’occurrence, les obligations que lui impose la LPRPS et la Personal Information Protection Act de Colombie-Britannique. LifeLabs a également été tenue de faire enquête sur la cyberattaque et de prendre des mesures correctives, comme la loi l’y obligeait. Donc, les renseignements concernant cette enquête et ces mesures correctives qui étaient mentionnés dans le rapport d’enquête des commissaires ne pouvaient pas être privilégiés.

La cour a également statué que LifeLabs ne pouvait pas simplement se soustraire à ses obligations en ajoutant à des documents des renseignements sur les atteintes à la vie privée puis en affirmant que ces renseignements étaient privilégiés. Donc, le simple fait de remettre un document à un avocat ou de demander à son avocat d’obtenir un document ne permet pas de conclure que ce document et les faits qu’il contient sont privilégiés.

PK :

Aussi, l’entreprise a contesté notre droit de rendre une décision conjointe avec nos collègues de Colombie-Britannique, affirmant que nous n’avions pas le pouvoir de nous communiquer des renseignements et que cela pourrait porter atteinte à notre impartialité. Qu’a pensé la cour de cet argument?

LC :

La cour a rejeté cet argument. Elle a conclu que, premièrement, LifeLabs savait très bien que les commissaires travaillaient conjointement, tant aux fins de l’enquête que pour la rédaction du rapport d’enquête conjoint proposé. La cour a également conclu que la loi conférait aux deux organismes de réglementation, celui de Colombie-Britannique et le CIPVP, le pouvoir de coordonner leurs enquêtes sur des questions touchant la protection de la vie privée et de s’en communiquer les résultats. Et qu’il existe de nombreux précédents de ce type d’enquêtes conjointes entre organismes canadiens de réglementation de la protection de la vie privée.
C’est une conclusion vraiment très importante, car évidemment, les cyberattaques, comme Jennifer l’a mentionné, se multiplient sans égard aux frontières provinciales ou fédérales. Donc, il était très important pour la cour d’affirmer que le CIPVP pouvait mener des enquêtes et rendre des décisions conjointes avec d’autres organismes de réglementation.

PK :

En effet, c’est une conclusion très importante. La Cour d’appel de l’Ontario a rejeté la demande de LifeLabs d’interjeter appel de la décision de la Cour divisionnaire de l’Ontario, ce qui signifie cette décision est donc le dernier mot sur cette affaire. Donc, Linda, quelles leçons peut-on tirer de cette affaire? Quelle sera son incidence sur les futures enquêtes en matière de protection de la vie privée?

LC :

On peut en tirer notamment qu’il ne suffit pas pour un dépositaire de renseignements sur la santé de simplement déclarer qu’une chose ou un document est privilégié. Il faut fournir une preuve claire et suffisante pour étayer cette affirmation et il faut respecter les critères juridiques d’application de ces privilèges. Et les dépositaires de renseignements sur la santé doivent savoir que les faits qu’ils sont tenus de fournir à un organisme de réglementation dans le cadre d’une enquête ne sont probablement pas privilégiés, et ils doivent donc être disposés à produire ces faits dans le cadre d’une enquête d’un organisme de réglementation.
C’est particulièrement le cas lorsque les faits qui, selon le dépositaire de renseignements sur la santé, sont privilégiés ont déjà été mentionnés ailleurs. Cela ne veut pas dire qu’il est impossible pour un dépositaire de renseignements sur la santé de prouver qu’un document particulier est privilégié; il doit simplement fournir une preuve suffisante montrant que c’est le cas. Et même si un document est privilégié, il reste que l’organisme de réglementation a accès à certains faits pertinents pour l’enquête sur l’atteinte à la vie privée. Donc, les dépositaires de renseignements sur la santé doivent savoir que le simple fait qu’un document est privilégié ne signifie pas nécessairement que tous les faits qu’il contient seront également privilégiés.

