Énoncé des pratiques d’information

Notre rôle

Santé Ontario, l’agence créée sous le régime de la Loi pour des soins interconnectés de 2019, gère les besoins en services de santé dans la province pour assurer la qualité et la viabilité du système de santé, ce qui comprend la protection, l’intégrité et la disponibilité des données sous sa responsabilité et son contrôle, notamment les renseignements personnels sur la santé (RPS) et les renseignements personnels. À la suite d’un arrêté de transfert émis par le ministère de la Santé aux termes de la Loi pour des soins interconnectés en vigueur depuis le 2 décembre 2019, les actifs, droits, obligations et employés de cyberSanté Ontario ont été transférés à Santé Ontario (Services numériques), créée pour fournir les services auparavant assurés par cyberSanté Ontario.

Grâce à des systèmes et processus électroniques ainsi qu’à des technologies de l’information et des communications, Santé Ontario (Services numériques) fournit des services de santé numériques en appui à la prestation des soins dans la province. L’agence épaule les hôpitaux, les cliniques ainsi que les fournisseurs de soins de santé primaires et communautaires en leur offrant des moyens sécuritaires d’accéder aux RPS, de même que différents services sécurisés (infrastructure, hébergement, réseaux, courriels, etc.) pour la transmission, le traitement et le stockage des RPS. Elle se charge plus particulièrement du développement et du maintien des dossiers de santé électronique (DSE) en Ontario. Cet outil permet aux professionnels de la santé de se partager électroniquement entre eux des RPS dans l’optique de prodiguer ou d’aider à prodiguer des soins de santé.

Autorité législative

En ce qui concerne la collecte, l’utilisation et la divulgation des renseignements personnels et des RPS, Santé Ontario (Services numériques) tire son autorité des lois sur la protection de la vie privée, principalement la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS) et la Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP) ainsi que leurs règlements d’application. La LPRPS est la loi provinciale qui encadre la gestion des RPS et fixe les normes pour en assurer la confidentialité, tout en facilitant la prestation efficace des services de soins de santé.

La LPRPS et son règlement d’application, le Règlement de l’Ontario 329/04, imposent diverses obligations aux dépositaires de renseignements sur la santé (ex. : fournisseurs de soins primaires et médecins de famille), qui recueillent, utilisent ou divulguent des renseignements personnels sur la santé. Santé Ontario (Services numériques) n’est pas un dépositaire de renseignements sur la santé aux termes de la LPRPS. En fait, il peut agir à divers titres sous le régime de cette loi, selon sa relation avec le dépositaire de renseignements sur la santé concerné : en tant qu’organisation prescrite, en tant que fournisseur d’un réseau d’information sur la santé, en tant que fournisseur de services électroniques ou en tant que mandataire. À titre d’organisation prescrite par la partie V.1 de la LPRPS, Santé Ontario (Services numériques) a l’autorité légale pour développer et maintenir les DSE.

Organisation prescrite

Selon la partie V.1 de la LPRPS, une organisation prescrite peut et doit développer et maintenir le dossier de santé électronique (DSE), un dossier sécurisé et confidentiel contenant les antécédents médicaux d’un particulier (médicaments, rapports d’imagerie diagnostique et résultats d’analyses en laboratoire) que les dépositaires de renseignements sur la santé et les professionnels de la santé (hôpitaux, médecins, infirmiers et techniciens de laboratoire) peuvent consulter et partager.

Toujours selon la LPRPS, une organisation prescrite ne recueille pas de RPS auprès des dépositaires de renseignements sur la santé et ne leur en divulgue pas non plus. L’organisation est plutôt chargée de développer et de maintenir le DSE, ce qui offre aux organismes de soins de santé et aux praticiens un moyen sécurisé et confidentiel de partager des renseignements personnels sur la santé entre eux ou avec les entités autorisées par la loi, dans l’optique de prodiguer ou d’aider à prodiguer des soins de santé. Pour en savoir plus sur le DSE et les renseignements qu’il contient, consultez la Description en langage clair du dossier de santé électronique. Le commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP) révise et approuve les pratiques d’information des organisations prescrites tous les trois ans.

Santé Ontario (Services numériques) développe et maintient le DSE en Ontario, conformément aux pouvoirs et fonctions assignés aux organisations prescrites dans la LPRPS. En plus d’assurer la confidentialité et la sécurité du DSE, Santé Ontario (Services numériques) a les fonctions suivantes : veiller au bon fonctionnement du DSE; gérer les données du DSE; veiller à l’exactitude et à la qualité des données versées dans le DSE par les dépositaires de renseignements sur la santé; et analyser les données du DSE pour envoyer des alertes et des rappels aux professionnels de la santé pour qu’ils les utilisent lors de la prestation de soins aux particuliers. Le document de questions et réponses sur la protection de la vie privée vous donnera plus de renseignements sur la façon dont Santé Ontario (Services numériques) protège et renforce la confidentialité des données contenues dans le DSE, et répond à des questions comme : Qui peut consulter les données du DSE? Comment les données du DSE sont-elles utilisées? Comment l’accès aux données du DSE est-il géré?

Bien que ce soit Santé Ontario qui soit désigné comme organisation prescrite aux termes de la LPRPS, seul Santé Ontario (Services numériques) assume ce rôle. Par conséquent, Santé Ontario (Services numériques) a mis en place des politiques et procédures pour s’assurer d’assumer ses rôles et responsabilités conformément aux exigences imposées aux organisations prescrites. Ainsi, en ce qui concerne le DSE, l’intégralité du travail, y compris la gestion des RPS, est actuellement effectué expressément par Santé Ontario (Services numériques) et seulement par ses employés.

