Annexe C : Dispositions contractuelles pour les ententes de partage des données applicables aux dossiers médicaux électroniques ou aux dossiers de santé électroniques
Objet
L’ACPM (en collaboration avec l’Association médicale canadienne) a publié un document intitulé « Ententes de partage des données – Principes applicables aux dossiers médicaux électroniques ou aux dossiers de santé électroniques » (les « principes de partage des données ») pour fournir des orientations sur la mise en oeuvre d’une entente portant sur un système de dossiers médicaux électroniques (DME) ou de dossiers de santé électroniques (DSE). L’ACPM a également élaboré quelques dispositions contractuelles types reprenant chacun des principes abordés dans le document relatif aux principes de partage des données.
Comment les utiliser
Ces dispositions types doivent servir à guider les médecins qui s’apprêtent à conclure une entente portant sur un système de DME ou de DSE, ou lors du partage des renseignements d’une personne dans un format électronique. Les principes et dispositions contractuelles afférentes à retenir varieront selon les circonstances. Il faudra tenir compte de l’utilisation envisagée, du ou des systèmes concernés, de l’information à partager, des parties et du type d’entente en cours d’élaboration. En raison des enjeux complexes associés au partage des données, les médecins sont encouragés à confier à des juristes le soin de les aider au moment d’utiliser ces dispositions types pour élaborer une entente adaptée à leur milieu de travail. Il faudra choisir les dispositions contractuelles types qui conviennent et les modifier pour les appliquer aux circonstances particulières dans lesquelles les renseignements personnels de patientes ou patients seraient partagés.
Les dispositions contractuelles contenues dans ce document s’appliquent de manière générale à un arrangement dans le cadre duquel des médecins recourent aux services d’un tiers (p. ex. région sanitaire, centre hospitalier et fournisseur de services) pour la maintenance d’un système de DME ou de DSE et la gestion des renseignements des patientes et patients pour le compte de ces médecins. Dans certaines provinces et certains territoires, les dispositions contractuelles portant sur le partage des données à l’intérieur d’une région ou d’un réseau de santé peuvent être établies au niveau provincial ou territorial en collaboration avec l’association ou la fédération médicale provinciale ou territoriale. Ces dispositions types ont pour objectif d’aider les médecins lorsqu’aucun encadrement pour le partage des données n’a été prévu au niveau provincial ou territorial. Ces dispositions peuvent aussi être modifiées en vue d’être utilisées dans le cadre d’une entente entre médecins dans laquelle une ou un médecin conclut une entente avec d’autres médecins.
Il importe de souligner que les renseignements contenus dans ce document ne doivent pas se substituer à un accord juridique préparé en consultation avec des juristes.
Définitions
La liste appropriée des définitions à inclure dans l’entente dépendra de l’approche contractuelle. Elle pourrait notamment inclure les éléments suivants :
- Parties
- Médecin [Remarque : Il est recommandé aux parties de déterminer également si la définition de médecin devrait comprendre aussi les membres du personnel de la ou du médecin et ses mandataires.]
- Fournisseur de service
- Renseignements personnels sur la santé (RPS) [Remarque : La définition de RPS n’est pas nécessairement limitée aux renseignements personnels des patientes et patients, mais peut comprendre les pistes de vérification et d’autres données.]
- Patiente ou patient
- Lois applicables
- Législation applicable sur la protection des renseignements personnels
- Utilisateurs(trices) et utilisateurs(trices) désigné(e)s
- Système [Remarque : Le système peut être un DSE complexe ou comporter simplement la transmission à sens unique d’un flux de renseignements sur les patientes et patients en format électronique, mais il y a lieu, dans un cas comme dans l’autre, de le définir.]
- Services de santé
- Comité de gestion des données
- Renseignements sur l’assurance de la qualité
La définition de chacun de ces termes devrait refléter la situation contractuelle particulière à laquelle elle s’applique.
1. Propriété des renseignements personnels sur la santé et gestion des données
DISPOSITIONS TYPES :
- Les parties reconnaissent qu’aux fins des lois applicables sur la protection des renseignements personnels, tous les RPS recueillis par le médecin demeurent sous la garde de celui-ci. [Remarque : Ceci ne serait pas toujours applicable en milieu hospitalier.]
- Le fournisseur de services reconnaît et accepte qu’il n’acquiert pas la propriété des RPS, quels qu’ils soient, et qu’il ne doit employer ceux-ci que dans le cadre de la fourniture du système de DME ou de DSE et non dans quelque autre but.
- Lorsque les parties recueillent des RPS, y accèdent, les utilisent ou les communiquent, elles doivent se conformer à l’ensemble des lois applicables et des politiques applicables de tout organisme de réglementation provincial ou territorial (Collège) concernant la création, la tenue ou la destruction de dossiers médicaux.
