Signalement d’une atteinte à l’intégrité des renseignements personnels : quelles sont vos responsabilités?

• Un employé télécharge sur une clé USB non sécurisée des parties du dossier médical électronique (DME) de la clinique afin de travailler à la maison. Malheureusement, il égare la clé.
• En travaillant à l’ordinateur, vous ouvrez par accident un fichier joint dans un courriel que vous ne reconnaissez pas. Le fichier joint est en réalité un virus qui permet à un pirate informatique d’obtenir accès à distance à votre disque dur, y compris aux dossiers des patients.
• Au moment de payer un café, vous déposez brièvement votre porte-documents qui contient des dossiers de facturation. En moins d’une seconde, un voleur s’en empare et disparaît avec.

En pareilles circonstances, savez-vous comment signaler l’incident? Si oui, à qui devez-vous vous adresser? Il peut être compliqué de coordonner la déclaration et le signalement d’une atteinte à la vie privée, que vous soyez le dépositaire légal des renseignements ou non, par exemple si vous travaillez dans une clinique ou un hôpital.

Dans certaines provinces et territoires, la loi sur la protection des renseignements personnels peut préciser le moment où le dépositaire doit signaler la perte ou le vol de renseignements personnels sur la santé, ou l’accès non autorisé à ceux-ci, c’est-à-dire toute atteinte à l’intégrité de renseignements. Il se peut donc, selon la province ou territoire où vous exercez, que vous soyez tenu de signaler ce genre d’atteinte aux personnes concernées, au commissaire à la protection de la vie privée, à l’organisme de réglementation de la médecine (Collège), sinon à tous.

La première chose à faire, si vous découvrez une atteinte possible, est de communiquer immédiatement avec l’ACPM.

Obligations d’informer et de signaler

Au Canada, la plupart des provinces et territoires exigent que les dépositaires informent les personnes concernées de l’atteinte à la protection de leurs renseignements personnels. Les dépositaires doivent également signaler cette atteinte à des parties précises, p. ex. le commissariat à la protection de la vie privée, le Collège, ou les deux. L’obligation d’informer et de signaler, les parties devant recevoir l’information ou le signalement et le type d’information à transmettre sont fonction de la province dans laquelle vous travaillez et de la nature de l’atteinte. Par exemple, vous pourriez devoir signaler une atteinte à la vie privée après une cyberattaque (p. ex. rançongiciel), lorsque des personnes non autorisées ont eu accès des renseignements personnels sur la santé.

Information des personnes concernées

Lorsque des renseignements personnels sur la santé permettant d’identifier une personne sont perdus, volés ou consultés sans autorisation, il faut déterminer si la personne ou toute autre personne concernée devrait en être informée.

Dans les Territoires du Nord-Ouest et en Ontario, il faut aviser les personnes concernées dans chaque situation d’accès inapproprié, de perte ou de vol. Un avis est également requis au Nouveau-Brunswick, en Nouvelle-Écosse, à Terre-Neuve-et-Labrador, à l’Île-du-Prince-Édouard, au Yukon, au Manitoba, au Québec et en Alberta, mais uniquement lorsque l’atteinte pose un risque raisonnable de préjudice aux personnes concernées.

Une loi fédérale exige que les dépositaires exerçant en clinique et en cabinet privé en Alberta, en Saskatchewan, au Manitoba, à l’Île-du-Prince-Édouard, ainsi que dans les trois territoires, avisent les patients de toute atteinte à la vie privée. ¹ Il se pourrait que ces obligations imposées par la loi fédérale et certaines exigences provinciales se chevauchent.

Signalement au commissaire à la protection de la vie privée et au ministère de la Santé

Dans certaines provinces et certains territoires, les dépositaires sont tenus de signaler les atteintes à la vie privée au commissaire à la protection de la vie privée. La loi fédérale exige également que les dépositaires, dans certaines provinces et certains territoires, signalent les atteintes au Commissariat à la protection de la vie privée au Canada. L’Alberta exige également le signalement au ministère de la Santé. Au Québec, le signalement doit être fait auprès du ministère de la Cybersécurité et du numérique.

Au Nouveau-Brunswick, en Nouvelle-Écosse, à Terre-Neuve-et-Labrador, à l’Île-du-Prince-Édouard, en Ontario, dans les Territoires du Nord-Ouest, au Yukon, au Manitoba et en Alberta, il est obligatoire d’informer le commissariat à la protection de la vie privée d’une atteinte à l’intégrité dans certaines circonstances précises. Au Nouveau-Brunswick et à l’Île-du-Prince-Édouard, par exemple, un signalement est requis, à moins que l’atteinte n’ait aucun effet indésirable ou ne permette pas d’identifier les personnes concernées. En Alberta et au Québec, il est obligatoire d’informer le commissariat à la protection de la vie privée (en plus du ministère de la Santé en Alberta et du ministère de la Cybersécurité et du numérique au Québec) lorsqu’une personne risque réellement de subir un préjudice.

Le Commissariat à la protection de la vie privée du Canada doit être informé non seulement de tout ce qui est exigé comme signalement par les lois applicables des provinces et des territoires, mais également de tout « risque réel de préjudice grave » pour une personne ² qui découle d’une atteinte à l’intégrité de renseignements détenus par un dépositaire exerçant en Alberta, en Saskatchewan, au Manitoba, à l’Île-du-Prince-Édouard et dans les trois territoires. Selon la loi, un préjudice grave « vise notamment la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles ». ³ Les dépositaires de ces provinces et territoires doivent conserver un dossier de chaque atteinte à la vie privée pendant 24 mois.

