Obligations et responsabilités

Les attentes des médecins en exercice

La vie privée dans un monde branché – protection des renseignements sur la santé des patients

Publié initialement en décembre 2011
P1104-4-F

Les milieux d'exercice de la profession sont de plus en plus exigeants, surtout quand les médecins effectuent le virage du dossier papier vers le dossier électronique, répondent à des demandes d'information par de multiples moyens et s'acquittent des obligations que leur imposent les lois sur la protection des renseignements personnels dans un contexte de progrès technologiques constants et dans un monde de plus en plus branché  – et sans fil.

Les questions liées à la protection des renseignements personnels préoccupent de plus en plus les médecins et leurs patients, ce qui est compréhensible. Un récent sondage du Commissariat à la protection de la vie privée du Canada1 signale que presque deux tiers des Canadiens considèrent la protection des renseignements personnels comme un des enjeux les plus importants. Dans le contexte des soins de santé, on a laissé entendre que des patients dissimuleraient certains renseignements critiques sur leur état de santé à cause de la question de la protection des renseignements personnels.

Les lois sur la protection des renseignements personnels obligent les médecins à faire plus que simplement comprendre leur obligation professionnelle d'assurer la confidentialité, et à s'assurer d'observer les lois applicables en la matière.

Les médecins doivent donc prendre des mesures efficaces pour se conformer aux lois sur la protection des renseignements personnels. Ces mesures englobent tous les aspects de la pratique du médecin, y compris le premier contact, la conservation des dossiers, la transmission de renseignements sur les patients et la gestion d'un accès partagé aux dossiers médicaux électroniques. Les progrès de la technologie peuvent certes faciliter la transmission de renseignements sur les patients, mais les règles relatives à la protection des renseignements personnels s'appliquent toujours.

Obligations relatives à la protection des renseignements personnels

La Loi fédérale sur la protection des renseignements personnels et les documents électroniques s'applique dans certaines provinces, mais la plupart des autres ont adopté des dispositions législatives sur la protection des renseignements personnels qui s'appliquent spécifiquement à la santé2. Même si cela peut représenter l'investissement de beaucoup de temps, les médecins doivent connaître les répercussions des lois sur la protection des renseignements personnels qui s'appliquent à leur pratique et dans leur province.

Les médecins doivent aussi connaître les exigences relatives à la protection des renseignements personnels imposées par l'organisme de réglementation de la médecine (Collège). S'ils ne sont pas certains de leurs obligations en la matière, l'ACPM encourage les membres à la consulter.

Les médecins sont responsables non seulement de leurs propres actes, mais aussi de ceux des membres de leur personnel. Les politiques sur la protection des renseignements personnels et leur application relèvent du médecin, dans un cabinet privé ou dans une clinique. La plupart des lois régissant la protection des renseignements personnels sur la santé obligent les médecins à évaluer leurs méthodes de gestion de l'information, à établir des politiques adéquates sur la protection des renseignements personnels et à désigner des personnes qui sont chargées expressément de protéger les renseignements personnels dans leur pratique. Les patients qui pensent que leurs renseignements médicaux ont été compromis peuvent se plaindre au commissaire à la protection de la vie privée ou au Collège, ou encore intenter une poursuite au civil contre le médecin en cause. Les membres qui ne sont pas certains de leurs obligations en matière de protection des renseignements personnels doivent communiquer avec l'ACPM.


Menaces et mesures de protection

On décrit habituellement une atteinte à la vie privée comme l'accès, l'utilisation ou la divulgation non autorisés de renseignements personnels sur la santé. Les atteintes à la vie privée peuvent découler de la perte ou de l'élimination inappropriée de dossiers papier ou de la perte de renseignements électroniques.

Les atteintes associées au vol de dispositifs électroniques non chiffrés comme les ordinateurs portatifs, les supports de mémoire portables comme les disques durs et les clés USB, sans oublier les téléphones cellulaires et les tablettes électroniques, sont quant à elles de plus en plus fréquentes. Les télécopies et les messages électroniques mal adressés, en plus des écrans d'ordinateur non protégés dans les salles d'examen, exposent aussi involontairement des renseignements sur les patients.

Entre-temps, les menaces de l'extérieur provenant de logiciels espions ou maliciels (logiciels malicieux) qui envahissent les systèmes informatiques ajoutent une toute autre dimension à la nécessité de protéger les renseignements personnels. Les terminaux mobiles et les médias sociaux constituent d'autres sources d'exposition involontaire de renseignements de nature délicate sur les patients. L'adoption de l'infonuagique et de portails de patients sera à l'origine d'autres préoccupations relatives à la protection des renseignements personnels et à la sécurité.

Toutes les lois régissant la protection des renseignements personnels obligent la protection des renseignements personnels sur la santé au moyen de mesures de sécurité – comme le chiffrement, les coupe- feu et la sécurité physique – adaptées au caractère délicat de l'information. Certains Collèges ont aussi établi des lignes directrices précises sur l'utilisation des nouvelles technologies.

 

Gestion des obligations relatives à la protection des renseignements personnels

En dépit des risques pour la vie privée, l'environnement électronique des soins de santé est assez avancé et transforme la gestion des soins aux patients. De plus en plus de médecins reconnaissent les possibilités offertes par l'interconnectivité et les mettent à profit, en suivant des procédures adaptées à cette nouvelle ère de collecte, d'utilisation et d'entreposage des données.

