Il arrive parfois que le CIPVP rende une décision en matière de protection de la vie privée qui se démarque, car elle crée un précédent.
C’est le cas de la Décision 175 rendue en vertu de la LPRPS, qui porte sur une enquête concernant la vente de données anonymisées par un dépositaire de renseignements sur la santé à une société tierce. Mon bureau a été informé de cette affaire par un article du Toronto Star, et nous avons entamé une enquête en vertu de la Loi sur la protection des renseignements personnels sur la santé (LPRPS).
Trois grands points se dégagent de cette enquête. Premièrement, l’anonymisation (qui consiste à retirer les renseignements personnels contenus dans un dossier ou un ensemble de données) est considérée comme une utilisation en vertu de la LPRPS. Celle-ci prévoit qu’« utiliser », relativement à des renseignements personnels sur la santé, s’entend du fait « de les consulter, de les employer ou de les traiter d’une autre façon ». De plus, l’utilisation de renseignements personnels sur la santé à des fins d’anonymisation est permise sans le consentement du particulier, sous réserve de certaines conditions. Ainsi, le dépositaire de renseignements sur la santé qui a la garde et le contrôle des renseignements personnels sur la santé en question doit faire preuve de transparence à l’égard du public au sujet de ses pratiques relatives aux renseignements en les décrivant dans une déclaration publique écrite.
Cela nous amène à la deuxième conclusion clé de cette décision. Le dépositaire qui compte anonymiser des données et les vendre à un tiers à différentes fins, notamment pour la recherche sur la santé, doit l’indiquer clairement et explicitement dans sa déclaration publique. Les patients doivent savoir ce que l’on fait de leurs renseignements sur la santé, et pourquoi, afin que les dépositaires puissent être comptables de leurs actes en vertu de la LPRPS.
Le troisième point clé porte sur les obligations du dépositaire en matière de sécurité. La LPRPS oblige le dépositaire à prendre des mesures raisonnables pour protéger les renseignements personnels sur la santé dont il a la garde, y compris pendant le processus d’anonymisation. De plus, tout contrat de vente entre un dépositaire de renseignements sur la santé et un tiers doit comprendre des mesures supplémentaires de protection de la vie privée et de sécurité afin que les données anonymisées demeurent anonymes.
En définitive, l’anonymisation doit être effectuée selon les normes les plus élevées afin de garantir que les données ne puissent être désanonymisées et de protéger la vie privée des particuliers. Un processus solide de gouvernance de l’anonymisation devrait comprendre des évaluations continues et régulières du risque de désanonymisation.
J’invite les dépositaires et les institutions publiques à consulter notre guide sur l’anonymisation des données structurées (en anglais seulement). Ces lignes directrices primées exposent les notions et techniques de base de l’anonymisation et les principaux facteurs dont il faut tenir compte lorsqu’on anonymise des renseignements personnels.
Il est intéressant de souligner les similitudes entre les principales conclusions de la Décision 175 rendue en vertu de la LPRPS et certaines des recommandations du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) de la Chambre des communes dans son rapport publié récemment sur la collecte et l’utilisation de données anonymisées sur la mobilité obtenues de la part d’entreprises privées durant la pandémie.
Ainsi, le comité ETHI recommande au gouvernement fédéral de faire preuve de transparence et d’informer continuellement la population canadienne des programmes de collecte de données sur la mobilité d’une manière qui décrit clairement la nature et le but de cette collecte. De même, nous avons souligné dans la Décision 175 rendue en vertu de la LPRPS que les dépositaires doivent faire preuve de transparence en indiquant de façon claire et explicite dans leur déclaration publique écrite l’objet de l’anonymisation des renseignements personnels sur la santé et l’usage qui sera fait des renseignements.
Le rapport du comité ETHI recommande également d’interdire la désanonymisation de données anonymisées et d’imposer des pénalités en cas d’infraction à cette règle. C’est une chose que la LPRPS prévoit déjà depuis 2019, en interdisant la désanonymisation de données anonymisées (sous réserve de certaines exceptions) et en prévoyant que quiconque désanonymise des données en contravention de la LPRPS commet une infraction.
Enfin, le rapport du comité ETHI contient différentes recommandations prévoyant la modification des lois fédérales en matière de protection des renseignements personnels sur la santé pour atténuer les risques associés à la collecte, à l’utilisation et à la divulgation de données anonymisées. Ici même en Ontario, le gouvernement a modifié la LPRPS en 2020 afin de permettre l’adoption éventuelle de règlements d’application qui définiraient plus précisément les attentes concernant les processus et normes d’anonymisation des données.
De plus, la LPRPS a été modifiée pour qu’il soit possible de prendre des règlements concernant les exigences à imposer aux fournisseurs de services électroniques aux consommateurs, qui pourraient s’appliquer aux fournisseurs d’applications numériques de santé qui cherchent à commercialiser des données. Cependant, la mesure la plus urgente serait de prendre les règlements nécessaires pour permettre l’imposition de pénalités administratives afin d’interdire à quiconque de tirer directement ou indirectement un avantage financier du non-respect de la loi.
Bien que la Décision 175 rendue en vertu de la LPRPS porte avant tout sur la conformité à cette loi telle qu’elle était libellée au moment de l’enquête, un débat public s’impose sur les questions éthiques plus générales qui entourent la vente ou la divulgation de renseignements personnels sur la santé, même si ces renseignements ont été correctement anonymisés. Les conclusions tirées en se fondant sur des renseignements personnels sur la santé anonymisés peuvent avoir d’importantes répercussions sur des groupes qui ont des caractéristiques en commun, exposant les membres de ces groupes à des préjudices éventuels, comme la stigmatisation et la discrimination, une répartition injuste des services ou des avantages, la perte de leur emploi ou le refus de couverture d’assurance. La vente et la divulgation de données anonymisées sans mesures de transparence claires et concrètes pourraient porter gravement atteinte à la confiance du public, même si ces données sont entre bonnes mains et utilisées à des fins appropriées.
Dans le monde numérique d’aujourd’hui, où les données de santé sont une marchandise de plus en plus précieuse, les enjeux n’ont jamais été aussi importants. Dans une économie numérique de plus en plus opaque, le besoin de transparence n’a jamais été aussi grand. Et dans un contexte où les différences entre la recherche et la commercialisation, et les biens publics et privés, deviennent de plus en plus floues, il n’a jamais été aussi urgent de susciter un débat public.
Quelle que soit la forme que prendra ce vaste débat éthique, la vente ou la divulgation de données de santé anonymisées doit au moins faire l’objet d’une plus grande transparence et d’une plus grande reddition de comptes sur ce qu’il advient de ces données après leur divulgation. Cela permettra de protéger à la fois les particuliers et les dépositaires de renseignements sur la santé, en favorisant la confiance mutuelle, et de maintenir la confiance générale dans le système de soins de santé.
Pour terminer, je rappelle que La confiance dans la santé numérique est l’une des quatre priorités stratégiques que mon bureau a retenues pour orienter son travail au cours des prochaines années. Nous avons pour objectif de favoriser la confiance dans le système de soins de santé numérique en veillant à ce que les dépositaires respectent les droits de la population ontarienne en matière de protection de la vie privée et d’accès à l’information, et l’utilisation novatrice des renseignements personnels sur la santé à des fins de recherche et d’analytique dans la mesure où elle sert le bien public.
Nous espérons que la Décision 175 rendue en vertu de la LPRPS contribuera à atteindre cet objectif et s’ajoutera au corpus de connaissances en expansion rapide sur la technologie, la vie privée et les renseignements sur la santé.
Patricia
This post is also available in: Anglais