- Malgré toute autre disposition de la présente entente, rien dans la présente entente, ni aucun lien ou aucune créance ou aucune charge accordée à un tiers par le fournisseur de services ou autrement, ne saurait empêcher le médecin de se conformer aux lois applicables et aux politiques applicables de tout organisme de réglementation provincial ou territorial (Collège), ni ne saurait, notamment : (i) empêcher le médecin de respecter ses obligations en matière de création, de tenue et de destruction des dossiers médicaux, (ii) entraver la capacité du médecin d’utiliser les dossiers médicaux ou (iii) compromettre la capacité du médecin de confier les dossiers médicaux à un autre fournisseur de services en cas de résiliation ou d’expiration de l’entente.
- Une partie peut communiquer des RPS conformément à une assignation, un mandat, une ordonnance ou une demande d’un tribunal canadien ou d’un autre organisme doté de la compétence nécessaire pour en exiger la communication, ou tel qu’il est autrement exigé ou autorisé par les lois canadiennes. Une partie doit promptement aviser l’autre partie si elle reçoit une telle ordonnance, de sorte que les parties puissent déterminer ensemble s’il y a lieu de demander une ordonnance conservatoire ou de se prévaloir d’un autre recours approprié. Les parties collaboreront l’une avec l’autre pour prendre les mesures appropriées en vue d’obtenir une ordonnance conservatoire. Si une partie ne parvient pas à obtenir une ordonnance conservatoire, la partie visée par l’assignation, le mandat, l’ordonnance ou la demande :
- ne fournira que la partie des RPS qu’elle est légalement tenue de fournir;
- déploiera des efforts raisonnables pour obtenir l’assurance raisonnable que les RPS seront traités en toute confidentialité;
- fournira promptement à l’autre partie des copies des RPS qui ont été communiqués, ainsi que de la demande présentée pour obtenir la communication des RPS.
2. Confidentialité et protection des renseignements personnels
DISPOSITIONS TYPES :
- Le médecin peut permettre à ses patientes et patients d’avoir accès à leurs propres RPS en respectant les lois applicables.
- La collecte, l’utilisation et la communication de RPS doivent être réalisées en conformité avec les lois applicables sur la protection des renseignements personnels et de la vie privée, selon le principe que « aussi peu de renseignements que possible pour réaliser l’objectif » soit recueilli en conservant le plus haut degré d’anonymat possible dans les circonstances, étant entendu que la collecte et l’utilisation des RPS seraient effectuées en fonction d’un « accès sélectif ».
- Les utilisatrices et utilisateurs qui recueillent des RPS, y accèdent, les utilisent ou les communiquent doivent se conformer à l’ensemble des lois applicables et des politiques applicables de tout organisme de réglementation provincial ou territorial (Collège) concernant la création, l’utilisation, la tenue ou la destruction de dossiers médicaux. [Remarque : Dans le cadre d’un système élaboré, les parties pourraient souhaiter mettre sur pied un comité de gestion des données dont le mandat consisterait à les aider à prendre des décisions concernant l’utilisation des RPS du système, notamment au sujet de l’utilisation des RPS à des fins autres que la prestation de services de santé.]
- Il incombera au Comité de gestion des données d’établir s’il est opportun d’utiliser ou de communiquer des RPS à des fins autres que la prestation de services de santé, ainsi que la façon dont ces RPS pourraient être utilisés ou communiqués, lorsque les lois applicables sur la protection des renseignements personnels permettent une telle utilisation ou communication.
3. Sécurité et accès au DME ou au DSE
DISPOSITIONS TYPES :
- Le médecin peut accéder aux RPS du système et les utiliser afin de dispenser des services de santé lorsque cet accès et cette utilisation sont permis par les lois applicables et les politiques applicables de tout organisme de réglementation provincial ou territorial (Collège). Le médecin peut accéder aux RPS du système et les utiliser dans les circonstances suivantes :
- le médecin est engagé dans une relation clinique avec la personne visée par les RPS en question;
- le médecin dispense des services de santé à la personne;
- l’utilisation des RPS par le médecin est nécessaire pour dispenser des services de santé ou pour prendre une décision à l’égard des services de santé connexes; ou
- les RPS se rapportent à la séance de soins en cours et sont nécessaires à l’égard de celle-ci.
- Le médecin peut accéder aux RPS du système et les utiliser afin d’obtenir des conseils de son fournisseur de protection en matière de responsabilité civile et (ou) de ses juristes.
- Le fournisseur de services doit mettre en place et faire respecter des mesures destinées à assurer la sécurité et la protection des RPS qui sont conformes aux lois applicables et aux politiques applicables de tout organisme de réglementation provincial ou territorial (Collège) et protéger les RPS contre l’utilisation, la communication, la destruction ou la modification non autorisée. Le fournisseur de services permettra au médecin, œuvrant avec diligence, de vérifier si le fournisseur de services respecte les normes de sécurité mises en place et les modalités de la présente entente.
- Le fournisseur de services créera dans le système un compte et un profil personnels uniques pour chaque médecin participant et lui permettra d’utiliser le système.
- Le fournisseur de services doit assurer une gestion sécuritaire de l’ensemble des dispositifs, des codes ou des autres mesures de sécurité qu’il met en place pour permettre à la personne qui l’utilise d’accéder au système.
- Le fournisseur de services doit élaborer, mettre en place, exploiter et gérer un mécanisme, pouvant inclure des processus et des technologies, destiné à détecter et à surveiller les accès non autorisés au système et l’utilisation et la communication non autorisées des RPS.