PK :

Merci, Linda. Je sais que de nombreuses organisations ontariennes s’intéressaient beaucoup à l’issue de cette décision, comme des organismes de réglementation d’autres territoires de compétence au Canada. Donc c’était une affaire très importante, et je vous remercie de tout le travail que vous avez accompli pour faire avancer la jurisprudence sur cette question. Alana, j’aimerais maintenant vous donner la parole. Vous avez fait enquête sur une autre affaire concernant la protection de la vie privée dans le secteur de la santé cette année, la Décision 260 en vertu de la LPRPS, qui portait sur un médecin ayant accédé à des dossiers de patients sans autorisation. L’hôpital a découvert l’atteinte à la vie privée et l’a signalée à notre bureau. Quels étaient les faits de cette affaire?

Alana Maloney :

Merci, Patricia. Alors l’hôpital nous a expliqué qu’un médecin qui travaillait à l’hôpital avait remarqué une note vierge dans un dossier de patient; cette note avait été laissée par un autre médecin qui n’était pas en poste ce jour-là. Il l’a signalé à l’hôpital, qui a entamé une enquête. Cette enquête a consisté notamment à effectuer des audits des accès du médecin et à l’interroger.
À l’issue de cette enquête, l’hôpital a établi que le médecin avait accédé à près de 4 000 dossiers de patients sans autorisation. Il a porté ces accès non autorisés à l’attention du médecin, qui a reconnu y avoir accédé. Il a expliqué l’avoir fait à des fins de formation. Il croyait qu’accéder aux dossiers de santé électroniques de l’hôpital pour sa formation représentait une utilisation autorisée des renseignements personnels sur la santé.

Ce médecin avait emménagé récemment dans la localité au cours de la pandémie de Covid-19 pour travailler à l’hôpital, et il cherchait à apprendre et à s’informer. Donc, dans le cadre de son enquête, l’hôpital a établi qu’il n’avait pas cherché à accéder aux dossiers de personnes en particulier. Il n’a pas effectué de recherches de patients, et il n’entretenait aucune relation personnelle avec les patients en question. En définitive, le médecin a présenté ses excuses. L’hôpital lui a fourni une nouvelle formation et lui a demandé de signer des ententes de confidentialité, et il a surveillé ses accès. Après l’atteinte à la vie privée, l’hôpital n’a signalé aucun autre accès aux dossiers de personnes à qui le médecin ne fournissait pas de soins.

PK :

On voit donc qu’il s’agissait peut-être d’un médecin bien intentionné qui croyait être autorisé à faire ce qu’il a fait, alors qu’en réalité ces accès n’étaient pas autorisés. Quelles ont été les conclusions de votre enquête?

AM :

Nous avons constaté qu’au moment de l’atteinte à la vie privée, de nombreux aspects étaient contraires à la Loi sur la protection des renseignements personnels sur la santé. Par exemple, les médecins ne recevaient pas de formation sur la protection de la vie privée et n’étaient pas tenus de signer chaque année une entente de confidentialité. L’hôpital avait adopté une politique prévoyant une telle formation et de telles ententes, mais elle n’était pas respectée dans le cas des médecins. Des mécanismes étaient en place pour la formation des membres du personnel et la signature annuelle d’ententes de confidentialité dans leur cas, mais pas pour les médecins, et aucun suivi n’était fait.

De plus, nous avons établi qu’il n’y avait aucune politique ou directive sur l’utilisation de renseignements personnels sur la santé à des fins de formation. C’est ce que le médecin avait dit pour expliquer pourquoi il utilisait les renseignements personnels sur la santé ou y accédait, et on ne lui avait fourni aucune directive ni formation. Et aucune politique n’énonçait les attentes de l’hôpital à l’égard des membres de son personnel qui souhaitaient utiliser des renseignements personnels sur la santé à des fins de formation.

