Le point sur la protection de la vie privée dans le secteur de la santé – Nouveaux risques et nouvelles mesures de conformité

Le présent bulletin jette la lumière sur deux développements importants concernant la protection de la vie privée dans le secteur de la santé (le Projet de loi 119 et l'affaire Hopkins v. Kay) et présente d'éventuelles nouvelles exigences en matière de conformité et les mesures d'atténuation des risques connexes.

Projet de loi 119 - Modifications proposées à la Loi de 2004 sur la protection des renseignements personnels sur la santé

Le 16 septembre 2015, le ministre de la Santé et des Soins de longue durée a déposé le Projet de loi 119, également connu sous le nom de Loi de 2015 sur la protection des renseignements sur la santé. S'il est adopté, ce projet de loi modifierait la Loi de 2004 sur la protection des renseignements personnels sur la santé (la « LPRPS ») ainsi que d'autres lois.[1] Pour les organisations qui sont assujetties à la LPRPS, les modifications proposées soulignent la nécessité de mettre en place les systèmes, les pratiques, les politiques et la documentation nécessaires en vue de protéger la vie privée des patients et de se conformer aux exigences juridiques.

La LPRPS régit la collecte, l'utilisation et la divulgation de « renseignements personnels sur la santé » par des « dépositaires de renseignements sur la santé », des entités prescrites, des registres prescrits, des chercheurs, et leurs mandataires. Les dépositaires de renseignements sur la santé comprennent les hôpitaux, les établissements psychiatriques, les établissements de santé autonomes, les établissements de soins de longue durée, les pharmacies, les praticiens de la santé (ou toute personne qui exploite un cabinet de praticiens de la santé), les sociétés d'accès aux soins communautaires, les laboratoires, et d'autres personnes ou organisations connexes.

Les modifications proposées visent à améliorer la protection de la vie privée et à accroître la responsabilisation et la transparence dans le système de santé en Ontario. Les dispositions du Projet de loi 119 qui touchent les renseignements personnels visent notamment à accroître la protection des dossiers électroniques et à imposer des sanctions plus sévères pour les atteintes à la vie privée. Si ce projet de loi est adopté, les modifications proposées :

• obligeraient les dépositaires de renseignements sur la santé à signaler les atteintes à la vie privée au commissaire à l'information et à la protection de la vie privée, ainsi qu'aux ordres professionnels concernés;
• faciliteraient les poursuites en vertu de la LPRPS en éliminant l'exigence selon laquelle de telles poursuites doivent être entreprises dans un délai de six mois suivant l'infraction présumée;
• feraient passer de 50 000 $ à 100 000 $ pour les particuliers, et de 250 000 $ à 500 000 $ pour les organismes, les amendes maximales pour des infractions à la LPRPS;
• réintroduiraient et mettraient à jour le cadre de protection du dossier de santé électronique qui avait été proposé en 2013 (mais qui n'avait pas été adopté en conséquence de la dissolution de l'Assemblée législative);
• permettrait au ministère de la Santé et des Soins de longue durée de divulguer au fournisseur de soins de santé d'un patient l'information concernant les médicaments et les narcotiques prescrits à ce patient.

À la date de la publication du présent bulletin, le Projet de loi 119 avait franchi l'étape de la première lecture et faisait l'objet d'une deuxième lecture.

Cliquez sur le lien qui suit pour consulter une version de la LPRPS qui intègre les modifications proposées par le Projet de loi 119.

La LPRPS n'empêche pas les réclamations en responsabilité civile délictuelle et les recours collectifs en cas d'atteintes à la vie privée

Le 29 octobre 2015, la Cour suprême du Canada a refusé la demande d'autorisation d'appel déposée par un hôpital qui avait soutenu qu'un demandeur ne peut intenter un recours collectif  pour des dommages-intérêts en matière de responsabilité civile délictuelle en conséquence d'un accès non autorisé à des renseignements personnels sur la santé. La Cour d'appel de l'Ontario avait précédemment rejeté l'argument selon lequel du fait que la LPRPS constituait un code complet, elle empêchait ce type de réclamation en responsabilité civile délictuelle.

Dans l'affaire Hopkins v. Kay[2], la demanderesse et 280 autres patients de l'hôpital avaient reçu des avis les informant que leurs renseignements personnels sur la santé avaient fait l'objet d'un accès et d'une divulgation non autorisés par certains employés de l'hôpital. Le commissaire à l'information et à la protection de la vie privée avait mené une enquête, mais n'avait pris aucune autre mesure contre l'hôpital, car, selon le commissaire, l'hôpital avait agi raisonnablement en informant les patients de l'accès non autorisé, en congédiant les employés concernés et en lançant une campagne de sensibilisation. Certains des patients touchés ont toutefois intenté un recours collectif contre l'hôpital et réclamé des dommages-intérêts de plus de 5 millions de dollars.