Signalement à l’organisme de réglementation de la médecine (Collège)

Il peut également être nécessaire, dans certains cas, de signaler une atteinte à la vie privée au Collège, bien que ceci ne soit requis qu’en Ontario pour le moment. La loi ontarienne sur l’accès à l’information et la protection des renseignements personnels exige que le Collège responsable soit informé de toute situation où un dépositaire prend des mesures disciplinaires à l’égard d’un professionnel de la santé réglementé à la suite d’une atteinte à la vie privée. Hors de l’Ontario, les médecins ne sont pas semblablement tenus d’informer le Collège. ⁵

Informer les autorités policières et d’autres organisations

Dans les Territoires du Nord-Ouest, les dépositaires doivent informer les autorités policières du vol ou de la perte de renseignements sur les patients ou de la divulgation, de l’altération, de la destruction, ou de l’élimination de renseignements par des moyens frauduleux ou d’un vol d’identité.

Les dépositaires en Alberta, en Saskatchewan, au Manitoba, à l’Île-du-Prince-Édouard ainsi que dans les trois territoires devront informer toute autre organisation pouvant aider à réduire le risque de préjudice chez les patients touchés par une atteinte à l’intégrité des renseignements, ou aider à atténuer le préjudice. Il peut s’agir, entre autres, d’un organisme chargé de l’application de la loi, ou de la société de protection de l’enfance, selon les circonstances.

Même en l’absence d’une obligation légale, les médecins voudront songer à informer les services policiers si des dossiers ou des systèmes ont été volés ou ont fait l’objet d’une attaque informatique.

Médecins non dépositaires

Les obligations d’informer et de signaler s’appliquent en général aux dépositaires. Si vous n’êtes pas le dépositaire légal des renseignements tel que déterminé par la loi applicable, il se peut qu’une autre personne doive être informée des problèmes et qu’elle prenne les mesures qui s’imposent. Vous devez donc, dans les plus brefs délais, informer le dépositaire (p. ex. l’hôpital, l’autorité en matière de santé, la clinique) lorsque vous découvrez une atteinte possible à la vie privée. En Alberta, les employés d’un dépositaire sont tenus d’informer le dépositaire de toute atteinte à la vie privée. En Colombie-Britannique, les médecins doivent immédiatement informer la direction de l’hôpital ou de l’autorité en matière de santé pour qui ils travaillent de toute divulgation non autorisée de renseignements personnels sous la garde ou la gestion de l’hôpital ou de l’autorité en matière de santé en question.

Vous devriez donc collaborer avec le dépositaire à préparer les documents appropriés à la suite de toute atteinte à la vie privée. En cas de désaccord avec le dépositaire sur la nécessité d’un avis ou d’un rapport, la portée de tout avis ou rapport, ou les renseignements à inclure, vous devriez raisonnablement tenter d’arriver à une solution acceptable pour les deux parties et communiquer avec l’ACPM pour obtenir des conseils.

En bref

• Dans la plupart des provinces et des territoires, les dépositaires sont tenus d’informer certaines personnes et entités ou de leur signaler une atteinte à la vie privée.
• Les exigences particulières varient d’une province et d’un territoire à l’autre, et continuent de changer. Tenez-vous au fait et obtenez des conseils auprès de votre agent à la protection des renseignements personnels, du commissariat à la protection de la vie privée, du Collège, et du ministère de la Santé de votre province ainsi que de l’ACPM. Ces obligations pourraient inclure, entre autres, d’aviser les personnes concernées, de signaler la situation au commissariat à la protection de la vie privée, au Collège, ou aux deux, de tenir des dossiers et de faire rapport chaque année.
• Si vous n’êtes pas le dépositaire, vous devez informer rapidement celui-ci de toute atteinte possible à la protection de renseignements personnels sur la santé.

Références

1. 1. 
   Ces règlements s’appliquent aux médecins dans les provinces ou territoires où les lois établies sur la protection des renseignements personnels ne sont pas (encore) réputées être essentiellement comparables à la Loi sur la protection des renseignements personnels et les documents électroniques (de compétence fédérale).
2. 2. 
   Loi sur la protection des renseignements personnels et les documents électroniques, LC 2000, c5, art 10.1(7)
3. 3. 
   Loi sur la protection des renseignements personnels et les documents électroniques, LC 2000, c5, art 10.1(7)
4. 4. 
   Pour en savoir plus sur ce qui doit figurer dans le rapport annuel, consulter le site web du Commissaire à l’information et à la protection de la vie privée.
5. 5. 
   Même si d’autres provinces n’exigent pas expressément qu’une atteinte à la vie privée soit signalée au Collège, les médecins peuvent avoir des obligations plus générales de signaler un manque de professionnalisme ou une action disciplinaire, selon l’endroit où ils exercent. Communiquez avec l’ACPM pour obtenir plus de précisions.

AVIS : Les renseignements publiés dans le présent document sont destinés uniquement à des fins générales. Ils ne constituent pas des conseils professionnels spécifiques de nature médicale ou juridique, et n’ont pas pour objet d’établir une « norme de pratique » à l’intention des personnes exerçant une profession de la santé au Canada. L’emploi que vous faites des ressources éducatives de l’ACPM est visé par ce qui précède et l’avis de non-responsabilité de l’ACPM dans son intégralité, « Contrat d’utilisation de l’ACPM ».