PK :

Donc, vous avez fait plusieurs constatations importantes. Il n’y avait aucune politique sur l’utilisation des renseignements personnels sur la santé à des fins de formation. Il n’y avait pas de formation ni d’ententes de confidentialité pour les médecins, aucun mécanisme n’était en place pour faire le suivi de ceux qui avaient suivi une formation ou signé une entente, donc c’est très important. Vous êtes intervenue et vous n’avez pas ménagé vos efforts auprès de l’institution pour résoudre bon nombre de ces problèmes, et vous avez obtenu d’excellents résultats.

AM :

Donc à la fin de notre enquête, l’hôpital avait fait un excellent travail et mis en place un mécanisme permettant de fournir aux médecins une formation sur la protection de la vie privée et de leur faire signer une entente de confidentialité annuelle. Et en 2024, tous les médecins avaient suivi la formation sur la protection de la vie privée et signé une entente de confidentialité pour l’année en cours, ce qui est une amélioration considérable par rapport à la situation qui prévalait avant l’atteinte à la vie privée.
De plus, l’hôpital a mis à jour ses politiques afin de fournir une orientation sur l’utilisation des renseignements personnels sur la santé à des fins de formation. Donc, désormais, tout le personnel reçoit des directives sur les utilisations de renseignements personnels sur la santé à des fins de formation que la loi autorise.

PK :

Je crois qu’il s’agit là d’excellents résultats, c’est une très bonne nouvelle. Donc quelles sont les principales leçons que les autres dépositaires de renseignements sur la santé peuvent tirer de cette affaire, selon vous?

AM :

Je crois que l’on peut retenir quatre principaux enseignements de cette affaire. Le plus important à mon avis est le fait que les dépositaires de renseignements sur la santé doivent fournir une formation concernant la protection de la vie privée à tous les membres de leur personnel, y compris les médecins, dès l’embauche et chaque année par la suite. Qu’il s’agisse d’une infirmière, d’un membre du personnel administratif ou d’un médecin, chacun doit recevoir une formation sur la protection de la vie privée et signer une entente de confidentialité au moment de leur embauche et chaque année. Il n’est pas acceptable qu’un dépositaire de renseignements sur la santé soumette à des attentes différentes ses médecins et les autres membres de son personnel en ce qui concerne la formation sur la protection de la vie privée et la signature d’ententes de confidentialité.
La deuxième leçon que l’on peut tirer réside dans le fait que les dépositaires de renseignements sur la santé doivent vraiment fournir des directives claires sur l’utilisation de renseignements personnels sur la santé à des fins de formation. Ils doivent aussi mettre en place une politique de confidentialité qui énonce clairement les attentes et exigences concernant la formation sur la protection de la vie privée et la signature d’ententes de confidentialité. Et enfin, les dépositaires de renseignements sur la santé doivent vraiment instaurer des systèmes de suivi afin de veiller à ce que tous les membres du personnel, y compris les médecins, suivent la formation annuelle sur la protection de la vie privée et renouvellent leur entente de confidentialité tous les ans, afin d’assurer le respect de leurs politiques et des attentes de la LPRPS.

PK :

Excellent travail, Alana. Dans cette affaire, le médecin a reconnu son erreur. L’hôpital a mis à jour sa formation sur la protection de la vie privée, les ententes de confidentialité et sa politique de confidentialité, et le dossier a été réglé. Cependant, ce n’est pas toujours le cas pour certains des incidents de consultation non autorisée sur lesquels nous faisons enquête. Dans le cadre des pouvoirs qui lui sont conférés pour faire respecter la loi, notre bureau peut maintenant imposer des pénalités administratives pécuniaires, ou PAP, en cas d’infraction grave à la loi ontarienne sur la protection des renseignements personnels sur la santé. Et dans les situations les plus sérieuses, nous pouvons renvoyer les cas au procureur général de l’Ontario pour qu’il intente des poursuites. Ainsi, des accusations ont été portées contre certaines personnes en vertu de la LPRPS qui ont été reconnues coupables et condamnées à payer de lourdes amendes pour leurs actes. La Police provinciale a porté des accusations contre trois personnes à l’issue de trois enquêtes distinctes sur la protection de la vie privée menées au cours de la dernière année dans trois hôpitaux de la province. Ces trois cas portaient sur des allégations d’accès inapproprié à des dossiers médicaux électroniques en contravention de la LPRPS, et une autre affaire plutôt répréhensible de consultation non autorisée de renseignements vient de donner lieu à une poursuite fructueuse. Fida, pouvez-vous nous parler de cette affaire récente?

