Obligations et responsabilités

Les attentes des médecins en exercice

Gérer l’accès aux dossiers de santé électroniques

Publié initialement en octobre 2013 / Dernière mise à jour : août 2015
P1304-2-F

La facilité d'accès constitue l'un des principaux attraits des dossiers de santé électroniques. D'un simple clic, les médecins et les autres professionnels de la santé peuvent accéder aux renseignements sur un patient dans le but de prodiguer des soins efficaces et continus.

Cette commodité comporte toutefois des risques. En effet, la vie privée des particuliers et la sécurité des renseignements personnels sur leur santé peuvent être compromises par des professionnels de la santé qui peuvent lire les renseignements sur un patient, bien qu'ils ne participent pas ses soins, ou par des membres du personnel qui accèdent aux renseignements personnels sur la santé des patients à des fins non autorisées.

Le fait qu'un professionnel de la santé prenne connaissance de renseignements sur la santé d'un particulier ou y accède à des fins non autorisées est considéré comme étant une atteinte à la vie privée. Malheureusement, ce genre de situation est une réalité au Canada. De plus en plus, les vérifications et les plaintes déposées par les patients dévoilent des cas où des professionnels de la santé et des membres du personnel, y compris des médecins, ont lu les renseignements sur un patient à des fins non autorisées. Que l'accès aux renseignements ait été intentionnel ou obtenu de façon insouciante, les patients ont un droit absolu à la confidentialité des renseignements sur leur santé.

L'accès inapproprié peut nuire aux patients

Selon la Commissaire à l'information et à la protection de la vie privée de l'Ontario1, les patients dont les renseignements ont été compromis peuvent être victimes de discrimination, de stigmatisation et de préjudices économiques ou psychologiques. Un stress supplémentaire est particulièrement nuisible pour les patients déjà vulnérables en raison de problèmes de santé. Certains patients peuvent aussi réagir au comportement répréhensible avec colère et incrédulité. Plus important encore, ces patients risquent de ne plus faire confiance au système de santé.

Un sondage mené auprès de patients canadiens confirme que leurs inquiétudes quant à la protection de leurs renseignements personnels peuvent influencer la façon et le moment où ils entrent en contact avec le système de santé. En effet, certains patients peuvent aussi éviter de subir des examens ou des traitements, consulter de multiples médecins, ou dissimuler ou falsifier des renseignements, ce qui peut entraîner de graves conséquences pour les personnes qui tentent de leur prodiguer des soins.2  

Puisqu'il est attendu que les médecins protégeront raisonnablement les renseignements sur la santé des patients, les atteintes à la vie privée peuvent aussi avoir des répercussions négatives sur eux. Il peut s'agir de plaintes déposées par le patient à un commissaire à la protection de la vie privée, d'enquêtes d'un organisme de réglementation de la médecine (Collège), de la possibilité de sanctions imposées par ces deux autorités, ainsi que de poursuites.

Les atteintes à la vie privée peuvent nécessiter beaucoup de temps et de ressources du système de santé. En effet, la notification et la divulgation peuvent être exigées par la loi, les plaintes doivent faire l'objet d'une enquête et les dégâts causés doivent être limités et corrigés. Les atteintes à la vie privée peuvent aussi miner le soutien du public en ce qui a trait à la divulgation de renseignements sur la santé à des fins de recherche.3

Les principes de l'accès

Au Canada, les médecins, les établissements ou les cliniques sont propriétaires du dossier médical, que celui-ci soit en format papier ou électronique. Toutefois, les renseignements qui y figurent, et qui sont détenus en fiducie pour le bénéfice et les soins du patient, appartiennent à ce dernier. À quelques exceptions près, tout patient garde un droit d'accès aux renseignements sur sa santé, y compris les renseignements provenant d'autres sources, tels les rapports de médecins consultants.

Les patients ont également le droit de contrôler l'accès aux renseignements sur leur santé. C'est principalement au moyen du consentement que les patients exercent leur droit de contrôler les renseignements personnels sur leur santé. Le consentement peut être implicite ou explicite. Il est implicite lorsqu'il est raisonnable de présumer, dans des circonstances précises, qu'une personne a donné son consentement. À titre d'exemple, lorsqu'un patient se présente à un rendez-vous chez un médecin, il est raisonnable de présumer qu'il consent à ce que le médecin recueille des renseignements personnels sur sa santé. Le consentement implicite peut aussi être présumé en ce qui a trait au partage de renseignements personnels sur la santé avec d'autres professionnels participant aux soins du patient. Il s'agit de la notion du « cercle de soins ». Par contre, la divulgation des renseignements à des personnes ou des organisations à l'extérieur du cercle de soins exige le consentement explicite du patient, à moins que la divulgation ne soit autorisée ou requise par la loi. Le consentement explicite peut être fourni sous forme de directive verbale ou écrite.

