Programme sur les obligations en matière de protection de la vie privée pour susciter la confiance des patients

En 2024, le CIPVP a élaboré un document d’orientation sur la protection de la vie privée destiné spécialement aux petits dépositaires de renseignements sur la santé assujettis à la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS). Le Guide de gestion de la protection de la vie privée à l’intention des petits organismes de soins de santé contient les notions de base dont ils ont besoin pour élaborer un programme efficace de gestion et de responsabilisation en matière de protection de la vie privée qui méritera la confiance de leurs patients.

Les fournisseurs de soins de santé, quelle que soit leur taille, doivent respecter leur obligation de protéger les renseignements personnels sur la santé de leurs patients. Cependant, nous savons qu’il n’existe pas à cette fin de méthode universelle. Les petits fournisseurs manquent souvent de temps, de capacité et de ressources, et ce document d’orientation a pour but de faciliter et de simplifier la compréhension et le respect des obligations de base en matière de protection de la vie privée que prévoit la loi.

Ce document énonce des pratiques exemplaires pour l’élaboration d’un programme de gestion de la protection de la vie privée adapté aux besoins des petits dépositaires de renseignements sur la santé, en tenant compte de leur taille et de leur situation particulière. Correctement mis en œuvre, un programme de gestion de la protection de la vie privée aide les dépositaires de renseignements sur la santé à utiliser des pratiques éclairées et à relever les aspects à améliorer, afin qu’au fil du temps, ils gagnent toujours en maturité et en sophistication en la matière. 

L’IA en santé 

L’IA promet d’améliorer considérablement les diagnostics médicaux et d’accélérer l’accès à des interventions et traitements précoces qui pourraient sauver des vies. Elle peut aussi alléger le fardeau administratif imposé aux fournisseurs de soins de santé en automatisant bon nombre de leurs tâches répétitives. Certains ont affirmé qu’ils auraient ainsi le temps d’accepter plus de patients, ce qui contribuerait à soulager la pénurie de fournisseurs de soins de santé en Ontario ou du moins à rehausser la qualité de leurs interactions avec leurs patients actuels. Toutefois, l’instauration de l’IA dans les soins de santé soulève également de nouvelles questions en matière de protection de la vie privée, de sécurité et d’éthique dont il faut tenir compte en faisant preuve d’innovation responsable. 

En 2024, le CIPVP a mené des recherches approfondies sur l’utilisation l’IA dans le secteur de la santé de l’Ontario, et notamment sur la technologie de transcription IA. Le document d’orientation du CIPVP, qui sera publié en 2025, décrira à l’intention des fournisseurs de soins de santé les facteurs clés dont ils doivent tenir compte pour utiliser l’IA en conformité avec la LPRPS, particulièrement en ce qui concerne le consentement des patients, la transparence, la sécurité et la protection des données.

La série Info CIPVP sur la confiance dans la santé numérique

Pour démystifier les concepts souvent complexes de la LPRPS auprès des particuliers et des fournisseurs, le CIPVP a publié une série spéciale Info CIPVP sur la protection de la vie privée dans le domaine de la santé. Ces brèves animations d’accès facile soulignent certaines des obligations des dépositaires de renseignements sur la santé en vertu de la LPRPS et font connaître aux particuliers leurs droits connexes en langage simple.

Les trois brèves vidéos publiées dans le cadre de cette série en 2024 sont les suivantes:

• Info CIPVP – Guide sur les pénalités administratives pécuniaires. Cette brève vidéo destinée aux fournisseurs de soins de santé décrit l’objet des PAP, les circonstances dans lesquelles elles pourraient être imposées et les facteurs qui influent sur le montant de la pénalité, lequel est établi au cas par cas.

• Info CIPVP – Le partage de données sur la santé décrit les situations où les dépositaires de renseignements sur la santé peuvent communiquer de façon responsable des renseignements personnels sur la santé en vertu de la LPRPS, notamment pour la recherche, la planification du système de santé et la santé publique.

• Info CIPVP – La LPRPS sensibilise les Ontariennes et les Ontariens à leur droit d’accéder à leur dossier de santé. Cette vidéo décrit également les règles de base que les fournisseurs de soins de santé doivent suivre lorsqu’ils recueillent, utilisent et divulguent des renseignements personnels sur la santé ainsi que leur obligation d’en assurer la sécurité, surtout dans le contexte de la santé numérique.

En plus de la série de vidéos Info CIPVP sur la protection de la vie privée dans le secteur de la santé, nous avons lancé un portail sur la protection de la vie privée des patients dans notre site Web afin d’aider les Ontariennes et les Ontariens à comprendre et à exercer les droits que leur confère la LPRPS. De nombreux patients ignorent ce qu’ils peuvent attendre de leur fournisseur de soins de santé en matière de protection de la vie privée. Ils ne connaissent peut-être pas leur droit d’avoir accès à leurs propres dossiers de santé ou comment s’y prendre pour obtenir cet accès.

