Le signalement d’une atteinte à la vie privée au commissaire

Lignes directrices pour le secteur de la santé

 

Afin de mieux protéger les renseignements personnels sur la santé, le gouvernement de l’Ontario a modifié la Loi sur la protection des renseignements personnels sur la santé (la Loi). En vertu du paragraphe 12 (3) de la Loi et de son règlement d’application, le dépositaire doit aviser le commissaire à l’information et à la protection de la vie privée de certaines atteintes à la vie privée. Ces dispositions entrent en vigueur le 1er octobre 2017.

En tant que dépositaire, vous devez signaler au commissaire les atteintes à la vie privée correspondant à sept catégories décrites dans le règlement et résumées ci-dessous. Ces catégories ne s’excluent pas mutuellement; plusieurs peuvent s’appliquer à la même atteinte à la vie privée. Si au moins l’une de ces situations s’applique, vous devez le signaler. La section suivante est un résumé; pour le libellé complet du règlement, voir l’annexe à la fin du présent document.

N’oubliez pas que même si vous n’êtes pas tenu d’informer le commissaire, vous avez l’obligation d’aviser les particuliers concernés par une atteinte à la vie privée en vertu du paragraphe 12 (2) de la Loi.

Situations où vous devez informer le commissaire d’une atteinte à la vie privée

1. Utilisation ou divulgation sans autorisation

Cette catégorie s’applique aux situations où la personne qui a commis l’atteinte à la vie privée savait ou aurait dû savoir que ses gestes n’étaient pas permis par la Loi ou par le dépositaire responsable. Par exemple, une personne consulte le dossier médical d’un ex-conjoint alors qu’elle n’a aucune raison de le faire dans le cadre de son travail. Cette personne pourrait être votre employé, un professionnel de la santé ayant des droits hospitaliers, un tiers (tel qu’un fournisseur de services) ou même une personne qui n’a aucune relation avec vous.

Les situations où l’utilisation ou la divulgation non autorisée n’est pas effectuée à des fins personnelles ou malveillantes font également partie de cette catégorie. Par exemple, des employés d’un hôpital aimeraient savoir pourquoi une personnalité locale ou un collègue de travail a été traité à l’hôpital, et consultent son dossier médical.

En règle générale, vous n’êtes pas tenu d’informer le commissaire lorsque l’atteinte à la vie privée est accidentelle, par exemple, lorsque vous avez envoyé des renseignements par inadvertance au mauvais destinataire par courriel ou par messager, ou lorsque vous avez glissé une lettre dans la mauvaise enveloppe. Vous n’avez pas non plus à informer le commissaire lorsqu’une personne qui est autorisée à accéder à des renseignements sur un patient consulte accidentellement le dossier d’un autre patient. Cependant, même les atteintes accidentelles à la vie privée qui font partie de l’une des autres catégories suivantes doivent être signalées.

2. Renseignements volés

Par exemple, une personne a volé des documents papier, un ordinateur portable ou un autre appareil électronique, ou encore, des renseignements sur des patients font l’objet d’une attaque par rançongiciel ou autre programme malveillant, ou sont copiés dans un appareil de stockage mobile. De telles situations doivent être signalées au commissaire.

Vous n’avez pas à aviser le commissaire si les renseignements volés avaient été anonymisés ou correctement chiffrés.

3. Autre utilisation ou divulgation sans autorisation après une atteinte à la vie privée

Après une première atteinte à la vie privée, vous pourriez apprendre que les renseignements ont été ou seront utilisés ou divulgués à nouveau sans autorisation; vous devez alors le signaler au commissaire.

Par exemple, un employé envoie par inadvertance un document contenant des renseignements sur un patient par télécopieur au mauvais destinataire. Cette personne vous renvoie la télécopie, mais vous apprenez par la suite qu’elle en a conservé une copie et menace de publier les renseignements. Même si vous n’avez pas signalé le premier incident, vous devez informer le commissaire d’une pareille situation.

Vous pourrez également, par exemple, apprendre qu’un employé a consulté sans autorisation des renseignements sur un patient et a utilisé ces renseignements pour commercialiser des produits ou des services ou commettre une fraude (p. ex., relativement aux soins de santé ou à l’assurance).

4. Contexte d’atteintes à la vie privée similaires

Même si une atteinte à la vie privée est accidentelle ou insignifiante en soi, il faut la signaler au commissaire si elle fait partie d’une série d’atteintes à la vie privée semblables. Cela pourrait révéler des problèmes systémiques qu’il faudra régler, notamment une formation ou des procédures inadéquates.

