Ontario : Nouveau guide de gestion de la protection de la vie privée à l’intention des petits organismes de soins de santé

La Commissaire à l’information et à la protection de la vie privée de l’Ontario (la « CIPVP ») a publié un nouveau guide de gestion de la protection de la vie privée (le « Guide ») ayant pour but d’aider les petits organismes de soins de santé à remplir les obligations en matière de protection de la vie privée qui leur incombent en vertu de la législation ontarienne sur la protection des renseignements personnels sur la santé. Le Guide présente les principes fondamentaux de la protection de la vie privée, tels que la gouvernance et la reddition de comptes, les politiques de protection de la vie privée, les procédures et les contrôles en matière de protection de la vie privée, ainsi que le suivi et l’examen continus. 

Le Guide a pour but d’aider les praticiens de la santé exerçant à titre individuel et les autres petits organismes de soins de santé à relever les lacunes et les faiblesses dans leurs pratiques actuelles relativement à la protection de la vie privée et des renseignements, à mieux protéger les renseignements personnels sur la santé de leurs patients, ainsi qu’à se conformer à la législation ontarienne en matière de protection des renseignements personnels sur la santé. 

Survol de la Loi de 2004 sur la protection des renseignements personnels sur la santé (« LPRPS ») de l’Ontario

En Ontario, la LPRPS régit la collecte, l’utilisation et la divulgation des renseignements personnels sur la santé dans le secteur des soins de santé. Les renseignements personnels sur la santé sont des renseignements identificatoires concernant un particulier. Ils portent sur certains sujets liés à la santé, comme la fourniture de soins de santé, les paiements relatifs aux soins de santé ou l’admissibilité à ces soins, ou encore le don d’un organe ou d’une substance corporelle. Ils comprennent également le numéro de la carte Santé d’un particulier, ainsi que tout renseignement ayant trait à la santé physique ou mentale d’un particulier, y compris les antécédents de sa famille en matière de santé.

La LPRPS s’applique aux dépositaires de renseignements sur la santé (« DRS »), c’est-à-dire les particuliers et les organisations qui ont la garde ou le contrôle des renseignements personnels sur la santé par suite de la fourniture de soins de santé ou en lien avec la fourniture de tels soins. Les DRS comprennent les praticiens de la santé exerçant à titre individuel (tels que les médecins, les infirmiers/infirmières et les pharmaciens/pharmaciennes), ainsi que les exploitants d’établissements, de programmes et de services de santé (par exemple, les hôpitaux, les cliniques médicales, les centres de services de santé communautaires, les pharmacies et les laboratoires). Il incombe aux DRS de s’assurer de leur conformité à la LPRPS.

Composantes du Guide

La LPRPS établit plusieurs obligations de conformité à l’endroit des DRS. Comme les professionnels de la santé ne sont pas – et ne sont pas censés être - des experts en matière de protection de la vie privée, le Guide leur présente ces obligations dans un langage clair et aisément compréhensible. Il fournit des conseils détaillés et pratiques sur ce qui suit : 

• L’application de la LPRPS et l’importance de la protection de la vie privée
• Les caractéristiques et la mise en œuvre d’un programme de gestion de la protection de la vie privée 
• Les caractéristiques de la gouvernance et de la reddition de comptes, y compris le rôle d’un responsable de la protection de la vie privée
• L’importance d’un inventaire des données exact
• Les moyens de déterminer et d’atténuer les risques liés à la protection de la vie privée
• La collaboration avec des fournisseurs de services et les mesures de précaution devant être mises en place dans le cadre d’une telle collaboration
• La mise en place d’un programme de formation sur la protection de la vie privée à l’intention des employés, ainsi que la conclusion d’une entente de confidentialité avec ces derniers
• L’élaboration et la documentation de politiques et de procédures en matière de protection de la vie privée, y compris des politiques générales en la matière, des politiques relatives à la conservation et à la destruction des dossiers, des politiques d’intervention en cas d’atteinte à la vie privée, ainsi que des procédures pour répondre aux demandes de renseignements des patients et aux demandes d’accès à l’information
• La protection des renseignements personnels sur la santé, notamment la mise en œuvre de mesures de précaution d’ordre technique, matériel et administratif, ainsi que l’utilisation d’applications de courriel et de messagerie sécurisée, d’outils de chiffrement et d’applications de vidéoconférence.
• L’utilisation d’outils d’intelligence artificielle (« IA »), notamment les transcripteurs par IA et les mesures que doit prendre une organisation avant d’utiliser un tel outil
• L’importance de la surveillance, de l’audit et de la journalisation
• L’opérationnalisation d’un programme de gestion de la protection de la vie privée

Le Guide comporte également des annexes utiles, notamment un modèle de politique de protection de la vie privée que les DRS peuvent utiliser pour élaborer leur propre politique, un sommaire du contenu d’un avis d’atteinte à la vie privée à l’intention des personnes concernées, ainsi qu’une liste de ressources de la CIPVP, assorties d’hyperliens, que les organisations pourraient trouver utiles.

Conséquences de la non-conformité

Le Guide souligne que l’approche de la CIPVP relativement à la conformité consiste à réagir de façon proportionnée aux atteintes à la vie privée. Cependant, selon la fréquence et la gravité de la non-conformité à la LPRPS, la CIPVP rappelle aux DRS qu’il peut imposer des pénalités administratives pécuniaires pouvant atteindre un maximum de 50 000 $ CA dans le cas d’une personne physique et de 500 000 $ CA dans le cas d’une personne morale. De plus, une telle non-conformité peut faire l’objet d’une poursuite de la part du ministère du Procureur général pour infraction à la LPRPS.

Pour en savoir davantage au sujet du Guide ou de toute obligation de conformité en vertu de la LPRPS, communiquez avec l’une des auteures du présent bulletin ou un autre membre de notre groupe Protection de la vie privée et des données.