PrintImprimer

L'accès aux renseignements personnels sur la santé par voie électronique est récemment devenu plus courant, surtout dans le contexte de la pandémie. La Loi sur la protection des renseignements personnels sur la santé (LPRPS) de l’Ontario a donc été considérablement modifiée pour tenir compte de la gestion des renseignements personnels sur la santé électroniques. Certaines de ces modifications sont entrées en vigueur dès leur adoption, tandis que d'autres prendront effet à une date ultérieure. Les diététistes doivent se préparer dès maintenant à se conformer à ces exigences prévues par la loi et sont encouragées à discuter des changements nécessaires à leurs politiques et procédures avec leur conseiller juridique.
 
Pour vous aider dans cette tâche, nous avons mis à jour la ressource Privacy of Personal Information Dietetic Practice Toolkit for Registered Dietitians in Ontario (guide sur la protection de la vie privée) pour tenir compte des changements apportés à la loi. Le guide mis à jour comprend l’exigence d’informer immédiatement la commissaire à l’information et à la protection  de la vie privée de l’Ontario (la commissaire) de toute violation importante de la vie privée et de lui présenter annuellement un rapport de toutes les atteintes à la vie privée.

MODIFICATIONS À LA LPRPS EN VIGUEUR MAINTENANT

Droit d’accès des clients

La LPRPS contient des dispositions concernant le droit des clients d'accéder à leurs renseignements personnels sur la santé contenus dans les dossiers électroniques. L'une de ces dispositions oblige les diététistes qui sont des dépositaires de renseignements sur la santé (DRS) et qui utilisent des dossiers de santé électroniques à permettre à leurs clients d'avoir accès au dossier de santé, sur demande, dans un format électronique qui facilite la portabilité des renseignements pour la personne (si le format répond aux exigences des règlements, ce qui n'a pas encore été fait). (Voir Privacy Toolkit, Access Rights, page 23). Les futurs règlements pourraient prévoir des restrictions, des exigences ou des exceptions supplémentaires.

Pouvoirs supplémentaires de la commissaire à l'information et à la protection de la vie privée de l'Ontario

La commissaire à l'information et à la protection de la vie privée a reçu des pouvoirs supplémentaires importants, notamment la capacité d'imposer des sanctions administratives pécuniaires en cas de non-respect de la LPRPS et d’imposer des amendes doublées pour les infractions à la LPRPS.

MODIFICATIONS À LA LPRPS QUI ENTRERONT EN VIGUEUR PLUS TARD

Les principes de protection des renseignements personnels sur la santé exigent que les DRS prennent des mesures raisonnables pour protéger les renseignements contre le vol, la perte, l'utilisation non autorisée, la divulgation, la copie, la modification ou l'élimination. Certains amendements concernant les mesures de protection administratives et techniques entreront en vigueur ultérieurement. Les diététistes qui utilisent les dossiers électroniques pour traiter les renseignements personnels sur la santé sont encouragées à mettre en place dès maintenant les mesures de protection administratives (p. ex., politiques, formation) et techniques (p. ex., journal d'audit) nécessaires. Vous pouvez faire appel à un consultant en TI pour vous aider.

Journal d'audit - Maintien, suivi et audit

Les diététistes DRS devront tenir un journal d'audit pour tout dossier médical électronique afin de consigner les personnes qui accèdent au dossier du client pour éviter la surveillance de trafic ou les autres violations de la vie privée. Le DRS doit surveiller régulièrement le journal d'audit pour détecter les activités suspectes. Pour tous les détails concernant les exigences relatives au journal d’audit, consultez le guide sur la protection de la vie privée (Privacy Toolkit). La commissaire peut exiger que les diététistes DRS fournissent le journal d'audit sur demande.
Les diététistes en exercice privé ou dans d'autres milieux d'exercice qui sont des agents et non DRS (p. ex., celles qui sont dans des équipes interdisciplinaires où l'employeur est le DRS) doivent travailler avec leur employeur et confirmer que les journaux d'audit sont une caractéristique du dossier de santé électronique.

Gestion des applications et des portails en ligne

Les « fournisseurs de services électroniques aux consommateurs » sont une nouvelle entité assujettie à la LPRPS. Il s’agit, par exemple, des applications et des portails en ligne auxquels les clients peuvent avoir accès et dans lesquels ils peuvent stocker des renseignements personnels à leur sujet. Auparavant, les développeurs d'applications ou de portails en ligne qui traitent des renseignements personnels sur la santé avaient peu d'obligations en vertu de la LPRPS. Les détails seront précisés dans les futurs règlements, mais les diététistes ou leurs entreprises qui ont accès aux dossiers de RPS, les modifient ou les gèrent électroniquement par le biais d'une application ou d'un portail devront se familiariser avec les règles relatives au partage d'information avec les fournisseurs de services électroniques aux consommateurs ou à la gestion des demandes de divulgation (p. ex., les diététistes qui gèrent ou traitent les renseignements personnels sur la santé par voie électronique, notamment au moyen d'une application ou d'un portail permettant de présenter des demandes en ligne).

Surveillance des applications et des portails en ligne par la commissaire

L'amendement permet à la commissaire à l'information et à la protection de la vie privée de surveiller les applications qui recueillent des renseignements personnels sur la santé directement auprès d'une personne (p. ex., les lectures de glycémie), ce qui assure une protection accrue de la vie privée des consommateurs. La commissaire aura le pouvoir d'interdire à un DRS de partager des renseignements avec les applications en cas de préoccupations en matière de protection de la vie privée concernant les politiques ou les pratiques du fournisseur de services.

Droit et consentement du client

Les clients auront le droit de gérer leurs propres dossiers de santé en utilisant divers outils numériques, applications, portails ou fournisseurs de services électroniques aux consommateurs. Ils pourraient, par exemple, utiliser des applications pour accéder à des copies de rapports de santé qui seraient stockées dans un téléphone intelligent. Même les praticiens qui n'utilisent pas ces applications ou portails devront connaître les règles relatives au partage avec les fournisseurs de services électroniques aux consommateurs ou à la gestion des demandes de divulgation de renseignements.
 
Les dépositaires qui offrent désormais de tels services devront obtenir le consentement du client lorsqu'ils fourniront les renseignements à une application ou à un portail, suivre les règles relatives à la transmission de ces renseignements et être attentifs à toute directive de la commissaire interdisant la transmission de renseignements à des applications ou à des portails nommés et non conformes.