- Le fournisseur de services doit élaborer, mettre en place, exploiter et gérer un processus de réaction aux incidents pour remédier aux accès non autorisés, réels ou soupçonnés, au système ou au niveau des dispositifs de sécurité pour l’accès aux RPS.
- Le fournisseur de services doit immédiatement faire enquête à l’égard de tout accès non autorisé soupçonné dans le système ou au niveau des dispositifs de sécurité pour l’accès aux RPS lorsque : (a) l’accès non autorisé soupçonné est constaté par le fournisseur de services; ou (b) cette enquête est demandée par un participant en rapport avec une enquête qu’il mène lui-même au sujet d’un accès non autorisé soupçonné.
- Lorsque le fournisseur de services détermine qu’un accès non autorisé s’est produit dans le système ou au niveau des dispositifs de sécurité pour l’accès aux RPS, il doit immédiatement en informer le médecin concerné par l’accès non autorisé ou susceptible d’en subir les répercussions.
- En ce qui a trait à tout accès non autorisé dans le système ou au niveau des dispositifs de sécurité pour l’accès aux RPS, le fournisseur de services doit immédiatement prendre les mesures pour : (a) mettre fin à l’accès non autorisé; (b) gérer et atténuer les répercussions de l’accès non autorisé; et (c) élaborer une stratégie pour empêcher tout accès non autorisé dans des circonstances similaires.
- Les parties ne doivent permettre à une personne d’utiliser le système ou d’y accéder que si elle a été autorisée en tant qu’utilisateur désigné par le fournisseur de services.
- Les parties déploieront tous les efforts raisonnables pour protéger le système et les RPS contre les accès, les utilisations, les communications ou les modifications non autorisés. Cette obligation demeurera en vigueur malgré la fin de l’existence de l’entente.
- Le fournisseur de services doit, conformément aux modalités de la présente entente :
- se conformer aux lois applicables et aux politiques applicables de tout organisme de réglementation provincial ou territorial (Collège) concernant la sécurité et la protection des RPS, le fournisseur de services s’engageant plus précisément à mettre en place et maintenir des mesures raisonnables destinées à assurer la sécurité et la protection des RPS et à présenter régulièrement des rapports sur les mesures qu’il a prises et les gestes qu’il a posés en matière de sécurité;
- s’assurer que les membres de son personnel, ses mandataires et les personnes qui relèvent autrement de lui au regard de la loi, n’utilisent les RPS qu’aux fins prévues et tel qu’il est décrit dans l’entente;
- assumer l’entière responsabilité à l’égard des gestes posés par les membres de son personnel, ses mandataires et les personnes qui relèvent autrement de lui au regard de la loi en ce qui a trait à l’utilisation et la communication des RPS, ainsi qu’à la communication et à l’utilisation non autorisées des RPS, dans l’exécution de ses obligations aux termes de l’entente;
- exercer une surveillance régulière des accès au système pour s’assurer que seuls les utilisatrices et utilisateurs désignés sont autorisés à y accéder; et
- remettre au médecin des rapports de vérification faisant état des activités des utilisatrices et utilisateurs désignés du médecin dans le système, sur demande de celui-ci, et collaborer à toute enquête menée par le médecin sur toute utilisation inappropriée du système par les utilisatrices et utilisateurs désignés du médecin.
- Les parties ne doivent permettre l’utilisation des RPS que si cette utilisation est nécessaire pour exécuter la collecte, l’utilisation ou la communication envisagée par la présente entente. Avant l’utilisation ou la communication de RPS, les parties doivent, autant que possible, s’assurer que ces RPS sont non-nominatifs et ne peuvent être rattachés à une personne identifiable, sauf tel que requis aux termes de la présente entente.
- Il est entendu entre les parties que chaque utilisatrice ou utilisateur du système ne doit accéder qu’au minimum de RPS et n’utiliser ni ne communiquer que le minimum de RPS qui soit essentiel pour lui permettre de réaliser un ou plusieurs des buts de l’entente. Les parties reconnaissent que la collecte, le stockage, l’utilisation et la communication des RPS ne doivent être effectués que de la manière envisagée par la présente entente.
- Le fournisseur de services emploiera des pratiques et des normes technologiques, comme la technologie de chiffrement, intégrant des mesures de sécurité raisonnables afin de maintenir la confidentialité.
- Le fournisseur de services doit s’assurer que le système est en mesure de traiter les demandes présentées par les patientes et patients et de restreindre l’accès à leurs RPS à certaines utilisatrices et certains utilisateurs.
4. Exactitude et qualité des RPS
DISPOSITIONS TYPES :
- Des corrections ou modifications peuvent être apportées aux RPS par le médecin en fonction des besoins, y compris en réponse à des demandes de correction faites par des patientes ou patients pour corriger leurs RPS.
- Lorsqu’il est nécessaire de rectifier ou de modifier les RPS que le médecin a saisis dans le système après que l’accès par le médecin au système est terminé ou interrompu, sur demande écrite au fournisseur de services, le fournisseur de services devra immédiatement apporter la rectification ou la modification et aviser par écrit le médecin que cette rectification ou modification a été effectuée.
