Comprendre les dossiers électroniques
Différence entre les DME et les DSE
Dossier médical électronique (DME)
Un DME fait en général référence à la version électronique d’un dossier médical. Le DME peut être un simple système en cabinet, mais il est plus susceptible de prendre la forme d’un DME partagé auquel ont accès l’ensemble des professionnelles et professionnels d’un groupe de pratique, d’un établissement de santé ou d’un réseau de prestataires de soins de santé (p. ex. les médecins traitants, les membres d’autres professions de la santé, les gestionnaires d’information).
Dossier de santé électronique (DSE)
En général, les DSE sont gérés par hôpital, une autorité en matière de santé ou le ministère de la Santé d’une province ou d’un territoire et ils incluent généralement une variété de répertoires contenant des données sur les patientes et patients. De nombreuses parties y ont communément accès depuis divers points de soins. En général, les médecins qui utilisent les DSE ont des obligations moins lourdes puisque c’est l’hôpital, l’autorité en matière de santé ou le ministère de la Santé de la province ou du territoire qui est dépositaire de l’information.
Dépositaires, gestionnaires d’information et fournisseurs de services
Les personnes et les entités qui détiennent et contrôlent les renseignements en matière de santé doivent se conformer aux exigences de la législation relative à la protection des renseignements personnels. Dans certaines provinces ou certains territoires, ces personnes et entités s’appellent des dépositaires. Dans d’autres provinces ou territoires, on retrouve aussi dans les textes de loi les termes fiduciaire ou organisation. À titre d’exemple, un hôpital est le dépositaire d’un DSE utilisé dans son établissement et les médecins sont les dépositaires d’un DME utilisé dans leur cabinet privé.
De façon générale, les responsabilités des dépositaires incluent la collecte, l’usage ou la divulgation de renseignements en matière de santé, mais seulement si les patientes et patients y consentent ou si la loi le requiert ou le permet. Les dépositaires doivent également prendre des mesures raisonnables pour maintenir des sauvegardes administrative, technique et physique qui protègent la confidentialité des renseignements. Il leur revient de protéger les renseignements contre les menaces raisonnables possibles en ce qui a trait à la sécurité ou à l'intégrité, ou encore contre les pertes, les accès non autorisés, les usages, les divulgations ou les modifications.
En vertu de la législation relative à la protection des renseignements personnels, les dépositaires peuvent déléguer certaines de leurs obligations à des agentes ou agents, ou à des affiliées. Entre autres, lorsque des médecins exercent dans un hôpital ou une clinique, l’établissement est le dépositaire des renseignements personnels en matière de santé. Cependant, la majorité des hôpitaux et des cliniques autorisent que des médecins agissent au nom de l’établissement pour s’acquitter de leurs obligations légales en vertu de la législation relative à la protection des renseignements personnels. Si une telle situation survient, les médecins auront alors des obligations comparables à celles de la ou du dépositaire en vertu de la législation en vigueur relativement à la protection des renseignements personnels.
Sans égard à leur rôle de dépositaire ou d’affilié, les médecins ont l’obligation professionnelle de prendre les mesures raisonnables pour protéger les renseignements sur la santé de leurs patientes et patients.
Pour remplir leurs obligations, les dépositaires des dossiers électroniques bénéficient du soutien de gestionnaires d’information ou de fournisseurs de services tiers. Un fournisseur de services peut offrir des services de traitement, d’entreposage, de récupération ou d’élimination de l’information, ou des fonctions de technologie de l’information.
Certaines lois relatives à la protection des renseignements personnels précisent que les dépositaires doivent signer une entente à l’embauche d’un fournisseur de services. Malgré une telle entente, les dépositaires demeurent ultimement responsables de se conformer à la législation relative à la protection des renseignements personnels. Par conséquent, si un fournisseur de services enfreint une obligation de la législation relative à la protection des renseignements personnels, c’est généralement comme si les dépositaires eux-mêmes contrevenaient directement à la loi.
Entente de confidentialité et de non-divulgation
Les médecins et les membres de leur personnel ont l’obligation de veiller à ce que les renseignements personnels des patientes et patients soient conservés dans des endroits sécuritaires et en toute confidentialité.
L’ACPM recommande aux médecins de faire signer une entente de confidentialité ou de non-divulgation aux membres de leur personnel. Il pourrait être avantageux de renouveler cette entente tous les ans. Ce genre d’entente aide les membres du personnel à comprendre leurs obligations, les encourage à respecter la confidentialité des renseignements et rassure les patientes et patients. Voir le formulaire type d’entente de confidentialité et de non-divulgation.