Même au sein du cercle de soins, les patients peuvent imposer des limites et des conditions quant au choix des personnes pouvant avoir accès aux renseignements personnels sur leur santé. Ceci peut être fait à l'aide d'une demande de « masquage » ou de « verrouillage » ou encore d'une directive de divulgation, lorsque le système le permet. Par ailleurs, le consentement n'est pas un principe statique; les patients peuvent en tout temps modifier ou retirer leur consentement à la divulgation des renseignements personnels sur leur santé, de la manière prescrite.

Les défis de l'accès

Les avantages d'un système de dossiers électroniques (cyberdossiers) sont la facilité de l'accès et du partage. Cependant, ces mêmes avantages constituent également des défis. Bien que les principes de l'accès soient semblables à ceux régissant les dossiers papier, leur mise en pratique dans le système de soins évolutif d'aujourd'hui donne lieu à de nouveaux défis imprévus.

À titre d'exemple, des vérifications ont révélé que certains médecins, étant aussi des patients de l'établissement de santé où ils exercent, ont profité de l'occasion pour accéder à leur propre dossier électronique. Bien que les médecins puissent demander d'accéder aux renseignements personnels sur leur santé, ils devraient suivre le processus établi pour ce faire. De même, les médecins doivent éviter d'accéder aux renseignements sur les membres de leur famille ou leurs amis, même si ces dossiers de santé leur sont facilement accessibles grâce aux plateformes électroniques.  

Les médecins voudront également s'assurer que leurs employés et les membres du personnel de la clinique connaissent les exigences en matière de protection des renseignements personnels. Ces personnes ne doivent pas accéder aux dossiers si elles ne font pas partie du cercle de soins ou si elles ne sont pas autorisées à y accéder pour s'acquitter de leurs tâches (p. ex., facturation, planification des rendez-vous). 

Gestion des risques

Il incombe aux médecins de protéger d'un accès inapproprié les renseignements personnels sur la santé de leurs patients. Les médecins doivent donc se doter de politiques et de processus bien réfléchis afin de protéger d'un accès inapproprié les renseignements personnels sur la santé dont ils ont la garde et la responsabilité. Ils doivent aussi s'assurer que toute personne dont ils sont responsables, notamment leurs employés et les autres membres du personnel, connaissent et respectent ces politiques et procédures.

Les médecins peuvent aussi installer des restrictions d'accès à leur système de dossiers électroniques, en fonction du rôle et des responsabilités de chaque utilisateur. Enfin, ils doivent donner suite à toute atteinte à la vie privée, promptement, de manière efficace et conformément à toute obligation de notification imposée par la législation applicable relative à la protection des renseignements personnels. Les membres peuvent communiquer avec l'ACPM pour obtenir des conseils relatifs à ces exigences.

Références

1.  Commissaire à l'information et à la protection de la vie privée de l'Ontario, « Unauthorized Access to Electronic Records », Présentation à l'Association des hôpitaux de l'Ontario, le 28 novembre 2012. Consulté le 16 mai 2013 à l'adresse : http://www.ipc.on.ca/images/Resources/2012-11-28-OHA.pdf

2. Fairwarning,« Canada: How privacy considerations drive patient decisions and impact patient care outcomes », décembre 2011. Consulté 16 mai 2013 à l'adresse : http://www.fairwarning.com/Canada/whitepapers/2011-12-WP-CANADA-PATIENT-SURVEY.pdf

3. National Research Council, Institute of Medicine, Beyond the HIPAA Privacy Rule: Enhancing Privacy, Improving Health Through Research,  National Academies Press, 2009 334pp. ISBN 0-309-12500-6. Consulté en ligne le 17 juillet 2013 à l'adresse : http://books.nap.edu/openbook.php?record_id=12458

 


AVIS DE NON-RESPONSABILITÉ : Les renseignements publiés dans le présent document sont destinés uniquement à des fins éducatives. Ils ne constituent pas des conseils professionnels spécifiques de nature médicale ou juridique et n'ont pas pour objet d'établir une « norme de diligence » à l'intention des professionnels des soins de santé canadiens. L'emploi des ressources éducatives de l'ACPM est sujet à ce qui précède et à la totalité du Contrat d'utilisation de l'ACPM.