Les systèmes de dossiers électroniques peuvent faciliter la prestation de soins… mais aussi poser des risques médico-légaux
Les dossiers de santé électroniques sont faciles d’accès : c’est l’un de leurs principaux atouts. D’un simple clic, les médecins et les autres professionnels de la santé peuvent accéder aux renseignements personnels sur la santé d’un patient ou d’une patiente dans le but de lui prodiguer des soins efficaces et continus.
Cette commodité n’est toutefois pas sans risques. De fait, la vie privée des personnes et la sécurité des renseignements personnels sur leur santé peuvent être compromises par des professionnels de la santé qui peuvent lire ces renseignements même s’ils ne font pas partie du cercle de soins, ou par des membres du personnel qui y accèdent à des fins non autorisées.
Les professionnels de la santé ne peuvent lire les renseignements personnels sur la santé d’une personne ni y accéder à des fins non autorisées : se soustraire à cette règle est considéré comme une atteinte à la vie privée. Malheureusement, de telles atteintes à la vie privée sont une réalité au Canada. Il est de plus en plus fréquent que des vérifications ou des plaintes déposées par des patients mettent au jour des cas où des professionnels de la santé et des membres du personnel, y compris des médecins, ont lu les renseignements personnels sur la santé de patients à des fins non autorisées. Que les renseignements aient été consultés intentionnellement ou par mégarde, les patients ont un droit absolu à la confidentialité des renseignements personnels sur leur santé.
L’accès inapproprié peut nuire aux patients
Les patients dont les renseignements ont été compromis peuvent être victimes de discrimination, de stigmatisation et de préjudices économiques ou psychologiques. Un stress supplémentaire est particulièrement nuisible aux patients déjà vulnérables en raison de problèmes de santé. Plus important encore, ces patients risquent de ne plus faire confiance au système de santé. Ils peuvent en effet éviter de subir des examens ou des traitements, consulter de multiples médecins ou encore dissimuler ou falsifier des renseignements.
Puisqu’il est attendu que les médecins protègent raisonnablement les renseignements personnels sur la santé, les atteintes à la vie privée peuvent aussi avoir des répercussions négatives sur eux. Celles-ci peuvent prendre la forme de plaintes déposées par des patients à un commissaire à la protection de la vie privée, à un organisme de réglementation de la médecine (Collège), à un hôpital ou à une autorité en matière de santé (sans parler des sanctions qui pourraient s’ensuivre), ainsi que de poursuites. Qui plus est, les atteintes à la vie privée peuvent mobiliser beaucoup de temps et de ressources.
Les principes de l’accès
Au Canada, les médecins, les établissements ou les cliniques sont propriétaires du dossier médical, qu’il soit en format papier ou électronique. Toutefois, les renseignements qui y figurent appartiennent au patient ou à la patiente; ils sont détenus en fiducie pour le bénéfice et les soins de cette personne. À quelques exceptions près, les patients gardent un droit d’accès aux renseignements personnels sur leur santé, y compris aux renseignements provenant d’autres sources, tels les rapports de médecins consultants.
Les patients ont également le droit de contrôler l’accès aux renseignements personnels sur leur santé; c’est principalement au moyen du consentement qu’ils exercent ce droit de contrôle. Le consentement peut être implicite ou explicite. Il est implicite lorsqu’il est raisonnable de présumer, dans des circonstances précises, qu’une personne a donné son consentement. Par exemple, lorsque quelqu’un se présente à un rendez-vous médical, il est raisonnable de présumer qu’il consent à ce que le ou la médecin recueille des renseignements personnels sur sa santé. Le consentement implicite peut aussi être présumé en ce qui a trait au partage de renseignements personnels sur la santé avec d’autres professionnels participant aux soins du patient ou de la patiente : c’est le concept du « cercle de soins ». En revanche, la divulgation de renseignements à des personnes ou des organisations extérieures au cercle de soins exige le consentement explicite du patient ou de la patiente, à moins que la divulgation ne soit autorisée ou requise par la loi. Le consentement explicite est fourni sous forme de directive verbale ou écrite.