Fida Hindi :

Oui; on nous a fait savoir récemment qu’une personne avait été reconnue coupable, en octobre dernier, d’une infraction à la LPRPS pour avoir consulté sans autorisation des dossiers de renseignements personnels sur la santé de patients; il s’agissait d’autres membres du personnel du dépositaire chez qui cette personne occupait un emploi, de membres de la famille de ces employés et de la propre famille du contrevenant, qui était au service d’un hôpital. Cette personne a plaidé coupable à une infraction en contravention de l’alinéa 72 (1) a) de la LPRPS et a été condamnée à une amende de 10 000 $ de même qu’à une suramende compensatoire de 2 500 $.

PK :

Ce n’était pas une affaire banale, c’est le moins qu’on puisse dire. Donc, Fida, poursuivons avec vous pendant un moment et discutons d’une autre affaire qui porte sur l’abandon de dossiers de santé. Une telle situation peut se produire pour différentes raisons. Par exemple, lorsqu’un dépositaire de renseignements sur la santé prend sa retraite, déclare faillite ou meurt, il pourrait arriver que des dossiers de santé soient abandonnés si aucun plan de relève n’a été mis en place. Et notre bureau intervient souvent quand on nous signale des dossiers de santé abandonnés. C’est justement ce qui s’est produit dans les Décisions 221 et 230 en vertu de la LPRPS, qui portent sur des dossiers de santé abandonnés après la fermeture d’une clinique médicale. Alors, Fida, pouvez-vous nous parler de cette affaire?

FH :

Oui; c’est un cas où une clinique médicale a mis fin à ses activités parce qu’un créancier avait pris possession de la propriété où elle se trouvait et l’avait vendue. Donc des dossiers avaient été abandonnés à cet endroit, et l’entreprise de gestion immobilière à laquelle le créancier avait fait appel en avait placé d’autres dans une installation d’entreposage. Et puis d’autres dossiers ont été laissés à l’intérieur de la propriété que le nouveau propriétaire a achetée auprès du créancier. L’entreprise de gestion immobilière a informé notre bureau de la présence de dossiers abandonnés, et c’est alors que nous avons ouvert un dossier sur cette affaire.

PK :

Ouf, il y a une foule d’intervenants dans cette affaire. Et où était le dépositaire de renseignements sur la santé ou le propriétaire de la clinique médicale dans cette histoire?

FH :

Le dépositaire de renseignements sur la santé dans cette affaire a communiqué avec notre bureau et nous a fait savoir qu’il avait tenté de récupérer les dossiers. Or, l’installation d’entreposage exigeait le paiement des frais qui n’avaient pas été acquittés pour l’entreposage avant de laisser le dépositaire récupérer les dossiers.

PK :

Wow. Donc, quelle a été l’ordonnance de l’arbitre Jepson dans cette affaire? Qu’a-t-elle dû faire pour préserver les dossiers?

FH :

Ce dossier s’est révélé plutôt complexe, car au cours de l’enquête, l’entreprise de gestion immobilière a menacé de demander à l’installation d’entreposage de détruire les dossiers à moins que quelqu’un ne passe les prendre dans un délai très court de 24 heures. L’arbitre a donc rendu une ordonnance provisoire pour préserver ces dossiers et empêcher l’entreprise de gestion immobilière de demander à l’installation d’entreposage de les détruire. En fin de compte, une ordonnance définitive a été rendue, la Décision 230 en vertu de la LPRPS, énonçant certaines exigences à respecter en vertu de la loi et permettant au dépositaire de récupérer les dossiers.