- Le fournisseur de services doit immédiatement aviser le médecin si celui-ci a accédé à des renseignements erronés ou périmés.
- Il incombe aux parties de s’assurer que les RPS ayant fait l’objet d’une collecte, d’un accès, d’une utilisation ou d’une communication sont exacts et qu’ils n’ont été changés, modifiés ou complétés que conformément à la présente entente.
- Chaque partie s’engage à faire le nécessaire pour que les RPS qu’elle a recueillis et rendus accessibles aux autres parties pour communication et utilisation de ces derniers aux termes de la présente entente soient exacts et reconnaît qu’aucune partie ne saurait changer, modifier ni compléter ces RPS que conformément à la présente entente.
5. Exigences en matière de tenue de dossiers
DISPOSITIONS TYPES :
- Un médecin peut accéder au système et utiliser les RPS afin d’effectuer lui-même les vérifications suivantes relatives à sa pratique :
- pour établir si les exigences et les lignes directrices applicables d’un organisme de réglementation professionnel ont été respectées;
- pour établir si les exigences de tout autre organisme administratif ou de surveillance ont été respectées;
- pour établir si les demandes d’indemnisation présentées par la pratique sont précises et conformes aux exigences applicables;
- pour établir si les normes et les procédures écrites instaurées par la pratique sont exécutées de manière efficace et efficiente; et
- dans tout autre but essentiel au fonctionnement efficace de la pratique pour ce qui est de la prestation de services de santé à des particuliers.
- Il est interdit au fournisseur de services d’accéder aux dossiers se rapportant aux vérifications qu’un médecin a lui-même effectuées à l’égard de sa pratique ou encore d’utiliser ou de communiquer de tels dossiers sans l’autorisation du médecin concerné.
- Les RPS peuvent être fournis à un ordre professionnel du domaine de la santé, sur demande du médecin, dans les situations suivantes :
- le médecin s’est conformé à toute autre législation l’autorisant ou l’obligeant à communiquer des renseignements à cette fin;
- les RPS sont requis dans le cadre d’une enquête, d’une procédure disciplinaire ou d’une inspection professionnelle; et
- les RPS i. ont été saisis par une ou un membre de l’ordre professionnel du domaine de la santé; ou ii. se rapportent à une activité d’une ou d’un membre de l’ordre professionnel du domaine de la santé.
- Le fournisseur de services doit mettre sur pied un Comité de gestion des données chargé de surveiller la collecte, l’utilisation, la communication, la gestion et la conservation des RPS du système. Le Comité de gestion des données doit compter des représentants du médecin. [Remarque : L’entente devrait définir la composition du Comité, la façon dont le Comité aura accès aux RPS dans le système et s’il convient qu’il y ait accès.]
- Le Comité de gestion des données doit évaluer périodiquement si les parties respectent la présente entente, et doit instaurer des politiques et des procédures pour en faciliter la conformité.
- Le Comité de gestion des données doit exécuter de manière périodique et (ou) aléatoire des vérifications sur l’accès aux RPS, leur utilisation ou leur communication, y compris des évaluations portant sur les niveaux d’accès, l’identité des particuliers ou des entités qui accèdent aux RPS, les utilisent ou les communiquent, ainsi que l’objectif de cet accès, cette utilisation ou cette communication.
- Le fournisseur de services doit s’assurer que tous les RPS sont créés, tenus ou conservés dans l’optique de satisfaire aux exigences auxquelles un médecin est soumis en ce qui a trait à l’authenticité et à l’intégrité tant des RPS que des processus employés pour les créer. Le système doit prévoir une piste de vérification qui consigne les opérations de collecte, d’utilisation, de communication et de modification des RPS ainsi que de l’accès à ceux-ci. [Remarque : L’entente pourrait préciser d’autres exigences pour la piste de vérification.]
- Lorsqu’un médecin est concerné par une affaire médico-légale, le fournisseur de services doit s’assurer que le médecin puisse avoir accès aux RPS concernant les soins prodigués. Les RPS doivent être créés, mis à jour ou conservés dans le but de satisfaire aux exigences à l’égard de l’intégrité des données et du processus de création des RPS. Les RPS doivent être conservés pendant une période qui correspond aux exigences en matière de conservation des dossiers et mis à la disposition du médecin s’il survient une affaire médico-légale.
- Dans les cas où, en vertu des lois applicables et des politiques applicables de tout organisme de réglementation provincial ou territorial (Collège), les RPS doivent être détruits, le fournisseur de services doit s’assurer que les RPS ont été détruits d’une façon appropriée et conforme aux lois applicables et aux politiques applicables de tout organisme de réglementation provincial ou territorial (Collège).
- Le fournisseur de services doit s’assurer que le système prend en charge le stockage des RPS permettant que le contenu et le format des RPS soient conformes aux lois applicables et aux politiques applicables de tout organisme de réglementation provincial ou territorial (Collège) ou de tenue des dossiers électroniques.