Même dans le cercle de soins, les patients peuvent imposer des limites ou des conditions quant aux personnes autorisées à accéder aux renseignements personnels sur leur santé. Ceci peut être fait à l’aide d’un processus de verrouillage ou de masquage ou d’après des directives de divulgation, selon les lois applicables en matière de protection de la vie privée et les fonctionnalités du système de dossiers électroniques. De façon générale, un fournisseur de système de dossiers électroniques devrait être capable d’aider les médecins à répondre aux demandes de restriction de l’accès aux renseignements personnels sur la santé. Les médecins, pour leur part, ont tout avantage à expliquer aux patients les risques et les avantages de restreindre cet accès; ils devraient aussi consigner cette discussion au dossier. Notons par ailleurs que le consentement n’est pas un principe statique : les patients peuvent en tout temps modifier ou retirer leur consentement à la divulgation des renseignements personnels sur leur santé, de la manière prescrite.
Accès à des fins d’évaluation en matière d’amélioration de la qualité, d’enseignement et d’apprentissage
En général, les établissements autorisent les médecins à accéder aux dossiers médicaux des patients lorsqu’ils prodiguent des soins cliniques. Si des médecins souhaitent y accéder à des fins non cliniques, ils devraient réclamer l’accès aux renseignements sur la personne concernée (à des fins, entre autres, d’évaluation en matière d’amélioration de la qualité, d’enseignement et d’apprentissage autodirigé) si l’établissement ne le leur a pas déjà octroyé. Si l’établissement ne permet pas l’accès à un dossier médical aux fins souhaitées, le médecin ou le professionnel de la santé peut alors se tourner vers le patient pour obtenir le consentement nécessaire. Les médecins pourraient encourager leur établissement ou leur clinique à élaborer une politique en matière de protection des renseignements personnels, s’il n’en existe pas déjà une, afin de clarifier l’accès permis aux dossiers des patients à des fins d’évaluation de la qualité, d’enseignement, ou pour répondre à une plainte auprès du Collège ou une plainte intrahospitalière.
Les défis de l’accès
Bien que les principes de l’accès soient semblables à ceux régissant les dossiers papier, leur mise en pratique donne lieu à des défis nouveaux et inattendus.
Par exemple, des vérifications ont révélé que des médecins exerçant dans un établissement de santé où ils sont aussi patients ont profité de la situation pour accéder à leur propre dossier électronique. Bien que les médecins puissent demander de consulter les renseignements personnels sur leur propre santé, ils devraient pour ce faire suivre le processus établi. Ils devraient aussi suivre le processus en place pour accéder aux renseignements personnels sur la santé des membres de leur famille ou de leurs amis, même si ces dossiers de santé leur sont facilement accessibles.
Les médecins voudront également s’assurer que l’ensemble des effectifs de l’établissement de santé connaît les exigences en matière de protection des renseignements personnels. Dans cette optique, il peut être profitable de prévoir chaque année une séance de formation sur la protection des renseignements personnels à la clinique. Aucun membre du personnel d’un établissement de santé ne devrait accéder à un dossier médical à moins de faire partie du cercle de soins du patient ou de la patiente, ou à moins d’avoir l’autorisation d’accéder au dossier pour s’acquitter de ses tâches (p. ex. facturation, planification des rendez-vous).
Gestion des risques
Il incombe aux médecins de protéger d’un accès inapproprié les renseignements personnels sur la santé de leurs patients. Les médecins doivent donc se doter de politiques et de processus bien réfléchis pour que personne n’accède sans permission aux renseignements personnels sur la santé dont ils ont la garde et la responsabilité.
Les médecins doivent aussi s’assurer que l’ensemble du personnel de la clinique connaît et respecte ces politiques et procédures. Par ailleurs, ils ont avantage à exiger que tous les effectifs de l’établissement signent une entente de confidentialité ou de non-divulgation : ce faisant, on veillera à ce que chaque personne comprenne son obligation de faire en sorte que l’information sur les patients demeure confidentielle et en lieu sûr. Pour obtenir de plus amples renseignements à ce sujet, consultez le Guide sur les dossiers électroniques de l’ACPM.
Les médecins peuvent aussi imposer des restrictions d’accès dans leur système de dossiers électroniques, en fonction du rôle et des responsabilités de chacun des utilisateurs. Enfin, si une atteinte à la vie privée survient, ils doivent y donner suite promptement, efficacement et conformément à toute obligation de notification imposée par les lois sur la protection des renseignements personnels. Les membres peuvent communiquer avec l’ACPM pour obtenir des conseils relatifs à ces exigences.