■ Obligations et responsabilités :

Les attentes vis-à-vis des médecins

Renforcement des exigences en matière de protection des renseignements personnels : ce que les médecins doivent savoir

Cadenas sur fond numérique

4 minutes

Publié : janvier 2024

Les renseignements présentés dans cet article étaient exacts au moment de la publication

Dans le but d’encadrer la collecte croissante de données et de limiter les cyberrisques toujours plus nombreux, les gouvernements fédéral et provinciaux ont révisé la législation en vigueur ou ont promulgué de nouvelles lois. Ces changements législatifs imposent des obligations plus lourdes aux dépositaires de renseignements personnels sur la santé et prévoient des sanctions plus sévères en cas de violation.

En Ontario et au Québec, les modifications apportées récemment aux lois sur la protection des renseignements personnels médecins fixent de nouvelles obligations pour les médecins. Bien que la nouvelle législation fédérale ne soit pas encore en vigueur, les médecins exerçant en clinique et en cabinet privé1 dans les autres provinces et territoires pourraient aussi devoir respecter de nouvelles obligations sous peu.

Renseignements personnels sur la santé – Dépositaires, agentes et agents

Les dépositaires ont la garde ou le contrôle des renseignements personnels sur la santé. Il peut s’agir :

  • d’une organisation de santé comme un hôpital, une pharmacie ou un laboratoire;
  • d’une ou d’un médecin (p. ex. propriétaire d’une clinique ou personne qui exerce seule dans son propre cabinet).

Dans les pratiques de groupe ou les cliniques, les dépositaires des renseignements sont généralement établis en fonction de l’organisation de la clinique et de la définition qui s’applique en vertu de la loi. Les dépositaires sont responsables en dernier ressort des renseignements personnels sur la santé ainsi que des actions de leurs agentes et agents.

Les agentes et agents sont les personnes qui disposent de l’autorisation d’une ou d’un dépositaire pour utiliser les renseignements personnels sur la santé afin d’accomplir certaines tâches. En général, il s’agit :

  • de médecins qui exercent dans des hôpitaux et certaines cliniques médicales;
  • de membres du personnel administratif ou d’autres professions de la santé d’une clinique médicale ou d’un hôpital.

Les agentes et agents peuvent utiliser les dossiers médicaux pour prodiguer des soins, mais ils doivent généralement demander l’autorisation de la ou du dépositaire pour accéder aux renseignements personnels sur la santé, les utiliser ou les divulguer à d’autres fins. Il est donc essentiel pour les médecins de savoir qui est dépositaire des renseignements dans leur milieu de pratique.

Même si les nouvelles exigences législatives sont principalement destinées aux médecins dépositaires, on s’attend à ce que tous les médecins respectent leurs obligations et qu’ils protègent les renseignements sur leurs patientes et patients. Aussi, les nouveaux pouvoirs coercitifs permettent d’imposer des sanctions aux agentes et agents qui ne respectent pas les nouvelles exigences législatives sur la protection des renseignements personnels (p. ex. en cas de « fouinage »).

Nouvelles sanctions et sanctions plus sévères en cas d’atteinte à la vie privée

Le gouvernement de l’Ontario a établi de nouvelles sanctions administratives inédites au Canada. En effet, des sanctions administratives allant jusqu’à 50 000 $ peuvent y être imposées dans les cas suivants :

  • omission de signaler une atteinte à la vie privée;
  • refus d’accorder à une personne l’accès aux renseignements personnels sur sa santé;
  • élimination non sécuritaire de renseignements personnels sur la santé.

De plus, de lourdes sanctions peuvent maintenant être imposées en cas d’infractions plus graves ou répétées aux textes de loi, par exemple dans les cas suivants :

  • divulgation intentionnelle et non autorisée de renseignements personnels sur la santé;
  • utilisation ou tentative d’utiliser des renseignements anonymisés pour identifier une personne;
  • entrave à une enquête de commissaire à la protection de la vie privée.

Des amendes pouvant atteindre 200 000 $ sont notamment prévues à titre de sanctions.

Par ailleurs, les mêmes sanctions seront imposées en vertu de la nouvelle législation fédérale lorsqu’elle entrera en vigueur.

Nouvelles exigences en matière de consentement et d’évaluation des facteurs relatifs à la vie privée

Consentement : Le gouvernement du Québec a élargi les exigences à satisfaire pour qu’un consentement soit jugé valide et permette de recueillir, d’utiliser et de divulguer des renseignements personnels. Par exemple, les patientes et patients doivent savoir pourquoi et comment leurs renseignements personnels seront recueillis, et pendant combien de temps ils seront conservés. On doit aussi les renseigner sur leur droit d’accéder ou de restreindre l’accès à leurs renseignements personnels, et de demander une rectification de ces renseignements.

Évaluation des facteurs relatifs à la vie privée : Au Québec, on exige maintenant qu’une évaluation des facteurs relatifs à la vie privée soit réalisée avant de divulguer ou de conserver des renseignements personnels à l’extérieur de la province, ou encore de mettre au point ou de refondre un système électronique visant à conserver ou à traiter des renseignements personnels. Par exemple, les cliniques ou les médecins devront généralement réaliser une telle évaluation avant de mettre en place un système de dossiers électroniques (DME) ou d’y apporter des changements.

Les nouvelles exigences rappellent l’importance de respecter la législation en matière de protection des renseignements personnels et, à cette fin, les médecins dépositaires doivent élaborer des politiques de protection des renseignements personnels, former leur personnel sur les exigences à respecter et prendre les mesures de protection appropriées. Pour obtenir de plus amples renseignements, veuillez consulter la page Protection des renseignements personnels et confidentialité des Bonnes pratiques de l’ACPM.

Suggestions de lecture

Remarque

  1. Les cliniques et les cabinets privés englobent tous les milieux de pratique qui ne relèvent pas d’un hôpital, d’une autorité sanitaire ou d’un autre organisme public.

AVIS : Les renseignements publiés dans le présent document sont destinés uniquement à des fins générales. Ils ne constituent pas des conseils professionnels spécifiques de nature médicale ou juridique, et n’ont pas pour objet d’établir une « norme de pratique » à l’intention des personnes exerçant une profession de la santé au Canada. L’emploi que vous faites des ressources éducatives de l’ACPM est visé par ce qui précède et l’avis de non-responsabilité de l’ACPM dans son intégralité, « Contrat d’utilisation de l’ACPM ».