Le CIPVP a donc créé un portail convivial qui réunit des lignes directrices, des ressources et d’autres outils essentiels conçus spécialement pour les patients. En réunissant ces ressources précieuses au même endroit, le CIPVP aide les gens à prendre le contrôle de leurs renseignements personnels sur la santé et des décisions plus éclairées sur leur gestion.

Plaidoyer pour la protection de la vie privée en matière de santé et le droit à l’information

En 2024, le CIPVP a maintenu son plaidoyer en faveur de la protection de la vie privée et du droit à l’information de la population ontarienne dans la conjoncture changeante de la santé numérique. Au cœur de ces efforts ont été les réserves que nous avons exprimées sur l’annexe 6 de la Loi de 2024 pour plus de soins commodes, qui proposait des changements importants à la LPRPS. Le CIPVP s’est dit préoccupé par une atteinte au droit d’accéder à ses dossiers de santé, les risques posés par un cadre de protection de la vie privée trop complexe et incohérent et le recours à de vagues dispositions prises par voie de règlement pour instaurer les identifiants Santé numériques. Ces modifications, qui visent à permettre l’accès des patients à leurs dossiers de santé électroniques (DSE), ne sont pas assorties de mesures de précaution suffisantes, leur utilisation est mal définie, et le rôle de Santé Ontario et des tiers qui interviennent dans le système n’est pas suffisamment transparent.

 Le CIPVP a préconisé une approche législative plus simple et cohérente. Nous avons demandé que la vie privée soit mieux protégée, que l’utilisation des données soit expressément limitée et que des mécanismes de surveillance plus stricts soient mis en place. Nous avons notamment recommandé de maintenir le plein accès des particuliers à leurs dossiers de santé, l’application de principes favorables à la vie privée comme la minimisation des données, et une gouvernance transparente des outils de santé numérique.

L’intégration des données en vertu de la partie III.1 de la LAIPVP : ordonnances du CIPVP

En vertu de la partie III.1 de la LAIPVP, les services interministériels d’intégration des données (SIID) sont des équipes du gouvernement à qui est conféré le pouvoir spécial d’établir des liens entre des ensembles de renseignements personnels différents afin de pouvoir les utiliser et les analyser aux fins de la planification, de la prestation et de l’évaluation de programmes et de services publics. Étant donné ce pouvoir unique, les SIID doivent respecter des normes de transparence, de protection de la vie privée et de sécurité, et le CIPVP peut examiner leurs pratiques et procédures au départ, avant l’établissement de tels liens, puis tous les trois ans par la suite.

À la fin de 2024, le CIPVP a entamé le premier examen après trois ans du SIID du ministère de la Santé, faisant suite à l’examen initial mené en 2022. Cet examen initial avait permis de relever des aspects posant des risques importants. Le CIPVP a donc rendu plusieurs ordonnances afin que le ministère se conforme aux normes d’intégration des données établies par le ministre des Services au public et aux entreprises et de l’Approvisionnement et approuvées par le CIPVP. Ainsi, nous avons ordonné au ministère de mettre à jour ses évaluations de l’impact sur la vie privée et ses évaluations des menaces et des risques afin de relever et d’éliminer les risques pour la vie privée et la sécurité attribuables à l’infrastructure technique héritée et partagée dans ce nouveau contexte d’intégration des données. En outre, nous avons ordonné au ministère de mettre en œuvre un plan de continuité des opérations et de reprise après sinistre 
conformément aux normes établies. Le ministère devait se 
conformer à ces ordonnances au plus tard le 30 septembre 2022.

Le CIPVP est très préoccupé par le fait que ces ordonnances, entre autres, n’ont pas encore été respectées, malgré plusieurs prorogations et de nombreuses tentatives visant à donner du soutien au ministère à cet effet. Ce manquement du ministère aux ordonnances du CIPVP remet gravement en cause l’objectif même et l’intégrité du régime d’intégration des données que le gouvernement a lui-même mis en place.

Le CIPVP recommande fortement au gouvernement d’affecter les fonds et l’expertise nécessaires à la protection de la vie privée et à la gouvernance afin que le ministère respecte dans les plus brefs délais les normes d’intégration des données. Le CIPVP tiendra compte de cette non-conformité dans le cadre de son examen après trois ans du SIID du ministère, et il s’attendra à ce que ces questions en suspens et tout autre problème qu’il relèvera soient réglés dans les plus brefs délais.