6. Assurance de la qualité
DISPOSITIONS TYPES :
Le fournisseur de services doit s’assurer que tous les RPS désignés comme étant des « renseignements devant servir aux procédures d’assurance de la qualité » sont conservés séparément des autres dossiers du système et ne sont rendus accessibles qu’aux utilisatrices et utilisateurs déterminés concernés par l’examen du processus d’assurance de la qualité ou de l’amélioration de la qualité.
7. Étendue et fonctionnalité des services
DISPOSITIONS TYPES :
- SERVICES : Le fournisseur de services doit fournir les services associés aux DME ou aux DSE, et remplir les fonctions connexes, tels qu’indiqués et décrits à l’Annexe A jointe (les « services DME ou DSE »). [Remarque : Il y aura lieu de décrire en détail les services DME ou DSE particuliers dans une annexe relative aux services.]
- NIVEAUX DE SERVICE : Lorsqu’il exécute les services DME ou DSE, le fournisseur de services doit respecter les modalités de la présente entente, atteindre ou surpasser les niveaux de service, temps de réponse et autres critères d’exécution indiqués dans l’Annexe B jointe (les « niveaux de service »), et respecter à tout moment les lois applicables et les politiques applicables de tout organisme de réglementation provincial ou territorial (Collège). [Remarque : L’annexe relative aux niveaux de service définit les niveaux de services précis devant être atteints par le fournisseur de services. Ces niveaux pourraient comporter une exigence en matière de disponibilité et l’annexe contiendrait une explication détaillée du mode de calcul associé à cette exigence. Un modèle de libellé est présenté ci-dessous.]
NIVEAUX DE SERVICE
- HEURES D’EXPLOITATION ET TEMPS DE RÉPONSE : Les appels de service effectués par le médecin seront pris en charge par le centre d’appels approprié du fournisseur de services durant les jours ouvrables, aux heures d’ouverture normales du centre, soit [de telle heure à telle heure]. Le fournisseur de services déploiera des efforts raisonnables pour donner suite à un appel de service immédiatement après que l’appel est reçu par le centre d’appels du fournisseur de services. Le fournisseur de services donnera suite à tout appel de service et règlera tout problème dans les délais impartis par la présente entente.
- MAINTENANCE : Le fournisseur de services se chargera d’effectuer la maintenance systématique (la « maintenance systématique ») qui consiste à effectuer de manière générale les travaux de maintenance et d’entretien du système, y compris, sans restriction, les réglages d’ordre général au système, l’installation de programmes de correction de bogue et correctifs, ainsi que le déploiement des mises à jour, des mises à niveau, des révisions et des nouvelles versions de logiciels et de matériel informatique. Le fournisseur de services se chargera aussi d’effectuer la maintenance corrective (la « maintenance corrective »), qui consiste à donner suite aux problèmes rencontrés par un médecin et qui sont rapportés au fournisseur de services par le médecin. Le fournisseur de services doit aviser le médecin au moins [72] heures à l’avance avant d’effectuer toute maintenance systématique. Les travaux de maintenance systématique ne peuvent être exécutés pendant plus de [8] heures par mois civil, sauf si un médecin demande que des travaux de maintenance systématique supplémentaires soient effectués ou si les parties s’entendent sur la nécessité d’exécuter des travaux de maintenance systématique supplémentaires, et ces travaux seront effectués dans la mesure du possible hors des heures de pointe.
- DISPONIBILITÉ DU SYSTÈME : L’expression « disponibilité du système » désigne le rapport entre les minutes d’accessibilité du système (à l’exclusion de la maintenance systématique) pendant une période consécutive de trois (3) mois et le nombre total de minutes pendant cette période de trois (3) mois. Les problèmes ou les interruptions causés par des systèmes ou des fournisseurs qui échappent au contrôle du fournisseur de services ne seront pas inclus dans le calcul de l’accessibilité du système. [Remarque : Il existe plusieurs façons d’évaluer la « disponibilité du système » et ceci n’est qu’un exemple.] [Remarque : Il est habituellement nécessaire de prévoir des recours quelconques pour que les niveaux de service soient assortis de conséquences réelles. Les conséquences relatives au défaut d’atteindre des niveaux de service doivent également être adaptées au contexte de chaque entente. Dans le cadre d’ententes où le médecin paie le fournisseur de services en échange des services, il pourrait être approprié de prévoir une certaine forme de remboursement ou de crédit de service qui serait associé à un défaut d’atteindre les niveaux de service attendus. Les fournisseurs de services préfèrent généralement accorder un crédit plutôt qu’un remboursement. Une telle disposition pourrait comporter une description plus ou moins détaillée, selon les besoins du médecin.]
- LICENCES DE TIERS : Le fournisseur de services doit obtenir à ses frais, pour le compte du médecin, toutes les licences de tiers qui sont nécessaires pour la prestation des services et l’utilisation du système. À la demande du médecin, le fournisseur de services fournira promptement au médecin une confirmation écrite selon laquelle tous les tiers concédants de licence de logiciels ont été informés que le médecin est un bénéficiaire de ces licences de logiciels de tiers. [Remarque : Le médecin souhaite obtenir l’assurance que le fournisseur de services a obtenu tous les droits nécessaires concernant l’exploitation du système DME ou DSE.]
