Qu’est qu’une violation de la vie privée?
(révisé septembre 2020)
Selon la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS), une violation de la vie privée est l’utilisation, la divulgation, la perte ou le vol de renseignements personnels sur la santé. Cela inclut la consultation des dossiers de santé par une personne qui n’a pas le droit de les voir (c’est ce qu’on appelle « fouiner »), perdre une clé USB contenant des renseignements sur la santé ou se faire voler une serviette contenant des dossiers de clients. La LPRPS contient des obligations de rapport des violations de la vie privée qui s’appliquent aux diététistes.
QUI DOIT ÊTRE INFORMÉ?
1. Le dépositaire de renseignements sur la santé (DRS)
Si vous êtes un agent d’un DRS (la personne qui a la garde et le contrôle des dossiers), vous devez informer le DRS concerné à la première occasion raisonnable. Vous êtes un agent d’un DRS si vous travaillez pour un cabinet collectif, un hôpital ou un autre professionnel de la santé qui est un DRS désigné.
2. La personne concernée
Quand il y a une violation de la vie privée, le DRS doit informer la personne concernée à la première occasion raisonnable que sa vie privée a été violée et qu’elle peut déposer une plainte à ce sujet auprès du commissaire à l’information et à la protection de la vie privée de l’Ontario.
3. Le commissaire à l’information et à la protection de la vie privée de l’Ontario
Le 1er octobre 2017, aux termes de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS), le gouvernement de l’Ontario a mis en place des exigences de signalement concernant l’atteinte à la vie privée. Ces modifications font en sorte que les Dt.P. agissant à titre de dépositaires de renseignements sur la santé (DRS) doivent déposer des rapports dans sept catégories d’atteintes à la vie privée au commissaire à l'information et à la protection de la vie privée de l'Ontario (le commissaire).
Ces exigences de signalement sont distinctes de l’obligation des DRS d’aviser les particuliers du vol ou de la perte des renseignements personnels sur la santé ou de leur utilisation ou divulgation sans autorisation, prévue au paragraphe 12 (2) de la LPRPS.
Consultez ces ressources :
LES SEPT CATÉGORIES D’ATTEINTE À LA VIE PRIVÉE SONT LES SUIVANTES
Si au moins une des sept situations indiquées ci-dessous s’applique, les diététistes qui agissant à titre de DRS doivent la signaler au commissaire.
1. Utilisation ou divulgation sans autorisation
Il faut signaler tout « fouinage » par le personnel d’une organisation, un fournisseur de soins de santé ou un tiers (p. ex. un fournisseur de services externe à contrat). Si l’atteinte à la vie privée est de nature accidentelle, par exemple si l’information a été envoyée par inadvertance (soit par courriel ou par messagerie) au mauvais destinataire ou si une personne autorisée accède par mégarde au dossier du mauvais patient, il n’est généralement pas nécessaire de faire un signalement. Cette exception concernant l’utilisation ou la divulgation accidentelle ne s’applique pas aux autres types d’atteinte indiqués dans les six catégories ci-dessous.
2. Renseignements volés
Signalez les vols de documents papier, d’ordinateurs portatifs et d’autres appareils électroniques comprenant des renseignements personnels sur la santé. Faites de même pour ce qui est des attaques par rançongiciel ou autre programme malveillant ayant permis de voler des renseignements personnels sur la santé. Il n’est pas nécessaire d’aviser le commissaire si les renseignements volés avaient été anonymisés ou correctement chiffrés. On encourage les DRS à adopter de telles mesures afin de prévenir des atteintes à la vie privée. Pour plus de renseignements, voyez « Le chiffrement fort dans les soins de santé » (Ann Cavoukian, Ph. D., commissaire à l'information et à la protection de la vie privée de l'Ontario, 2010).
3. Autre utilisation ou divulgation sans autorisation après une atteinte à la vie privée
L’atteinte à la vie privée doit être signalée si elle est aggravée par d’autres atteintes. Prenons l’exemple d’un accès non autorisé à des renseignements personnels pouvant mener à une exploitation à des fins commerciales ou criminelles de ces informations, ou l’ayant déjà fait, ou la menace de publier ces renseignements.
4. Contexte d’atteintes à la vie privée similaires
Les DRS doivent faire preuve de jugement pour décider si une atteinte à la vie privée constitue un cas isolé ou une constante. Une série d’atteintes accidentelles ou peu importantes peut indiquer des problèmes systémiques, par exemple le mauvais fonctionnement d’une pièce d’équipement ou de systèmes, des lacunes concernant les dispositifs de protection ou la formation. Le fait de conserver les atteintes à la vie privée dans un format normalisé aidera les DRS à identifier des constantes.
5. Mesure disciplinaire contre un membre d’un ordre
Si un membre d’un ordre est congédié, suspendu ou se voit infliger des mesures disciplinaires ou s’il démissionne par suite d’une atteinte à la vie privée, ou ses privilèges sont révoqués, suspendus ou assortis de restrictions, ou s’il y renonce ou s’ils sont volontairement assortis de restrictions en raison d’une atteinte à la vie privée, l’incident doit être signalé au commissaire.
