Modifications graduelles mais substantielles apportées à la LPRPS en 2020

Dec 03 2020

Même avant de me joindre au CIPVP, j’admirais déjà la Loi sur la protection des renseignements personnels sur la santé (LPRPS), que je trouvais « audacieuse ». La LPRPS comportait de nombreux concepts nouveaux à l’époque. J’en veux pour preuve l’obligation de donner un avis en cas d’atteinte à la vie privée, une première au Canada; un code global relatif au consentement et à la prise de décisions au nom d’autrui; un cadre de gestion de la recherche intégrant les obligations des dépositaires en matière de gestion des données aux normes d’éthique nationales pertinentes et à l’examen obligatoire par une commission d’éthique de la recherche.

La LPRPS a également servi de prélude au modèle de « fiducies de données ». En vertu de ce modèle, certains registres et entités prescrits ont une grande marge de manœuvre leur permettant d’utiliser les renseignements personnels sur la santé qui leur sont confiés pour le bien public, sous réserve de mesures strictes de reddition de comptes, notamment un examen par le CIPVP de leurs pratiques et procédures en matière de protection de la vie privée tous les trois ans.

La LPRPS a évolué au cours des 16 dernières années et a subi toute une série de modifications supplémentaires en 2020. Ces modifications ont été graduelles, mais substantielles.

Responsabilités et droits accrus; application de la loi plus rigoureuse

Par exemple, en mars dernier, le projet de loi 188 a doublé le montant des amendes imposées pour des infractions à la LPRPS, les portant à 200 000 $ dans le cas des particuliers et 1 000 000 $ pour les entreprises.

Le projet de loi 188 permet également à la commissaire à l’information et à la protection de la vie privée d’imposer des pénalités administratives, une toute première au Canada. En vertu de cette mesure, mon bureau pourra imposer des pénalités administratives pécuniaires aux personnes qui contreviennent à la LPRPS. Le montant et l’administration des pénalités seront établis par règlement.

Outre ces nouvelles mesures rigoureuses, le projet de loi 188 prévoit de nouveaux droits et responsabilités :

  • le droit d’accès pour les particuliers à leur dossier de renseignements personnels sur la santé sous forme électronique (sous réserve des règlements éventuels) afin qu’ils puissent prendre les mesures nécessaires pour gérer leurs propres renseignements sur la santé, notamment par l’entremise de portails et d’applications numériques liées à la santé;
  • les responsabilités des fournisseurs de ces portails et applications (de nouvelles entités appelées « fournisseurs de services électroniques aux consommateurs ») qui devront se conformer à certaines exigences à définir par règlement.

Le projet de loi contient également des dispositions précises exigeant que tous les dépositaires tiennent et surveillent un registre électronique des accès lorsque des renseignements personnels sur la santé sont recueillis, utilisés, divulgués, modifiés, conservés ou éliminés, et fournissent à la commissaire, sur demande, une copie du registre électronique des accès (pas encore en vigueur).

Le dossier de santé électronique est enfin là

Le 1er octobre 2020, Santé Ontario a été désigné par règlement comme l’organisme prescrit chargé d’instaurer le dossier de santé électronique, dont la venue était attendue depuis longtemps, en vertu de la partie V.1 de la LPRPS. Un des principaux objectifs du dossier de santé électronique, c’est de faire en sorte que les renseignements sur la santé des Ontariennes et des Ontariens soient regroupés sous un même « toit » virtuel. Ce faisant, les fournisseurs de soins de santé, quelle que soit leur pratique, pourront avoir facilement accès à ces renseignements, ce qui permettra de fournir des soins de santé plus efficaces et mieux intégrés.