- COPIES DE SAUVEGARDE : Le fournisseur de services doit effectuer la nuit, sur un support de données, des copies de sauvegarde incrémentales ou des copies de sauvegarde périodique intégrales des DME ou des DSE. Le fournisseur de services doit entreposer tous les supports de données contenant les copies de sauvegarde à un endroit des locaux du fournisseur de services qui est conçu pour résister au feu. Les supports de données contenant les copies de sauvegarde devront périodiquement faire l’objet d’une rotation à un emplacement de stockage à l’extérieur du lieu du fournisseur de services.
- RÉCUPÉRATION APRÈS SINISTRE : Le fournisseur de services doit à tout moment prendre les dispositions suivantes pour la reprise des activités en cas de sinistre :
- Incendie – Les locaux du fournisseur de services doivent être équipés d’une installation d’extinction automatique qui ne peut avoir aucune incidence sur l’équipement ou les systèmes mais éteindra immédiatement un incendie.
- Alimentation électrique – Le fournisseur de services recourra à plusieurs sources d’alimentation électrique pour s’assurer que ses locaux bénéficient d’une alimentation ininterrompue en cas de panne de courant.
- Défaillance des serveurs – Tous les serveurs du fournisseur de services seront soit redondants, soit munis d’un équilibreur de charge, de sorte que tout système puisse tomber en panne sans donner lieu à une interruption de l’utilisation du système ni avoir d’incidence sur sa fonctionnalité, sa capacité, sa disponibilité ou son rendement.
- SÉCURITÉ :
- Le fournisseur de services doit recourir aux meilleures pratiques adaptées à la technologie de contrôle de la sécurité des accès pour toutes les opérations d’accès au système, restreignant l’accès aux personnes autorisées. Le fournisseur de services doit fournir des systèmes adéquats de protection au moyen d’un coupe-feu et de détection des accès non autorisés afin de protéger les RPS contre l’accès, la modification ou la destruction non autorisés par des tiers et emploiera les technologies allant de pair avec les meilleures pratiques en matière de sécurité pour assurer que toutes les transmissions en amont et en aval du système sont protégées et pour empêcher la corruption, la perte, la destruction ou l’acheminement erroné de telles transmissions. Le fournisseur de services doit immédiatement aviser le médecin de quelque accès non autorisé ou vulnérabilité dans les dispositifs de sécurité ou au niveau de l’intégrité du système et prendre immédiatement toutes les mesures raisonnables pour remédier à la situation. [Remarque : L’Entente peut préciser l’étendue du niveau de sécurité nécessaire, y compris les exigences de chiffrement.]
- Le fournisseur de services doit utiliser des dispositifs pour assurer la sécurité du système qui remplissent ou dépassent les critères applicables imposés par les lois applicables et les politiques applicables de tout organisme de réglementation provincial ou territorial (Collège) aux médecins exploitant des systèmes de gestion de DME ou de DSE. Le fournisseur de services doit assurer l’entretien de ces systèmes et installer en temps voulu l’ensemble des mises à jour, mises à niveau, améliorations, nouvelles versions et logiciels correctifs nécessaires. Le fournisseur de services doit aviser promptement le médecin de tout accès non autorisé aux dispositifs de sécurité du système, ou de toute vulnérabilité du système connue.
- SERVICE D’AIDE À LA TRANSITION : Si la présente entente devait prendre fin, pour quelque motif que ce soit, et à l’expiration de celle-ci, le fournisseur de services devra coopérer de bonne foi avec le médecin pour aider celui-ci et tout autre fournisseur de services choisi par le médecin à effectuer une transition ordonnée des services depuis le système du fournisseur de services jusqu’au système du nouveau fournisseur de services. Cette assistance comportera notamment, sur demande du médecin, les éléments suivants : (i) élaborer promptement, avec le fournisseur de services et son nouveau fournisseur de services, un plan de transition énonçant les tâches devant être accomplies et les échéanciers devant être respectés par chaque partie, respectivement; (ii) réaliser une copie de sauvegarde des RPS du médecin et de l’ensemble des autres renseignements et données; (iii) appuyer les démarches du médecin ou de son nouveau fournisseur de services pour le chargement ou la transmission de la base de données; (iv) appuyer les démarches du médecin ou de son nouveau fournisseur de services pour résoudre tous les problèmes de connectivité ou de configuration; (v) rassurer le soutien qui est raisonnablement nécessaire pour permettre toutes les conversions nécessaires ou appropriées des RPS du médecin et des autres renseignements et données en vue de leur intégration au nouveau système; et (vi) aider de toute autre façon le médecin jusqu’à l’achèvement de la transition au système du nouveau fournisseur de services.
