Obligations et responsabilités

Les attentes vis-à-vis des médecins

Nouvelles exigences en matière de déclaration d’une atteinte à la vie privée

Publié initialement en novembre 2018
18-22-F

  • Un employé télécharge sur une clé USB non sécurisée des parties du dossier médical électronique (DME) de la clinique afin de travailler à la maison. Malheureusement, il égare la clé.
  • En travaillant à l’ordinateur dans votre cabinet, vous ouvrez par accident un fichier joint dans un courriel que vous ne reconnaissez pas. Il s’agit en réalité d’un virus permettant à un pirate informatique d’obtenir accès à distance à votre disque dur, y compris aux dossiers des patients.
  • Au moment de payer un café, vous déposez brièvement votre porte-documents qui contient des dossiers de facturation. En moins d’une seconde, un voleur s’en empare et disparaît.

En pareilles circonstances, savez-vous comment faire une notification? Si oui, à qui devez-vous vous adresser?

D’importantes exigences sont récemment entrées en vigueur dans l’ensemble du pays en matière de déclaration des atteintes à l’intégrité des renseignements personnels sur la santé. Il peut être compliqué de coordonner une démarche de déclaration, que vous soyez le dépositaire légal des renseignements ou non, par exemple si vous travaillez dans un centre médical ou un hôpital.

Plusieurs provinces et territoires ont apporté des modifications législatives qui ont permis de clarifier et d’étoffer les stipulations concernant le moment où le dépositaire doit signaler la perte ou le vol de renseignements personnels sur la santé, ou l’accès non autorisé à ceux-ci, c’est-à-dire toute atteinte à la vie privée. Il se peut donc, selon la province ou territoire où vous exercez, que vous soyez tenu de déclarer ce genre d’atteinte aux personnes concernées, au commissaire à la protection de la vie privée, à l’organisme de réglementation de la médecine (Collège), sinon à tous.

Compte tenu de la complexité croissante des exigences en matière de déclaration et de notification, la première chose à faire si vous découvrez une atteinte possible à la vie privée est de communiquer avec l’ACPM dans les plus brefs délais.

Obligations de déclarer et de notifier

Au Canada, la plupart des provinces et territoires exigent que les dépositaires notifient les personnes concernées de l’atteinte à l’intégrité de leurs renseignements personnels. Les dépositaires doivent également déclarer cette atteinte à des parties précises (p. ex. le commissaire à la protection de la vie privée, le Collège, ou les deux). L’obligation de notifier et de déclarer, les parties devant recevoir la notification ou la déclaration et le type d’information à transmettre sont fonction de la province ou du territoire de travail et de la nature de l’atteinte.

Garde des dossiers

La législation sur la protection des renseignements personnels identifie les particuliers et les entités responsables qui doivent assurer la garde et la gestion des renseignements, et faire respecter les exigences en matière de notification et de déclaration. Il s’agit le plus souvent de dépositaires ou fiduciaires, bien que la terminologie puisse varier.

Avis aux personnes concernées

Lorsque des renseignements personnels sur la santé permettant d’identifier une personne sont consultés sans autorisation, ou sont perdus ou volés, il faut déterminer la nécessité d’en notifier le patient ou toute autre personne concernée.

Dans les Territoires du Nord-Ouest et en Ontario, il faut notifier les personnes concernées dans chaque situation d’accès non autorisé, de perte ou de vol. Une notification est également requise au Nouveau-Brunswick, en Nouvelle-Écosse, à Terre-Neuve-et-Labrador, à l’Île-du-Prince-Édouard, au Yukon et, plus récemment, en Alberta (depuis le 31 août 2018), mais uniquement lorsque l’atteinte pose un risque raisonnable de préjudice aux personnes concernées.