La partie V.1 établit un cadre global concernant la protection de la vie privée et la responsabilisation en ce qui a trait au dossier de santé électronique. Elle définit le rôle magistral de Santé Ontario à titre d’administrateur du dossier de santé électronique qui sera assujetti à la surveillance de mon bureau. Elle prévoit le partage des responsabilités entre de multiples dépositaires de renseignements sur la santé qui utilisent le dossier de santé électronique, pour établir qui y a accès en premier. Par exemple, elle précise les règles que doivent suivre les dépositaires qui veulent télécharger des renseignements personnels sur la santé, en amont ou en aval, les règles à suivre pour respecter les directives d’une personne en matière de consentement et les conditions dans lesquelles les dépositaires peuvent divulguer des renseignements malgré une directive après en avoir donné un avis. La loi prévoit également de nouvelles règles établissant les avis requis en cas d’atteinte à la vie privée dans le contexte du dossier de santé électronique.

De nouvelles règles permettent aux coroners, aux médecins-hygiénistes et aux services d’intégration des données du ministère de la Santé (désignés en vertu de la partie III.1 de la LAIPVP) de recueillir des renseignements personnels sur la santé du dossier de santé électronique. La ministre de la Santé peut également ordonner que des renseignements personnels sur la santé soient extraits du dossier de santé électronique à l’intention d’autres personnes (par exemple, des chercheurs) sur demande, après avoir consulté le comité consultatif qui sera éventuellement mis sur pied. Le concept de comité consultatif est un autre aspect intéressant de la LPRPS.

Spécifications d’interopérabilité

D’autres règlements d’application de la LPRPS ayant trait à la numérisation des renseignements personnels sur la santé entreront en vigueur le 1er janvier 2021. Ces règlements prévoient le cadre d’établissement, de contrôle et d’application des spécifications d’interopérabilité. L’interopérabilité permet de s’assurer que les systèmes d’information électroniques des dépositaires de renseignements sur la santé, qu’on appelle les « actifs de soins de santé numériques », peuvent communiquer entre eux, facilitant l’échange de renseignements personnels sur la santé entre les dépositaires de différentes institutions.

Santé Ontario est chargée de créer ces spécifications d’interopérabilité, de concert avec mon bureau (en particulier lorsque les droits des particuliers en matière de protection de la vie privée et d’accès sont en jeu), et sous réserve de l’approbation de la ministre de la Santé. Santé Ontario devra également rendre publiques ces spécifications, élaborer un processus d’agrément de conformité des actifs de soins de santé numériques aux spécifications d’interopérabilité, et vérifier si les dépositaires de renseignements sur la santé respectent les normes.

2020 – Une année importante pour la LPRPS

En rétrospective, l’année 2020 a été importante pour la LPRPS à maints égards. Les modifications majeures qui ont été apportées témoignent des subtilités de la nouvelle réalité numérique du système de santé. Elles démontrent jusqu’à quel point le système de santé est devenu complexe lorsqu’il s’agit de fournir des solutions numériques individuelles très personnalisées en matière de santé tout en augmentant l’échange de données entre les différentes entités afin de permettre de régler les enjeux plus globaux de santé publique, comme ceux dont nous sommes témoins dans le cas de la COVID‑19, par exemple.

Ce qu’il nous faut maintenant déterminer, c’est comment mieux réglementer le nombre sans cesse croissant d’acteurs du secteur privé qui deviennent inextricablement liés au système de santé numérique de l’Ontario. La LPRPS a déjà démontré sa capacité à amener certains intervenants du secteur privé (comme les fournisseurs de réseaux d’information sur la santé et les fournisseurs de services électroniques aux consommateurs) à respecter certaines obligations, mais qu’en est-il des autres? Beaucoup doivent se le demander alors que l’Ontario continue de mener des consultations sur d’éventuelles mesures législatives propres à l’Ontario qui régiraient le secteur privé. Si elles étaient adoptées, ces mesures législatives devraient composer avec les tentacules de plus de plus longues de la LPRPS pour créer un régime uniforme et intégré, qui serait à la fois pratique et cohérent.

This post is also available in: Anglais