PK :

C’est vraiment une affaire très sérieuse. Si j’étais une patiente de cette clinique, l’idée que mon dossier puisse être détruit, sans qu'il soit possible de le récupérer ou d’y accéder, ça me ferait très peur, quand je pense qu’il contient tous mes renseignements personnels sur la santé. C’est très grave. Et la bonne nouvelle, je l’espère, c’est que les dossiers ont été récupérés et que nous avons empêché leur destruction, n’est-ce pas, Fida?

FH :

C’est ça. Et je suis tout à fait d’accord avec vous, c’était la gravité de la situation qui a poussé l’arbitre à rendre l’ordonnance provisoire, car si les dossiers avaient été détruits, cela aurait porté gravement atteinte aux soins prodigués à ces patients et à leur capacité à accéder à leurs renseignements. Donc, dans cette ordonnance provisoire, on a ordonné de ne pas détruire les dossiers, et on a ordonné à l’entreprise de gestion immobilière de ne pas demander à l’installation d’entreposage de les détruire. L’ordonnance obligeait également l’installation d’entreposage à protéger les documents et à ne pas les remettre à l’entreprise de gestion immobilière avant que notre bureau n’ait tranché l’affaire dans une ordonnance définitive, une décision définitive.

PK :

Donc, de toute évidence, il a de nombreuses leçons à tirer de cette affaire. Concrètement donc, que devrait faire un fournisseur pour dresser un plan d’urgence, un plan de continuité des activités, à l’avance pour éviter l’abandon de dossiers contenant des renseignements personnels sur la santé en cas de décès, de retraite ou de faillite, par exemple?

FH :

Oui. Je crois qu’il est très important pour le dépositaire de renseignements sur la santé de dresser un plan de relève en cas de faillite, de décès ou d’arrêt de ses activités, pour préciser ce qui sera fait de ces dossiers de renseignements personnels sur la santé. Et pour ce faire, le dépositaire de renseignements sur la santé doit tenir compte de différentes obligations légales. De plus, si le dépositaire est réglementé par un ordre professionnel, ce dernier pourrait lui imposer des exigences précises en matière de conservation des dossiers. Il est donc très important de consulter un avocat et de déterminer pendant combien de temps il faut conserver les dossiers. Une fois ces renseignements obtenus, il faut dresser un plan de relève précisant pendant combien de temps les dossiers seront conservés, sous quelle forme, et l’avis qui sera donné aux particuliers afin qu’ils puissent récupérer leur dossier ou en obtenir une copie s’ils le souhaitent.

PK :

Par exemple, s’ils veulent que leur dossier soit acheminé à un autre fournisseur ou s’ils veulent le récupérer pour assurer la continuité des soins. Il y a également un autre aspect important dont il faut tenir compte, qui consiste à savoir ce qu’une personne doit faire si elle se retrouve en possession de dossiers de santé abandonnés, parce qu’une telle personne a également des obligations à respecter en vertu de la LPRPS. Donc, Fida, quelle est la leçon à retenir à ce sujet?

FH :

Donc, l’article 49 de la LPRPS porte sur les destinataires de renseignements personnels sur la santé. Alors, une personne qui reçoit des renseignements personnels sur la santé de la part d’un dépositaire de renseignements sur la santé peut être considérée comme le destinataire de ces renseignements en vertu de la loi. Dans ce cas, cette personne doit respecter certaines obligations quant à l’utilisation ou à la divulgation de ces renseignements.

PK :

En d’autres mots, cette personne ne peut pas utiliser ou divulguer sans autorisation les dossiers de santé abandonnés qu’elle a trouvés.

FH :

L’article 49 prévoit certains paramètres qui empêchent l’utilisation ou la divulgation de renseignements dont un destinataire a la possession.