- ASSURANCE EN MATIÈRE DE RESPONSABILITÉ CIVILE : Le fournisseur de services doit maintenir en vigueur une police d’assurance en matière de responsabilité civile générale et professionnelle assortie de montants de garantie qui sont suffisants pour le protéger aux fins de la présente entente. Cette police d’assurance de la responsabilité civile doit nommer le médecin à titre d’assuré additionnel, mais seulement au titre de la présente entente et comporter à tout le moins des dispositions couvrant les éléments suivants : produits et opérations achevées, lésions corporelles, recours entre coassurés, responsabilité contractuelle et transmission d’un préavis écrit de trente (30) jours à l’égard de quelque modification importante de la police, de son annulation ou de son non-renouvellement. Le fournisseur de services doit fournir une preuve d’assurance sur demande.
8. Résiliation et continuité de l’exploitation du système de dossiers médicaux électroniques
DISPOSITIONS TYPES :
- À la fin de l’existence de la présente entente : (a) le Comité de gestion des données prendra en charge la responsabilité pour la mise à jour des données dans l’intervalle; (b) dans les soixante (60) jours de la fin de l’existence de la présente entente, le Comité de gestion des données doit faire le nécessaire pour que tous les médecins qui ont fourni des RPS reçoivent une copie de ces RPS, ainsi qu’une copie de tous les autres RPS qui ont été fournis subséquemment et ont eu pour effet de changer, de modifier ou de compléter de tels RPS, ou qui se rapportent autrement à ces RPS, sur le support demandé par le médecin; et (c) le Comité de gestion des données ne saurait autrement changer, modifier, compléter ou détruire un DME sans l’approbation du médecin.
9. Résiliation pour convenance
DISPOSITIONS TYPES :
- Résiliation pour convenance : le médecin peut résilier [la présente entente] ou [sa participation au système] sans motif, au moyen d’un préavis écrit de [trente (30)] jours.
- Résiliation résultant de la faillite ou de l’insolvabilité : une partie peut résilier la présente entente en faisant parvenir un avis écrit à l’autre partie si cette autre partie est visée par une procédure en faillite ou en insolvabilité, volontaire ou forcée, si un séquestre est nommé avec ou sans le consentement de l’autre partie, si l’autre partie cède ses biens à ses créanciers ou commet tout autre acte de faillite ou encore si l’autre partie devient insolvable et ne peut payer ses dettes à l’échéance.
- Résiliation pour violation d’une clause contractuelle : outre les autres droits et recours à sa portée, le médecin peut résilier immédiatement la présente entente si le fournisseur de services fait défaut de respecter la présente entente, à condition qu’il ne soit pas remédié à ce défaut dans les [nombre de jours (p. ex. sept)] jours de la notification, par le médecin, de ce défaut.
10. Indemnisation
DISPOSITIONS TYPES :
- Le fournisseur de services convient d’assumer la responsabilité et d’indemniser le médecin, les membres de son personnel, ses sous-entrepreneurs, ses mandataires et ses fournisseurs à l’égard de l’ensemble des réclamations, demandes, poursuites, actions, causes d’action ou responsabilités de quelque nature que ce soit se rapportant à des dommages, des pertes, des coûts ou des dépenses (y compris les honoraires juridiques et débours) ou à tous autres montants découlant directement ou indirectement : (a) de toute violation des lois applicables; (b) de toute violation d’une clause contractuelle de la présente entente; (c) de toute collecte, utilisation, communication ou modification non autorisées de RPS; (d) de tout échange non autorisé de RPS; (e) de tout accès non autorisé au système; (f) de tout accès non autorisé dans les dispositifs de sécurité ou de protection de la confidentialité des RPS que le médecin a saisis dans le système ou auxquels le médecin a autorisé l’accès par l’entremise du système; ou (g) de toute modification non autorisée des RPS (y compris, sans restriction, d’un accès non autorisé aux RPS) que le médecin a fournie au système, effectué ou causé par le fournisseur de services, les membres de son personnel, ses mandataires ou d’autres personnes dont le fournisseur de services est légalement responsable.
- PROCESSUS D’INDEMNISATION : La partie qui indemnise assumera la défense et le règlement, à ses frais, à l’égard de l’ensemble de ces réclamations et paiera les dommages, les coûts et les autres montants adjugés ou réclamés par le demandeur ou dont il a été convenu dans le cadre d’un règlement, y compris les frais de justice et débours raisonnables engagés par la partie indemnisée avant que la partie qui indemnise ne prenne en charge la défense de telles réclamations, ainsi que les dépenses raisonnables et nécessaires découlant de la collaboration demandée par la partie qui indemnise aux termes de l’article [insérer le numéro de l’article].
- CONDITIONS RELATIVES À L’INDEMNISATION : La partie indemnisée doit aviser la partie qui indemnise de toute réclamation sans retard indu. La partie qui indemnise assumera le contrôle de la défense, de la décision finale ou du règlement de cette réclamation; toutefois, la partie qui indemnise ne saurait faire de compromis ni de règlement au titre d’une telle réclamation au nom de la partie indemnisée sans au préalable obtenir l’autorisation de la partie indemnisée, et la partie indemnisée collaborera avec la partie qui indemnise dans le cadre de cette défense et de ce règlement.
11. Limitation de responsabilité
DISPOSITION TYPE :
Aucune disposition de la présente entente ne saurait en aucune circonstance limiter, ni exclure, la responsabilité du fournisseur de services à l’égard de quelque forme non autorisée ou illicite de collecte, d’utilisation ou de communication de RPS, ou d’accès à ceux-ci.
