Dans le but d’encadrer la collecte croissante de données et de limiter les cyberrisques toujours plus nombreux, les gouvernements fédéral et provinciaux ont révisé la législation en vigueur ou ont promulgué de nouvelles lois. Ces changements législatifs imposent des obligations plus lourdes aux dépositaires de renseignements personnels sur la santé et prévoient des sanctions plus sévères en cas de violation.
En Ontario et au Québec, les modifications apportées récemment aux lois sur la protection des renseignements personnels médecins fixent de nouvelles obligations pour les médecins. Bien que la nouvelle législation fédérale ne soit pas encore en vigueur, les médecins exerçant en clinique et en cabinet privé1 dans les autres provinces et territoires pourraient aussi devoir respecter de nouvelles obligations sous peu.
Renseignements personnels sur la santé – Dépositaires, agentes et agents
Les dépositaires ont la garde ou le contrôle des renseignements personnels sur la santé. Il peut s’agir :
- d’une organisation de santé comme un hôpital, une pharmacie ou un laboratoire;
- d’une ou d’un médecin (p. ex. propriétaire d’une clinique ou personne qui exerce seule dans son propre cabinet).
Dans les pratiques de groupe ou les cliniques, les dépositaires des renseignements sont généralement établis en fonction de l’organisation de la clinique et de la définition qui s’applique en vertu de la loi. Les dépositaires sont responsables en dernier ressort des renseignements personnels sur la santé ainsi que des actions de leurs agentes et agents.
Les agentes et agents sont les personnes qui disposent de l’autorisation d’une ou d’un dépositaire pour utiliser les renseignements personnels sur la santé afin d’accomplir certaines tâches. En général, il s’agit :
- de médecins qui exercent dans des hôpitaux et certaines cliniques médicales;
- de membres du personnel administratif ou d’autres professions de la santé d’une clinique médicale ou d’un hôpital.
Les agentes et agents peuvent utiliser les dossiers médicaux pour prodiguer des soins, mais ils doivent généralement demander l’autorisation de la ou du dépositaire pour accéder aux renseignements personnels sur la santé, les utiliser ou les divulguer à d’autres fins. Il est donc essentiel pour les médecins de savoir qui est dépositaire des renseignements dans leur milieu de pratique.
Même si les nouvelles exigences législatives sont principalement destinées aux médecins dépositaires, on s’attend à ce que tous les médecins respectent leurs obligations et qu’ils protègent les renseignements sur leurs patientes et patients. Aussi, les nouveaux pouvoirs coercitifs permettent d’imposer des sanctions aux agentes et agents qui ne respectent pas les nouvelles exigences législatives sur la protection des renseignements personnels (p. ex. en cas de « fouinage »).
Nouvelles sanctions et sanctions plus sévères en cas d’atteinte à la vie privée
Les gouvernements de l’Ontario et du Québec ont établi de nouvelles sanctions administratives inédites au Canada. En effet, dans ces provinces, des sanctions administratives allant jusqu’à 50 000 $ peuvent être imposées dans les cas suivants :
- omission de signaler une atteinte à la vie privée;
- refus d’accorder à une personne l’accès aux renseignements personnels sur sa santé;
- élimination non sécuritaire de renseignements personnels sur la santé.
De plus, de lourdes sanctions peuvent maintenant être imposées en cas d’infractions plus graves ou répétées aux textes de loi, par exemple dans les cas suivants :
- divulgation intentionnelle et non autorisée de renseignements personnels sur la santé;
- utilisation ou tentative d’utiliser des renseignements anonymisés pour identifier une personne;
- entrave à une enquête de commissaire à la protection de la vie privée.
En Ontario et au Québec, des amendes pouvant atteindre 200 000 $ et 100 000 $, respectivement, sont notamment prévues à titre de sanctions.
Par ailleurs, les mêmes sanctions seront imposées en vertu de la nouvelle législation fédérale lorsqu’elle entrera en vigueur.
Nouvelles exigences en matière de consentement et d’évaluation des facteurs relatifs à la vie privée
Consentement : Le gouvernement du Québec a élargi les exigences à satisfaire pour qu’un consentement soit jugé valide et permette de recueillir, d’utiliser et de divulguer des renseignements personnels. Par exemple, les patients doivent savoir qui aura accès à leurs renseignements personnels et pendant combien de temps les renseignements seront conservés. Au Québec, les politiques en matière de protection des renseignements personnels doivent d’ailleurs en faire mention.
Des exigences similaires concernant le consentement s’appliqueront en vertu de la nouvelle législation fédérale lorsqu’elle entrera en vigueur.
Évaluation des facteurs relatifs à la vie privée : Au Québec, on exige maintenant qu’une évaluation des facteurs relatifs à la vie privée soit réalisée avant de divulguer ou de conserver des renseignements personnels à l’extérieur de la province, ou encore de mettre au point ou de refondre un système électronique visant à conserver ou à traiter des renseignements personnels. Par exemple, les cliniques ou les médecins devront généralement réaliser une telle évaluation avant de mettre en place un système de dossiers électroniques (DME) ou d’y apporter des changements.
Les nouvelles exigences rappellent l’importance de respecter la législation en matière de protection des renseignements personnels et, à cette fin, les médecins dépositaires doivent élaborer des politiques de protection des renseignements personnels, former leur personnel sur les exigences à respecter et prendre les mesures de protection appropriées. Pour obtenir de plus amples renseignements, veuillez consulter la page Protection des renseignements personnels et confidentialité des Bonnes pratiques de l’ACPM.
Suggestions de lecture
Remarque
-
Les cliniques et les cabinets privés englobent tous les milieux de pratique qui ne relèvent pas d’un hôpital, d’une autorité sanitaire ou d’un autre organisme public.
