■ Obligations et responsabilités :

Les attentes vis-à-vis des médecins

Protection des renseignements sur la santé des patients dans les dossiers électroniques

Initialement publié en octobre 2013; révisé en septembre 2019
P1304-1-F

Les dossiers médicaux électroniques offrent de réels avantages en ce qui a trait à l'accès et au stockage des renseignements sur la santé des patients, ce qui est susceptible d'améliorer la gestion des soins aux patients. Cependant, les caractéristiques attrayantes des dossiers électroniques (accessibilité, transférabilité et portabilité des renseignements sur la santé des patients) présentent également des risques en ce qui a trait au respect de la vie privée.

Conformément aux exigences réglementaires et aux politiques des organismes de réglementation de la médecine (Collèges), les médecins doivent mettre en place des mesures appropriées pour assurer la confidentialité des renseignements personnels sur la santé des patients.

  • Assurez-vous de connaître et de respecter les normes et directives pertinentes de votre Collège, ainsi que les exigences de la loi sur la protection des renseignements personnels dans votre province ou territoire.
  • Utilisez une entente sur le partage de données pour préciser les obligations dans le cadre de la transmission de renseignements sur les patients au moyen de dossiers médicaux électroniques. Des renseignements sur les principes du partage de données sont offerts dans le document Guide sur les dossiers électroniques [PDF] de l’ACPM.1

Mesures de protection électroniques et physiques

La perte ou le vol d'ordinateurs de bureau et de portables, de téléphones intelligents et de tablettes électroniques, de clés USB ou de disques durs portables, et la destruction ou la transmission inappropriée de dossiers de patients figurent parmi les sources courantes d'atteintes à la vie privée. Les ordinateurs et les dispositifs de stockage de données peuvent également être compromis.

Pour réduire le risque d’atteintes à la vie privée, envisagez les mesures suivantes :

  • Munissez d’un logiciel de chiffrement tous les appareils servant à accéder aux dossiers médicaux électroniques ou à les transmettre, y compris les clés USB et les téléphones intelligents. Le chiffrement transpose les renseignements électroniques en un format inintelligible, tel qu’un flux confus de symboles en apparence aléatoires. Seules les personnes autorisées à déchiffrer ces renseignements sont en mesure de le faire. Bien que les commissaires à la protection de la vie privée du Canada favorisent généralement l’utilisation de logiciels de chiffrement, certaines provinces et territoires, dont la Colombie-Britannique, l’Ontario, le Nouveau-Brunswick et l’Alberta, rendent expressément obligatoire le chiffrement des renseignements personnels sur la santé stockés sur des terminaux mobiles.
  • En plus d'être munis d'un logiciel de chiffrement, les ordinateurs et les dispositifs de stockage doivent être protégés de façon appropriée au moyen de mesures physiques et électroniques. Un chiffrement et des mots de passe robustes, des coupe-feu, des logiciels antivirus et une sécurité physique sont autant d'exemples de mesures de protection.

Stockage infonuagique

Le stockage infonuagique permet l'entreposage de données sur un serveur hors site géré par un tiers; cependant, les dépositaires de ces données (p. ex. médecins, hôpitaux) demeurent responsables de la confidentialité des renseignements.

Assurez-vous d’aborder les questions liées à la sécurité et à la confidentialité avant de conclure une entente de services infonuagiques. Parmi les aspects à considérer, on trouve les restrictions d’accès aux données, la sécurité des données, les mesures de sauvegarde des données et la fiabilité du service.

  • Assurez-vous de savoir où les renseignements personnels sur la santé seront stockés et s'il existe des restrictions empêchant le stockage sur des serveurs à l'extérieur du Canada.
  • Bien que la responsabilité de la confidentialité des dossiers médicaux relève principalement de l’établissement qui en est le dépositaire, vous devriez (si vous faites partie du personnel de cet établissement) être au courant de toute obligation qui vous incombe en vertu des politiques de l’établissement, de toute entente sur l’accès ou le partage de données, ainsi que de votre rôle à titre d’agent ou d’associé de l’établissement en vertu de la loi relative à la protection de la vie privée.
  • Le Commissariat à la protection de la vie privée du Canada2 offre plus de renseignements sur les questions de sécurité liées à l’infonuagique. Le commissaire à la protection de la vie privée de votre province ou territoire pourrait également vous offrir des conseils à cet égard.

Destruction de données

  • Au moment de mettre à niveau un ordinateur ou tout autre appareil électronique, ou lorsque des dossiers électroniques arrivent au terme de leur période de conservation requise, il est important de transférer les données stockées ou de les détruire adéquatement. Vous devez alors transférer ces données, détruire physiquement l’appareil en question ou avoir recours à un logiciel de nettoyage pour supprimer de façon permanente et sécuritaire les fichiers électroniques visés.
  • Évitez de vendre ou de donner des dispositifs de stockage électroniques ayant déjà contenu des renseignements personnels sur la santé.

Références

  1. L’Association canadienne de protection médicale [En ligne]. Ottawa (CA): ACPM; 2014. Guide sur les dossiers électroniques [cité en janvier 2019]. Disponible : www.cmpa-acpm.ca/static-assets/pdf/advice-and-publications/handbooks/com_electronic_records_handbook-f.pdf
  2. Commissariat à la protection de la vie privée du Canada [En ligne]. Juin 2012. L’infonuagique pour les petites et moyennes entreprises : Responsabilités et points importants touchant la protection des renseignements personnels [cité en janvier 2019]. Disponible : https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/technologie/protection-de-la-vie-privee-en-ligne-surveillance-et-temoins/protection-de-la-vie-privee-en-ligne/infonuagique/gd_cc_201206/

AVIS DE NON-RESPONSABILITÉ : Les renseignements publiés dans le présent document sont destinés uniquement à des fins éducatives. Ils ne constituent pas des conseils professionnels spécifiques de nature médicale ou juridique et n'ont pas pour objet d'établir une « norme de diligence » à l'intention des professionnels des soins de santé canadiens. L'emploi des ressources éducatives de l'ACPM est sujet à ce qui précède et à la totalité du Contrat d'utilisation de l'ACPM.