Pratiques et mesures de précaution pour garantir la confidentialité et la sécurité des renseignements personnels sur la santé

Chaque initiative prise par Santé Ontario (Services numériques) est étudiée afin de tenir compte des répercussions sur la protection de la vie privée dans le sens large ainsi que garantir que les mesures adéquates sont mises en place pour cerner et atténuer les risques en la matière. Santé Ontario (Services numériques) a mis en œuvre des mesures de précaution d’ordre administratif, technique et matériel rigoureuses et conformes aux pratiques exemplaires de l’industrie pour éviter le vol ou la perte des renseignements personnels sur la santé transférés, traités ou stockés, de même que leur utilisation, modification, divulgation ou destruction sans autorisation. Ces mesures passent par l’utilisation d’outils (techniques et physiques), comme des logiciels de sécurité, des protocoles de cryptage, des pare-feu, des dispositifs de verrouillage et d’autres contrôles d’accès. En voici quelques exemples :

  • nomination d’un directeur général de la protection de la vie privée;
  • évaluations de la protection de la vie privée pour l’ensemble des projets et initiatives afin de définir et d’atténuer les risques en la matière;
  • série complète de politiques sur la protection de la vie privée exposant les pratiques de gestion des renseignements;
  • formation sur la sécurité et la protection de la vie privée pour l’ensemble du personnel au moment de l’embauche et chaque année par la suite, y compris une formation adaptée au poste pour les personnes ayant un accès défini et contrôlé aux renseignements personnels ou aux renseignements personnels sur la santé;
  • accords entre les dépositaires de renseignements sur la santé (fournisseurs et organismes de soins de santé) pour définir les rôles, responsabilités et obligations encadrant leur contribution et leur accès au DSE;
  • contrôle de l’accès pour que les gens ne puissent consulter les renseignements personnels ou les renseignements personnels sur la santé que de façon directement proportionnelle à la durée de leurs fonctions et aux fins nécessaires à leur exécution.

Pour en savoir plus sur les mesures de précaution en place à Santé Ontario (Services numériques), cliquez ici. Pour en savoir plus sur les évaluations de l’impact sur la protection de la vie privée, cliquez ici.


Vos droits à la protection de la vie privée

Dossiers contenant des renseignements personnels sur la santé : accès et rectification

Selon la LPRPS, vous avez le droit d’accéder aux données concernant votre santé. Cependant, les patients n’ont actuellement pas accès numériquement aux données de leur DSE. Fournir aux patients et à leur famille un accès numérique à ces données est une priorité pour Santé Ontario et le ministère de la Santé, qui travaillent en ce sens. D’ici là, vous pouvez demander une copie papier des données contenues dans votre DSE. Pour en savoir plus, consultez la page Accès à votre DSE Veuillez noter que Santé Ontario (Services numériques) peut seulement répondre aux demandes d’accès aux données contenues dans le DSE. Pour accéder à d’autres données, communiquez avec votre fournisseur de soins de santé (ex. : médecin de famille).

Révoquer votre consentement à l’accès aux renseignements personnels sur la santé contenus dans le DSE

La population ontarienne peut empêcher les professionnels de la santé d’accéder aux données de leur DSE. Elle n’a pour cela qu’à remplir une « directive de consentement ». Si vous ne souhaitez pas partager les données de votre DSE avec les membres de votre équipe soignante, vous pouvez restreindre l’accès à votre DSE en demandant l’ajout d’une directive de consentement à votre dossier. Cela signifie que si un professionnel de la santé essaie d’accéder à votre DSE, une fenêtre apparaîtra sur son écran pour lui notifier qu’il ne peut pas accéder à vos données.

Dérogations au consentement

Conformément à la LPRPS, un dépositaire de renseignements sur la santé peut accéder aux renseignements contenus dans le DSE assujettis à une directive de consentement dans certaines circonstances. Il s’agit d’une dérogation au consentement. La Politique sur les directives de consentement et la dérogation à la préséance du consentement pour le dossier de santé électronique décrit les circonstances dans lesquelles une dérogation est permise. Vous pouvez consulter cette politique au lien suivant : https://ehealthontario.on.ca/fr/shared/ehr-consent-directive-consent-override-policy

Dans certains cas, un dépositaire de renseignements sur la santé peut ne pas avoir la capacité technique de déroger au consentement, et ainsi ne pas être en mesure d’accéder aux renseignements personnels sur la santé assujettis à une directive de consentement, et ce, même s’il existe un risque important de préjudice corporel grave pour la personne à laquelle les renseignements se rapportent ou pour une autre personne ou un autre groupe de personnes.

Consultez la page Gestion de l’accès à votre DSE pour en savoir plus sur les directives de consentement et la gestion de l’accès à vos données.

Personne-ressource

Si vous avez des questions ou préoccupations concernant les politiques en matière de protection de la vie privée de Santé Ontario (Services numériques), communiquez avec son Bureau de la protection de la vie privée.


Plaintes

Vous avez le droit de communiquer avec le commissaire à l’information et à la protection de la vie privée de l’Ontario si vous voulez porter plainte concernant les politiques en matière de protection de la vie privée et les pratiques de gestion de l’information de Santé Ontario (Services numériques).

Communiquez avec nous afin d’obtenir plus de renseignements au sujet de Bureau de la protection de la vie privée ainsi que nos pratiques.