6. Mesure disciplinaire contre une personne qui n’est pas membre d’un ordre de réglementation des professions de la santé
Cette situation est similaire à la catégorie 5 ci-dessus, mais elle s’applique aux employés ou aux agents d’un DRS qui ne sont pas membres d’un ordre de réglementation des professions de la santé. Les lignes directrices du commissaire prévoient le scénario suivant : « L’un de vos commis à l'inscription fait une rencontre désagréable avec un patient et affiche l’information au sujet de ce dernier dans les médias sociaux. Vous suspendez le commis durant un mois. » Bien que le commis ne soit pas membre d’un ordre de réglementation des professions de la santé, les DRS doivent signaler cette atteinte à la vie privée au commissaire.
7. Atteinte importante à la vie privée
Toutes les atteintes importantes à la vie privée doivent être signalées au commissaire, qu’elles fassent partie ou non des six catégories ci-dessus. Pour établir si une atteinte à la vie privée est « importante », il faut examiner attentivement la situation, en consultation avec l’avocat du DRS, pour que les atteintes à la vie privée soient signalées dans les cas appropriés. En menant cette évaluation, les DRS peuvent poser les questions suivantes.
-
L’information est-elle de nature délicate? n L’atteinte à la vie privée concerne-t-elle un volume considérable de renseignements?
-
Bien des personnes sont-elles touchées par cette atteinte à la vie privée?
-
Y avait-il plus d’un DRS ou d’un agent responsable de l’atteinte à la vie privée?
Même si une atteinte à la vie privée ne cause pas de préjudice particulier, elle peut être jugée considérable et nécessiter un rapport au commissaire. Par exemple, la divulgation accidentelle de l’évaluation de la santé mentale d’un patient à d’autres fournisseurs de soins de santé qui sont sur une liste d’envoi par courriel et non seulement au médecin de ce patient est une situation qui, selon le commissaire, constitue une atteinte importante à la vie privée. On trouvera d’autres exemples dans les lignes directrices du commissaire.
Rapport annuel
Les DRS doivent compiler des statistiques sur l’atteinte à la vie privée et fournir un rapport annuel au commissaire sur les statistiques de l’année civile précédente sur les atteintes à la vie privée. Le rapport doit également indiquer le nombre de fois où des renseignements personnels ont été volés, perdus, utilisés sans autorisation ou divulgués sans autorisation (le rapport doit préciser le nombre exact de cas pour chaque type d’atteinte à la vie privée).
Rapport à l’ordre de réglementation approprié
Les DRS doivent déclarer à l’ordre de réglementation approprié certaines mesures prises en réponses aux violations de la vie privée. Cela signifie que si une mesure disciplinaire est prise à l’endroit d’une diététiste parce qu’elle a recueilli, utilisé, divulgué, retenu ou éliminé des renseignements personnels sur la santé sans autorisation, le DRS doit signaler ce fait à l’Ordre des diététistes de l’Ontario. Cela inclut les situations où le DRS suspend ou renvoie un membre ou révoque ou restreint ses privilèges ou son affiliation professionnelle. Cette règle s’applique même quand le membre a démissionné à la suite de la mesure disciplinaire.
L’avis doit être transmis par écrit dans les 30 jours suivant la mesure disciplinaire ou la démission. Des exigences supplémentaires ou des exceptions peuvent être établies dans un futur règlement.
Politiques et procédures
Les exigences en matière d’information à fournir au sujet des atteintes à la vie privée présentent certains défis pour les fournisseurs de soins de santé. Il est souhaitable que les diététistes qui agissent à titre de DRS conçoivent des politiques et procédures internes pour détecter et gérer adéquatement de telles atteintes et donner suite convenablement à ces atteintes et aux obligations en matière de présentation de rapports.
Voyez le document de l'Ordre : Privacy of Personal Information Dietetic Practice Tool Kit for Registered Dietitians in Ontario. (en anglais seulement)
Les infractions
En 2016, des modifications ont été apportées à la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS) pour faciliter les poursuites intentées relativement à des infractions en supprimant le délai de prescription. La LPRPS permet au commissaire à l’information et à la protection de la vie privée de l’Ontario d'imposer des sanctions administratives pécuniaires, analogues aux contraventions de stationnement, sauf que le montant de la sanction pécuniaire risque d’être beaucoup plus élevé.
La LPRPS crée également de nombreuses infractions pour avoir délibérément enfreint la loi (art. 72). Par exemple, la collecte, l'utilisation (y compris la consultation) ou la divulgation volontaire de renseignements personnels sur la santé en violation de la loi est une infraction. Il en va de même pour l'élimination délibérée de ces renseignements de manière non sécurisée (p. ex., en jetant des documents dans la boîte bleue sans les déchiqueter au préalable). Une personne reconnue coupable d'une infraction peut se voir imposer une amende allant jusqu'à 200 000 $, alors que l’amende peut s’élever jusqu'à 1 000 000 $ pour un organisme. Une personne peut également être emprisonnée pour une durée maximale d'un an si elle est reconnue coupable d'une infraction.
Références
Fasken Martineau DuMoulin, LLP (2017). Commissioner Issues Important Privacy Breach Reporting Guideline for Health Sector. (en anglais seulement)
Steinecke, R. (2020). The Personal Health Information Protection Act, 2004: A Guide for Regulated Health Professionals, adapté pour le document de l’Ordre intitule, Privacy of Personal Information Dietetic Practice Tool Kit for Registered Dietitians in Ontario. (en anglaise seulement)