Une nouvelle loi fédérale entrée en vigueur le 1er novembre 2018 exigera aussi que les dépositaires exerçant en centre médical ou en cabinet privé en Alberta, en Saskatchewan, au Manitoba, à l’Île-du-Prince-Édouard, ainsi que dans les trois territoires, notifient aussi les patients.1 Il pourrait y avoir un chevauchement de ces obligations imposées par la loi fédérale et de certaines exigences provinciales.

Déclaration au commissaire à la protection de la vie privée et au ministère de la Santé

Dans plus en plus de provinces et de territoires, les dépositaires sont tenus de déclarer les atteintes à la vie privée au commissaire à la protection de la vie privée. La nouvelle loi fédérale exige aussi que les dépositaires, dans certaines provinces et certains territoires déclarent les atteintes graves au Commissariat à la protection de la vie privée du Canada. L’Alberta exige également qu’un rapport soit adressé au ministère de la Santé.

Au Nouveau-Brunswick, en Nouvelle-Écosse, à Terre-Neuve-et-Labrador, à l’Île-du-Prince-Édouard, en Ontario, dans les Territoires du Nord-Ouest et au Yukon, il est obligatoire de notifier le commissaire à la protection de la vie privée d’une atteinte à l’intégrité dans certaines circonstances précises. Au Nouveau-Brunswick et à l’Île-du-Prince-Édouard, par exemple, une déclaration est requise, à moins que l’atteinte n’ait aucun effet indésirable ou ne permette pas d’identifier les personnes concernées. En Alberta, il est obligatoire de notifier le commissaire à la protection de la vie privée (en plus du ministère de la Santé) lorsqu’une personne risque réellement de subir un préjudice.

Le Commissariat à la protection de la vie privée du Canada doit être notifié non seulement de tout ce qui est exigé en fonction des lois applicables des provinces et des territoires, mais aussi de tout « risque réel de préjudice grave »2 pour une personne qui découle d’une atteinte à l’intégrité de renseignements détenus par un dépositaire exerçant en Alberta, en Saskatchewan, au Manitoba, à l’Île-du-Prince-Édouard et dans les trois territoires. Selon la loi, un préjudice grave « vise notamment la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles »3. Les dépositaires dans ces provinces et territoires doivent conserver un dossier de chaque atteinte à la vie privée pendant 24 mois.

Rapport statistique annuel

À partir de 2019, les dépositaires ontariens devront soumettre un rapport annuel (avant le 1er mars) au commissaire à l’information et à la protection de la vie privée de la province. Ce rapport doit préciser le nombre de fois où des renseignements personnels sur la santé dont ils avaient la garde et la gestion ont été volés, perdus, utilisés ou divulgués sans autorisation.

En Ontario, les médecins qui sont dépositaires de renseignements personnels sur la santé devraient déjà tenir compte de tous ces genres d’atteinte depuis le 1er janvier 2018.4

Déclaration à l’organisme de réglementation de la médecine (Collège)

Il peut également être nécessaire, dans certains cas, de signaler une atteinte à la vie privée à l’organisme de réglementation, bien que ceci ne soit requis qu’en Ontario pour le moment. La loi ontarienne sur l’accès à l’information et la protection des renseignements personnels exige que l’Ordre responsable soit informé de toute situation où un dépositaire prend des mesures disciplinaires à l’égard d’un professionnel de la santé réglementé à la suite d’une atteinte à la vie privée. Hors de l’Ontario, les médecins n’ont pas, présentement, l’obligation de notifier le Collège.2

Notification aux autorités policières et autres organisations

Dans les Territoires du Nord-Ouest, les dépositaires doivent notifier les autorités policières du vol ou de la perte de renseignements sur les patients ou de la divulgation, de l’altération, de la destruction, ou de l’élimination de renseignements par des moyens frauduleux ou d’un vol d’identité.

À compter du 1er novembre 2018, les dépositaires en Alberta, en Saskatchewan, au Manitoba, dans l’Île-du-Prince-Édouard, ainsi que dans les trois territoires devront notifier toute autre organisation pouvant aider à réduire le risque de préjudice chez les patients touchés par une atteinte à la vie privée, ou aider à atténuer le préjudice. Il peut s’agir, entre autres, d’un organisme chargé de l’application de la loi, ou de la société de protection de l’enfance, selon les circonstances.

