Obligations et responsabilités

Les attentes des médecins en exercice

Mesures pratiques visant à assurer la conformité

Publié initialement en octobre 2013
P1304-4-F

L'exercice de la médecine subit des changements sans précédent. Certains découlent de lois nouvelles ou modifiées, de l'évolution des systèmes de dossiers électroniques, de progrès technologiques ou d'obligations contractuelles. Bon nombre d'entre eux ont d'importantes répercussions sur la protection des renseignements personnels. Les médecins doivent les comprendre et leur porter attention.  

En dépit de la nature complexe de ces développements, les médecins peuvent prendre des mesures pratiques pour se conformer à leurs obligations relatives à la protection des renseignements personnels.

Obligations des médecins

En premier lieu, les médecins doivent comprendre leurs obligations relatives à la protection des renseignements personnels dans le milieu en évolution de la pratique  d'aujourd'hui. La plupart des provinces et des territoires ont adopté des dispositions législatives sur la protection des renseignements personnels qui s'appliquent expressément à la santé et qui régissent la collecte, l'utilisation et la divulgation des renseignements personnels sur la santé. Dans les quelques provinces et territoires sans dispositions législatives propres à la santé, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) s'applique aux renseignements personnels sur la santé au Canada. Les médecins doivent prendre connaissance de la législation dans leur province ou territoire et prendre les mesures voulues pour s'y conformer. L'ACPM, les commissaires à la protection de la vie privée, les associations médicales et les organismes provinciaux ou territoriaux de réglementation de la médecine (Collèges) peuvent disposer de ressources visant à aider les médecins à se conformer aux obligations en matière de protection des renseignements personnels.   

Pratiques administratives et de gestion prudentes

Les médecins qui prennent connaissance de leurs obligations relatives à la protection des renseignements personnels, qui déterminent les problèmes éventuels pouvant survenir dans leur pratique et qui prennent des mesures pour les résoudre seront mieux placés pour éviter les embûches du milieu administratif et réglementaire complexe d'aujourd'hui.

De nombreuses pratiques administratives et de gestion peuvent aider les médecins à se conformer aux exigences relatives à la protection des renseignements personnels. Les membres de l'ACPM sont encouragés à tenir compte de ce qui suit.

Dans une première étape, les médecins doivent comprendre leurs obligations en matière de protection des renseignements personnels dans l'actuel contexte, en pleine évolution, qu'est celui de la pratique.

Ententes sur le partage de données

Comme son nom l'indique, une entente sur le partage de données énonce les conditions du partage de renseignements électroniques sur la santé entre un professionnel de la santé ou un groupe de professionnels de la santé et un établissement, une autorité en matière de santé ou un fournisseur de service. Normalement, l'entente stipule le genre de données à partager, les obligations inhérentes, les permissions requises, le mode d'accès aux données et comment celles-ci peuvent être utilisées. Les principes communément traités dans une entente sur le partage de données sont la gestion des données, la confidentialité, la protection des renseignements personnels, la sécurité et l'accès, la qualité des données, l'indemnisation, la résiliation et le règlement des litiges. 

Les ententes sur le partage de données sont utiles pour les médecins qui utilisent des systèmes de dossiers médicaux électroniques (DME) ou de dossiers de santé électroniques (DSE) prévoyant l'entreposage électronique unique ou multiple et centralisé des dossiers médicaux, dont les droits d'accès sont prédéfinis. Tout fournisseur de service de soins de santé, ou dépositaire de renseignements sur la santé, peut accéder à une partie ou à la totalité du dossier médical pour prodiguer des soins au patient.  

Dans le contexte d'un regroupement de médecins, tous les médecins du groupe pourraient utiliser un système de dossiers électroniques partagés. En pareille circonstance, ils peuvent conclure une entente entre médecins qui régit leur utilisation des dossiers. Puisque plusieurs utilisateurs ont accès aux dossiers, le contrat doit stipuler que les dossiers des patients sont accessibles aux seuls utilisateurs autorisés, à des fins autorisées.

Selon leur type de pratique, certains médecins voudront conclure une entente sur le partage de données avec d'autres médecins ou avec un fournisseur de services de DME. En outre, le médecin peut être invité à signer une entente sur le partage de données avec un hôpital, une clinique ou une autorité en matière de santé. Dans tous les cas, ces ententes contiennent normalement une clause d'indemnisation précisant qui est responsable en cas de perte ou de dommages liés à l'entente.