PK :

Quelles sont les conséquences auxquelles s’expose une personne qui trouve des dossiers de santé abandonnés et est destinataire en vertu de la LPRPS si elle décide de les détruire délibérément?

FH :

Cette personne pourrait être accusée d’une infraction en vertu de l’article 72 de la LPRPS si elle contrevient délibérément à la loi. Si cette personne est reconnue coupable, elle pourrait être passible, si elle est une personne physique, d’une amende pouvant aller jusqu’à 200 000 $ et d’une peine d’emprisonnement d’au plus un an, ou d’une seule de ces peines.

PK :

C’est donc une affaire très sérieuse, et quiconque se retrouve en possession de dossiers médicaux abandonnés ou en est le destinataire en vertu de la LPRPS doit en tirer la leçon. Merci beaucoup, Fida.

FH :

Merci.

PK :

Merci à chacune d’entre vous d’avoir participé au balado aujourd’hui, et merci pour l’excellent travail que vous accomplissez tous les jours pour assurer la protection de la vie privée dans le secteur de la santé.

LC :

Merci, madame la commissaire.

JO :

Merci.

AM :

Merci.

FH :

Merci de nous avoir invitées.

PK :

Voilà, chers auditeurs, vous savez maintenant que je travaille avec des gens formidables, tous les jours ici au CIPVP. J’espère que ces affaires marquantes de 2024 sur le plan de la protection de la vie privée dans le secteur de la santé vous ont permis de mieux comprendre vos obligations en vertu de la LPRPS et vous seront utiles pour mieux respecter la loi. Chacune de ces affaires nous montre de façon éloquente l’importance de faire preuve de vigilance lors de la collecte, de l’utilisation et de la divulgation de renseignements personnels sur la santé, de prendre des mesures appropriées pour protéger les renseignements et d’assumer ses responsabilités en cas d’incident. En s’inspirant de ces exemples, les dépositaires de renseignements sur la santé pourront passer en revue de façon proactive leurs propres pratiques et envisager des mesures supplémentaires à prendre pour assurer le respect de la loi.

J’invite les auditeurs qui souhaitent en savoir plus sur la protection des renseignements personnels sur la santé à consulter notre site Web à ipc.on.ca/fr. Il y a également dans les notes d’épisode des liens vers les décisions dont nous avons parlé aujourd’hui et plusieurs documents d’orientation connexes. Et vous pouvez toujours appeler notre bureau ou nous envoyer un courriel pour obtenir de l’aide et des renseignements généraux concernant les lois ontariennes sur l’accès à l’information et la protection de la vie privée.
Voilà qui met fin à un autre épisode. Merci à tous d’avoir été des nôtres, et à la prochaine. 

Ici Patricia Kosseim, commissaire à l’information et à la protection de la vie privée de l’Ontario, et vous avez écouté L’info, ça compte. Si vous avez aimé ce balado, laissez-nous une note ou un commentaire. Si vous souhaitez que nous traitions d’un sujet qui concerne l’accès à l’information ou la protection de la vie privée dans un épisode futur, communiquez avec nous. Envoyez-nous un message à @cipvp_ontario ou un courriel à @email. Merci d’avoir été des nôtres, et à bientôt pour d’autres conversations sur les gens, la protection de la vie privée et l’accès à l’information. S’il est question d’information, nous en parlerons.
 

Aidez-nous à améliorer notre site web. Cette page a-t-elle été utile?
Lorsque l'information n'est pas trouvée

Note:

  • Vous ne recevrez pas de réponse directe. Pour toute autre question, veuillez nous contacter à l'adresse suivante : @email
  • N'indiquez aucune information personnelle, telle que votre nom, votre numéro d'assurance sociale (NAS), votre adresse personnelle ou professionnelle, tout numéro de dossier ou d'affaire ou toute information personnelle relative à votre santé.
  • Pour plus d'informations sur cet outil, veuillez consulter notre politique de confidentialité.