Les nouvelles technologies peuvent avoir un effet positif sur la pratique des médecins, la santé des patients et le système médical en général. Les systèmes électroniques d'information sur la santé peuvent améliorer le soin des patients en facilitant la transmission d'information avec des spécialistes et d'autres professionnels de la santé du cercle de soin du patient, et en améliorant l'accès aux services et leur coordination, surtout pour les patients vivant en lieux éloignés.

Les médecins doivent se tenir au fait des nouvelles pratiques en matière d'information et de nouvelles façons de s'acquitter de leurs obligations relatives à la protection des renseignements personnels. Les médecins voudront peut-être tenir compte des stratégies et des conseils de gestion qui suivent.

  1. Renseignez-vous sur la loi sur la protection des renseignements personnels qui s'applique à votre pratique et dans votre province ou territoire. Plusieurs Collèges ont adopté des politiques sur la protection des renseignements personnels et l'usage électronique des renseignements sur les patients. Des commissaires à la protection de la vie privée ont publié des guides ou des outils d'évaluation au sujet de la protection des renseignements personnels sur la santé.
  2. Envisagez d'entreprendre une évaluation ou une vérification des facteurs relatifs aux renseignements personnels afin de déterminer les risques pour leur protection et de les minimiser. L'évaluation n'est peut-être pas imposée par la loi dans toutes les administrations, mais c'est une mesure prudente qui peut orienter les protocoles dans votre cabinet.
  3. Déterminez la meilleure façon d'informer les patients au sujet de l'utilisation de la technologie dans votre pratique, y compris votre façon de gérer leurs renseignements personnels sur la santé. Il est souvent possible de le faire en affichant un avis écrit dans votre cabinet. Même si le consentement peut habituellement être implicite, les patients peuvent apprécier qu'on les informe de la mise en œuvre des dossiers médicaux électroniques.
  4. Envisagez de nommer un agent à la protection des renseignements personnels dans votre cabinet. La nomination d'un agent à la protection des renseignements personnels n'est peut-être pas obligatoire dans toutes les administrations, mais c'est une bonne pratique. Cette personne serait chargée d'élaborer et de mettre à jour des politiques sur la protection des renseignements personnels et d'en assurer le respect. Le rôle d'agent à la protection des renseignements personnels peut être délégué, mais en bout de ligne, les médecins en pratique privée doivent rendre compte de la protection des renseignements personnels sur la santé de leurs patients.
  5. Veillez à ce que les membres du personnel reçoivent de la formation sur les politiques et les pratiques relatives à la protection des renseignements personnels. C'est particulièrement important dans le cas des nouveaux employés qui ne connaissent peut-être pas leurs responsabilités en la matière. La formation clarifie la transmission, l'utilisation et la garde des renseignements sur les patients par tous les membres du personnel. Il faudrait aussi leur demander de signer une entente de non-divulgation.
  6. Signez des ententes écrites avec les fournisseurs de services (p. ex., fournisseurs de dossiers médicaux électroniques, services d'entreposage de dossiers, entreprises de déchiquetage, services de transcription) qui établissent les attentes relatives aux obligations en matière de protection des renseignements personnels. Veillez à ce que les mesures de sécurité électroniques soient à jour, y compris l'utilisation de mots de passe de protection et de niveaux appropriés de chiffrement, sans oublier la mise à jour de logiciels et l'installation de rustines de sécurité.
  7. Renseignez-vous sur la province ou le territoire où les renseignements personnels sur la santé seront conservés et déterminez si des restrictions empêchent de les conserver à l'étranger.
  8. Apprenez vos responsabilités et vos obligations de rendre compte en cas d'atteinte à la vie privée et la meilleure façon d'y répondre. Il est bon d'agir proactivement et d'élaborer une politique ou un plan d'action en cas d'atteinte à la vie privée. Dans certaines administrations, la loi sur la protection des renseignements personnels prescrit l'obligation de prévenir les personnes en cause, le commissaire à la protection de la vie privée, ou les deux. Nous encourageons les membres à appeler l'ACPM s'ils croient qu'il y a eu atteinte à la vie privée.

Le site Web de l'ACPM affiche plusieurs publications et articles, ainsi qu'un atelier d'apprentissage en ligne sur la protection de la vie privée et la confidentialité. L'ACPM a produit des documents sur le principe de la transmission des données (dans le Guide sur les dossiers électroniques) [PDF], ainsi que des ententes types sur l'envoi de données.

En cas de doute, les membres ne doivent pas hésiter à consulter l'ACPM.

Références

  1. Associés de recherche Ekos Inc, Les Canadiens et la vie privée, rapport final remis au Commissariat à la protection de la vie privée du Canada, 2009. Consulté en ligne, septembre 2011 à http://www.priv.gc.ca/information/survey/2009/ ekos_2009_01_f.cfm#sec3_5
  2. NYMITY, Privacy Maps,  Federal and Provincial Privacy Acts in Canada, consulté en septembre 2011 à : http://www.nymity.com/About_Nymity/Nymity_Maps.aspx

AVIS DE NON-RESPONSABILITÉ : Les renseignements publiés dans le présent document sont destinés uniquement à des fins éducatives. Ils ne constituent pas des conseils professionnels spécifiques de nature médicale ou juridique et n'ont pas pour objet d'établir une « norme de diligence » à l'intention des professionnels des soins de santé canadiens. L'emploi des ressources éducatives de l'ACPM est sujet à ce qui précède et à la totalité du Contrat d'utilisation de l'ACPM.