Ententes de confidentialité et de non-divulgation

En fin de compte, c'est au médecin qu'incombe la responsabilité de veiller à ce que les membres de son personnel respectent la confidentialité des renseignements personnels des patients. Advenant une atteinte à la vie privée, le médecin peut être tenu responsable du fait d'autrui pour les actions de ses employés dans le cadre d'une poursuite en justice. De plus, en vertu de la législation relative à la protection des renseignements personnels, le médecin est en définitive responsable des violations causées par ses agents ou ses associés, tels les employés, le personnel ou les fournisseurs de services embauchés pour l'aider à s'acquitter de ses tâches à titre de dépositaire des renseignements personnels sur la santé des patients.

Pour réduire le risque d'éventuelles atteintes à la vie privée, les médecins devraient demander à leurs employés et à leur personnel de signer une entente de confidentialité et de non-divulgation, laquelle doit être renouvelée chaque année. Cela contribue à assurer la compréhension des obligations qui incombent aux employés, tout en encourageant le traitement respectueux et légal des renseignements sur la santé des patients.

La destruction adéquate des dossiers

La destruction adéquate des dossiers constitue un autre aspect important du respect de la loi sur la protection des renseignements personnels. Les dossiers peuvent être détruits à l'échéance du délai de prescription exigé ou après la transition du dossier papier au dossier électronique. Une destruction efficace des dossiers électroniques nécessite que ceux-ci soient supprimés de façon permanente; les dossiers papier doivent être déchiquetés ou incinérés. Toutefois, les dossiers papier qui ont été numérisés ne doivent être détruits que s'il en existe une version en lecture seulement qui ne peut être altérée ou manipulée après sa conversion. Afin de réduire les risques, les médecins doivent, avant toute transition, établir des procédures écrites du processus de conversion et former leur personnel aux techniques de destruction adéquates. Les médecins doivent aussi engager un fournisseur de services digne de confiance pour la destruction des vieux dossiers. Enfin, le processus de transition doit comprendre certaines démarches d'assurance de la qualité, et documenter les mesures prises.

Les évaluations des facteurs relatifs à la vie privée et les responsables de la protection de la vie privée

Certaines provinces et certains territoires exigent une évaluation des facteurs relatifs aux renseignements personnels avant la mise en œuvre ou la modification d'un système de dossiers électroniques partagés. Cette évaluation permet de déterminer et de minimiser les risques pour la protection des renseignements personnels associés à la mise en œuvre de tels systèmes. Bien que l'évaluation ne soit pas imposée dans toutes les administrations, elle peut constituer un outil précieux pour les médecins. Les membres peuvent consulter le commissaire à la protection de la vie privée de leur province ou territoire pour en savoir davantage sur la conduite d'une évaluation des facteurs relatifs aux renseignements personnels dans leur pratique.

La capacité de vérification est considérée une composante nécessaire de tout système de dossiers électroniques. Dans plusieurs provinces et territoires, des vérifications périodiques sont recommandées pour assurer la confidentialité des renseignements sur la santé des patients. Elles permettent de confirmer que seules les personnes autorisées accèdent aux dossiers des patients conservés sous format électronique, et ce, uniquement à des fins approuvées. Des vérifications régulières aideront les médecins à repérer tout accès non autorisé et y remédier dans les plus brefs délais. 

Étant donné la complexité croissante des questions relatives à la protection des renseignements personnels pouvant survenir dans le cadre de l'exercice de la médecine, la plupart des établissements ont embauché des agents à la protection des renseignements personnels. Ces personnes élaborent, surveillent et mettent à jour les politiques sur la protection des renseignements personnels. Elles donnent également suite aux demandes d'accès. Même les médecins dans de petites pratiques peuvent nommer des agents à la protection des renseignements personnels pour atténuer les risques médico-légaux, existants ou nouveaux, associés aux exigences en matière de protection des renseignements personnels. Les médecins en pratique privée qui délèguent cette responsabilité doivent se souvenir qu'ils sont, en définitive, responsables des renseignements personnels sur la santé de leurs patients. Les politiques sur la protection des renseignements personnels, obligatoires dans certaines provinces et certains territoires, peuvent être d'une grande utilité pour respecter ces obligations. 

Tous les médecins et les établissements de santé doivent se conformer à des exigences complexes en matière de protection des renseignements personnels. Les médecins qui prennent des mesures pour mitiger les risques seront bien placés pour relever ces défis dans le milieu de pratique en évolution rapide d'aujourd'hui. L'ACPM et d'autres organisations se tiennent à la disposition des médecins pour les aider.

AVIS DE NON-RESPONSABILITÉ : Les renseignements publiés dans le présent document sont destinés uniquement à des fins éducatives. Ils ne constituent pas des conseils professionnels spécifiques de nature médicale ou juridique et n'ont pas pour objet d'établir une « norme de diligence » à l'intention des professionnels des soins de santé canadiens. L'emploi des ressources éducatives de l'ACPM est sujet à ce qui précède et à la totalité du Contrat d'utilisation de l'ACPM.