Fondez-vous sur votre jugement pour déterminer si une atteinte à la vie privée est un incident isolé ou fait partie d’une série d’incidents semblables; par exemple, tenez compte du temps écoulé entre les atteintes à la vie privée et de leurs similitudes. En faisant le suivi des atteintes à la vie privée de façon systématique, il vous sera plus facile de relever des tendances.

Par exemple, vous découvrez que dans une lettre à un patient, des renseignements sur un autre patient ont été inclus par inadvertance. Au cours des mois suivants, la même erreur se reproduit plusieurs fois parce qu’un processus qui génère automatiquement les lettres présente une anomalie depuis un certain temps. Un tel incident doit être signalé au commissaire.

5. Mesures disciplinaires prises contre un membre d’un ordre professionnel

L’obligation d’un employé ou d’un autre mandataire de donner un avis à un ordre de réglementation d’une profession de la santé donne lieu également à l’obligation d’aviser le commissaire.

Lorsqu’un employé est membre d’un ordre professionnel, vous devez aviser le commissaire d’une atteinte à la vie privée dans les cas suivants :

  • vous congédiez ou suspendez cet employé, ou vous lui imposez des mesures disciplinaires, en raison de l’atteinte à la vie privée;
  • cet employé démissionne, et vous croyez qu’il l’a fait en raison de l’atteinte à la vie privée.

Lorsqu’un professionnel de la santé ayant des droits hospitaliers ou vous étant autrement affilié est membre d’un ordre professionnel, vous devez informer le commissaire d’une atteinte à la vie privée dans les cas suivants :

  • vous révoquez, suspendez ou limitez ces droits ou cette affiliation en raison de l’atteinte à la vie privée;
  • ce professionnel renonce à ces droits ou à cette affiliation ou les limite volontairement, et vous croyez qu’il le fait en raison de l’atteinte à la vie privée.

Des exigences semblables s’appliquent aux professionnels de la santé qui sont à l’emploi d’un conseil de santé.

6. Mesures disciplinaires prises contre une personne qui n’est pas membre d’un ordre professionnel

Tous les employés ou autres mandataires d’un dépositaire ne sont pas membres d’un ordre professionnel. Vous devez quand même aviser le commissaire si, dans les circonstances, vous auriez dû informer un ordre professionnel si la personne concernée avait été membre de cet ordre.

Par exemple, un de vos commis à l’inscription a eu un entretien désagréable avec un patient et affiche des renseignements sur ce patient dans les médias sociaux. Vous suspendez ce commis pour un mois. Bien qu’il ne soit pas membre d’un ordre professionnel, vous devez signaler cette atteinte à la vie privée.

7. Atteinte importante à la vie privée

Même si aucune des six situations précédentes ne s’applique, vous devez aviser le commissaire si l’atteinte à la vie privée est importante. Pour déterminer si elle est importante, vous devez tenir compte de toutes les circonstances pertinentes, et notamment de la question de savoir si :

i. les renseignements sont d’une nature délicate;

ii. l’atteinte à la vie privée concerne un volume considérable de renseignements;

iii. l’atteinte à la vie privée concerne des renseignements sur de nombreux particuliers;

iv. plus d’un dépositaire de renseignements sur la santé ou mandataire est responsable de l’atteinte à la vie privée.

Par exemple, vous êtes un professionnel de la santé et vous divulguez par inadvertance une évaluation de la santé mentale d’un patient à d’autres professionnels qui sont sur une liste d’envoi par courriel et non seulement au médecin de ce patient. Ces renseignements sont très délicats et ont été divulgués à plusieurs personnes à qui vous n’aviez pas l’intention de les divulguer. Ou bien, vous affichez sur un site Web des renseignements détaillés sur un groupe de patients qui reçoivent un traitement spécialisé pour un nouveau problème de santé. Vous n’avez pas divulgué le nom de ces patients, mais vous apprenez que d’autres personnes peuvent facilement les identifier. Cette atteinte à la vie privée fait intervenir de nombreux patients, dont les renseignements ont pu avoir été diffusés. Ces types d’atteintes à la vie privée doivent être signalés au commissaire. Soulignons que même les atteintes à la vie privée qui ne causent pas de préjudice particulier peuvent être importantes.

Rapport annuel au commissaire

À compter du 1er janvier 2018, les dépositaires seront tenus de recueillir des statistiques sur les atteintes à la vie privée, et ils devront fournir un rapport annuel au commissaire sur les statistiques de l’année civile précédente à compter de mars 2019.

À l’automne 2017, le commissaire publiera des directives détaillées sur ce rapport statistique.

This post is also available in: Anglais