Même en l’absence d’une obligation légale, les médecins voudront songer à notifier les services policiers si des dossiers ou des systèmes ont été volés ou ont fait l’objet d’une attaque informatique.

Médecins non dépositaires

Les obligations de notifier et de déclarer s’appliquent en général aux dépositaires. Si vous n’êtes pas le dépositaire légal de renseignements en vertu de la loi applicable, il se peut qu’une autre personne doive être informée des problèmes et qu’elle prenne les mesures qui s’imposent. Vous devez donc, dans les plus brefs délais, notifier le dépositaire (p. ex. l’hôpital, l’autorité en matière de santé, le centre médical) lorsque vous découvrez une atteinte possible à la vie privée. En Alberta, les employés d’un dépositaire sont tenus de notifier le dépositaire de toute atteinte.

Vous devriez donc collaborer avec le dépositaire à la préparation des documents requis à la suite de toute atteinte à la vie privée. En cas de désaccord avec le dépositaire sur la nécessité ou la portée d’une notification ou d’une déclaration, ou les renseignements à inclure, vous devriez raisonnablement tenter d’arriver à une solution acceptable pour les deux parties et communiquer avec l’ACPM pour obtenir des conseils.

En bref

  • Dans la plupart des provinces et des territoires, les dépositaires sont tenus de notifier des particuliers et des entités définis ou de leur déclarer une atteinte à la vie privée.
  • Les exigences particulières varient d’une province et d’un territoire à l’autre, et continuent de changer. Tenez-vous au fait et obtenez des conseils auprès de votre agent à la protection des renseignements personnels, du commissaire à la protection de la vie privée, du Collège et du ministère de la Santé de votre province, ainsi que de l’ACPM, quant aux obligations actuelles qui vous incombent. Ces obligations pourraient inclure, entre autres, de notifier les personnes concernées, de déclarer la situation au commissaire à la protection de la vie privée, au Collège, ou aux deux, de tenir des dossiers et de faire un rapport statistique annuel.
  • Si vous n’êtes pas le dépositaire, vous devez informer rapidement celui-ci de toute atteinte possible à la protection de renseignements personnels sur la santé.




Références

  1. Ces nouveaux règlements s’appliqueront aux médecins dans les provinces ou territoires où les lois établies sur la protection des renseignements personnels ne sont pas (encore) réputées être essentiellement similaires à la Loi sur la protection des renseignements personnels et les documents électroniques (de compétence fédérale).
  2. Loi sur la protection des renseignements personnels et les documents électroniques, LC 2000, c5, art 10.1(7)
  3. Loi sur la protection des renseignements personnels et les documents électroniques, LC 2000, c5, art 10.1(7)
  4. Plus de précisions sur le contenu du rapport annuel sont présentées sur le site web du Commissaire à l’information et à la protection de la vie privée (https://www.ipc.on.ca/health-2/report-a-privacy-breach/?lang=fr).
  5. Même si d’autres provinces ou territoires n’exigent pas expressément qu’une atteinte à la vie privée soit déclarée au Collège, les médecins peuvent avoir des obligations plus générales de signaler un manque de professionnalisme ou une mesure disciplinaire, selon l’endroit où ils exercent. Communiquez avec l’ACPM pour obtenir plus de précisions.

AVIS DE NON-RESPONSABILITÉ : Les renseignements publiés dans le présent document sont destinés uniquement à des fins éducatives. Ils ne constituent pas des conseils professionnels spécifiques de nature médicale ou juridique et n'ont pas pour objet d'établir une « norme de diligence » à l'intention des professionnels des soins de santé canadiens. L'emploi des ressources éducatives de l'ACPM est sujet à ce qui précède et à la totalité du Contrat d'utilisation de l'ACPM.