12. Déclarations et garanties
DISPOSITION TYPE :
- Le fournisseur de services déclare et garantit ce qui suit au médecin :
- il dispose du plein pouvoir et de toute l’autorité nécessaires pour contracter ses obligations aux termes de la présente entente et s’en acquitter;
- il n’existe pas de contrat, d’engagement ni de convention en vigueur dont le fournisseur de services est partie et qui soit en conflit avec la présente entente ou qui est susceptible de limiter, de restreindre ou de compromettre les droits ou la capacité du fournisseur de services de fournir les services et de s’acquitter de ses obligations aux termes des présentes;
- tous les services qu’il est censé exécuter aux termes des présentes seront exécutés de manière compétente, professionnelle et dans les règles de l’art par du personnel ayant la compétence, la formation et les qualifications requises;
- les services seront rendus à tout moment en conformité avec les niveaux de service et les autres critères de rendement prévus dans la présente entente et dans tous les autres documents fournis par le fournisseur de services;
- la technologie employée par le fournisseur de services ne contrevient pas ni ne contreviendra ultérieurement à toute loi applicable ou à toute politique applicable de tout organisme de réglementation provincial/territorial (Collège);
- les services ne constituent pas ni ne constitueront une violation ou une contrefaçon, ni n’entraînent ou n’entraîneront une appropriation illicite d’un brevet, d’une marque de commerce, d’un droit d’auteur, d’un secret commercial ou de tout autre droit de propriété intellectuelle ou exclusif d’un tiers et le fournisseur de services est propriétaire du système ou dispose autrement du droit de l’utiliser dans le cadre de la prestation des services prévus aux présentes;
- il se conformera à l’ensemble des lois applicables et des politiques applicables de tout organisme de réglementation provincial ou territorial (Collège) dans le cadre de l’exécution de ses obligations aux termes des présentes; et
- il demeure principalement responsable de l’exécution de ses obligations aux termes de la présente entente.
13. Règlement de litiges
DISPOSITIONS TYPES :
- RÈGLEMENT DE LITIGES
- Procédures et paliers d’intervention : Si les parties ne parviennent pas à régler un différend découlant de la présente entente, un avis sera alors remis au médecin et au fournisseur de services. Si les parties ne parviennent pas à régler ce différend dans les cinq (5) jours ouvrables de la réception de cet avis, l’une des parties peut demander que la question soit renvoyée en arbitrage conformément aux lois [de la province ou du territoire du médecin] alors en vigueur. La décision de l’arbitre, qui peut comporter l’adjudication des frais d’arbitrage, sera définitive et liera les parties.
- Exécution continue : Sous réserve des dispositions de la présente entente, et compte non tenu de l’objet particulier du litige, les parties continueront d’exécuter leurs obligations durant le processus de résolution de tout différend ou désaccord, y compris pendant toute période d’arbitrage, jusqu’à ce que la présente entente soit résiliée ou expire conformément à ses modalités.
- Redressement par voie d’injonction : Malgré les dispositions du présent article, chaque partie conserve le droit de chercher à obtenir un redressement par voie d’injonction, étant entendu que rien ne saurait l’empêcher de chercher à obtenir pareil redressement, si, selon son appréciation commerciale, ce redressement est nécessaire pour protéger ses intérêts avant de se prévaloir des processus de règlement des litiges décrits à l’article [insérer le numéro], voire avant de mener ce processus à terme, y compris, sans restriction, à l’égard de toute réclamation présentée par une partie qui repose sur une violation des obligations de confidentialité des présentes.
14. Régime juridique ou tribunaux
DISPOSITION TYPE :
- RÉGIME JURIDIQUE OU TRIBUNAUX : Les parties reconnaissent par les présentes que leur relation et le règlement de tous les différends s’y rapportant, y compris les problèmes reliés à la présente entente, seront régis et interprétés conformément aux lois de la province ou du territoire concerné au Canada et aux lois du Canada s’appliquant dans cette province ou ce territoire.
- COMPÉTENCE : Les parties reconnaissent par les présentes que les services seront rendus dans la province ou le territoire [inscrire la province ou le territoire où le médecin est situé] et que les tribunaux de la province ou du territoire [inscrire la province ou le territoire où le médecin pratique] disposeront de la compétence exclusive et préférentielle pour entendre toute plainte, demande, réclamation ou cause d’action que ce soit découlant de la présente entente. Les parties reconnaissent par les présentes que si l’une d’elles entame une telle procédure judiciaire, elle ne pourra l’entamer que dans la province ou le territoire [inscrire la province ou le territoire où le médecin est situé] et devra par les présentes s’en remettre irrévocablement à la compétence exclusive des tribunaux de la province ou du territoire [inscrire la province ou le territoire où le médecin pratique].
15. Financement
[Remarque : Il va de soi que chaque médecin s’assurera d’obtenir le financement et l’infrastructure de soutien correspondant à ses besoins. Aucune disposition en matière de financement n’est recommandée étant donné la variabilité du financement susceptible d’être offert.]