Obligations et responsabilités

Les attentes des médecins en exercice

Le chiffrement, c’est logique

Publié initialement en décembre 2010/Révisé en août 2017

Résumé

La législation relative à la
protection de la vie privée, les
politiques de réglementation et les obligations professionnelles exigent des membres de l'ACPM qu'ils prennent des mesures raisonnables pour protéger la vie privée de leurs patients ainsi que les renseignements personnels en matière de santé. Depuis l'avènement des dossiers électroniques et appareils portatifs, les membres devraient savoir que le chiffrement peut contribuer à sécuriser les renseignements personnels en matière de santé et pourrait aussi être requis par la loi.

Dans les cabinets de médecins et dans les établissements de santé d'un bout à l'autre du Canada, les professionnels de la santé continuent de se servir de systèmes électroniques et d'appareils portatifs pour stocker et utiliser des renseignements en matière de santé. Ils s'attendent à être plus efficaces et à améliorer la qualité des soins qu'ils prodiguent aux patients. Les systèmes électroniques offrent les avantages d'accroître l'accessibilité, la portabilité et la transférabilité de stockage électronique des renseignements. Toutefois, ces avantages créent également un environnement où de grandes quantités d'information de nature délicate peuvent porter atteinte à la vie privée et à l'obligation des médecins d'assurer la confidentialité.

Pour protéger les renseignements de patients stockés sur support électronique, le chiffrement s'avère un outil pratique. Les médecins et les organisations de soins de santé (ainsi que leurs vendeurs et prestataires de services) doivent reconnaître l'importance d'installer le chiffrement sur tous les dispositifs utilisés pour stocker les renseignements concernant les patients.

Le chiffrement comme exigence

Les commissaires à la protection de la vie privée, les ombudsmans et les agents de révision dans chaque province et dans chaque territoire du Canada recommandent généralement le chiffrement. En Ontario, au Nouveau-Brunswick et en Alberta, le chiffrement des renseignements personnels en matière de santé est obligatoire lorsque les données sont stockées sur support électronique de terminaux de poche.

Malgré ces exigences et ces recommandations, les commissaires à la protection de la vie privée, les ombudsmans et les agents de révision continuent de recevoir des rapports de perte ou de vol de portables, d'ordinateurs de bureau ou d'autres dispositifs où des renseignements sur des patients n'étaient pas chiffrés.

Lors de l'installation d'un système de dossiers électroniques, les médecins font souvent confiance aux vendeurs et aux prestataires de services lorsqu'il s'agit d'assurer une protection appropriée des renseignements sur les patients. Une telle confiance n'est pas une garantie de conformité. Les médecins devraient prendre les mesures nécessaires pour veiller à ce que les vendeurs soient conscients du caractère unique des renseignements concernant les patients et se conforment pleinement aux obligations de la divulgation des renseignements personnels. Ces obligations comprennent la protection appropriée des renseignements contre le vol, la perte et l'utilisation non autorisée ainsi que la divulgation.

Dossiers médicaux électroniques = Pensez chiffrement
Protection à l'aide d'un mot de passe = Chiffrement

Un chiffrement fort

Les médecins devraient communiquer avec le commissaire à la protection de la vie privée, l'ombudsman ou l'agent de révision de leur province ou de leur territoire pour connaître le degré requis de chiffrement. Certains commissaires à la protection de la vie privée (p. ex., en Ontario) publient des guides sur les normes de chiffrement appropriées et la nécessité d'une authentification sécurisée des utilisateurs, au moyen de mots de passe ou de jetons biométriques ou sécuritaires, pour l'accès aux renseignements personnels en matière de santé. Les médecins peuvent également recevoir des conseils judicieux d'autres sources, dont entre autres de collègues ayant des connaissances techniques avancées et d'organisations professionnelles telles les associations médicales des provinces et des territoires, les organismes de réglementation (Collèges) et l'ACPM.

De plus, les médecins devraient également être conscients que le vol de systèmes de bureau est aussi courant que le vol ou la perte de terminaux de poche. Sans une protection adéquate des renseignements, le vol ou l'accès non autorisé serait, à tout le moins, considéré comme une violation possible à la vie privée et par le fait même susceptible d'être déclaré.

En général, les commissaires, ombudsmans et agents de révision sont d'avis que le matériel protégé par un chiffrement fort est à l'abri des pertes réelles de renseignements, même s'il contenait des informations sensibles sur les patients. Lorsqu'il n'y a pas de perte réelle de renseignements, il n'y a pas lieu d'aviser le patient. Par contre, lorsqu'un dispositif contenant des renseignements non chiffrés est perdu ou volé, il pourrait être nécessaire d'aviser les patients affectés ou le commissaire à la protection de la vie privée, voire les deux dépendant de la province ou du territoire, de cette atteinte à la confidentialité.

Non seulement les patients seront très bouleversés à la suite de la perte d'information de nature délicate, mais les médecins devront probablement engager des coûts et subir les répercussions et les dérangements occasionnés par cette violation. L'ACPM encourage fortement les médecins à chiffrer tous les renseignements sur la santé des patients qui sont stockés sur support électronique.

Bien que les médecins et les autres professionnels de la santé soient engagés depuis longtemps à protéger les renseignements personnels en matière de santé des patients, le stockage sur support électronique des renseignements exige, par contre, de nouvelles mesures de protection. Les produits fournissant une protection par mot de passe et par chiffrement sont utilisés couramment et faciles d'accès. Si l'on prend en compte les avantages de sécuriser de façon appropriée les renseignements personnels sur la santé des patients, le chiffrement est un outil de gestion des risques des plus utiles.

Points à retenir

En stockant les renseignements personnels sur la santé des patients sur support électronique, les médecins doivent songer à :

  • utiliser des produits qui fournissent une protection adéquate à l'aide d'un mot de passe et du chiffrement;
  • veiller à ce que les fournisseurs et les installateurs apprécient l'aspect unique des renseignements et se conforment à la législation et aux obligations professionnelles en matière de protection de la vie privée, y compris le chiffrement;
  • connaître et se conformer à la législation sur la protection de la vie privée dans leur province ou territoire, y compris que la notification du patient est requise ou recommandée s'il y a une atteinte possible à la confidentialité;
  • communiquer avec l'ACPM pour recevoir des conseils si des renseignements concernant des patients ont fait l'objet d'un accès inapproprié ou ont été perdus ou volés.

AVIS DE NON-RESPONSABILITÉ : Les renseignements publiés dans le présent document sont destinés uniquement à des fins éducatives. Ils ne constituent pas des conseils professionnels spécifiques de nature médicale ou juridique et n'ont pas pour objet d'établir une « norme de diligence » à l'intention des professionnels des soins de santé canadiens. L'emploi des ressources éducatives de l'ACPM est sujet à ce qui précède et à la totalité du Contrat d'utilisation de l'ACPM.