L'hôpital a demandé que la demande d'autorisation de recours collectif soit rejetée au motif que la LPRPS constitue un code complet en matière de protection des renseignements personnels sur la santé et qu'en conséquence elle empêche les réclamations en responsabilité civile délictuelle.

La Cour d'appel de l'Ontario a confirmé la décision de la Cour supérieure de justice de l'Ontario de rejeter la requête visant la radiation de la demande. Par suite du refus par la Cour suprême du Canada d'autoriser la demande d'appel, le processus d'autorisation du recours collectif pour les atteintes à la vie privée commises à l'hôpital peut aller de l'avant.

Cet arrêt fait en sorte que les dépositaires de renseignements sur la santé pourraient devoir verser des dommages-intérêts importants pour des atteintes à la vie privée, même s'ils ont pris des mesures jugées acceptables par le commissaire à l'information et à la protection de la vie privée, y compris le congédiement d'employés.

Mesures de conformité et atténuation des risques

Les dépositaires de renseignements sur la santé et les autres entités assujetties à la LPRPS doivent s'interroger sur les mesures à prendre pour se conformer aux exigences du Projet de loi 119 et aux principes établis dans le cadre de l'arrêt Hopkins v. Kay. Actuellement, la LPRPS impose aux dépositaires de renseignements sur la santé un certain nombre d'exigences administratives. Ces derniers sont notamment tenus :

• d'adopter des pratiques relatives aux renseignements (p. ex., des politiques et des procédures en matière de protection des renseignements personnels);
• de diffuser publiquement des avis et des déclarations en matière de protection de la vie privée;
• d'imposer à leurs fournisseurs de services des exigences en matière de protection de la vie privée (p. ex., au moyen d'un contrat);
• de faire en sorte que les membres de leur personnel suivent périodiquement une formation en matière de protection de la vie privée;
• de mettre en place et d'utiliser des outils organisationnels permettant de contrôler et de vérifier la conformité aux exigences en matière de protection de la vie privée – y compris des pistes de vérification permettant d'effectuer un suivi de l'accès aux renseignements personnels sur la santé, de leur modification et de leur divulgation.[3]

S'il est adopté, le Projet de loi 119 imposera aux dépositaires de renseignements sur la santé de nouvelles exigences en matière de protection de la vie privée. Ceux-ci seront notamment tenus :

• de prendre les mesures nécessaires pour s'assurer que des renseignements personnels sur la santé ne soient pas recueillis sans autorisation. Ils devront notamment se conformer aux nouvelles exigences relatives aux dossiers de santé électroniques, lesquelles limitent la collecte de renseignements personnels sur la santé (ainsi que l'accès subséquent à ces derniers, ainsi que leur utilisation et leur divulgation subséquentes) au moyen des dossiers de santé électroniques, aux seules fins précisées par les personnes auxquelles ces renseignements se rapportent.
• de s'assurer que leurs politiques, leurs pratiques et leurs systèmes permettent de respecter les exigences proposées en matière de notification d'atteinte à la vie privée. Ils sont notamment tenus :
  • d'aviser le commissaire à l'information et à la protection de la vie privée du vol ou de la perte de renseignements personnels sur la santé ou de l'utilisation ou de la divulgation non autorisée de tels renseignements;
  • d'aviser l'ordre professionnel compétent (conformément aux exigences prescrites) si un membre de cet ordre s'expose à des conséquences par suite de la collecte, de l'utilisation, de la divulgation, de la conservation ou de l'élimination non autorisée de renseignements personnels sur la santé, notamment :
    • si ce membre fait l'objet d'un congédiement, d'une suspension ou d'une mesure disciplinaire ou s'il démissionne; ou
    • si les privilèges de ce membre ou son affiliation avec le dépositaire de renseignements sur la santé sont révoqués, suspendus ou assortis de restrictions.
  • d'aviser la personne concernée et le commissaire à l'information et à la protection de la vie privée si des renseignements personnels sur la santé ont été recueillis sans autorisation au moyen du dossier de santé électronique. Cette obligation de notification peut s'ajouter à toute autre obligation de notification décrite précédemment.
• de prendre des mesures raisonnables pour s'assurer que les pratiques de leurs mandataires en matière de collecte, d'utilisation, de divulgation, de conservation et d'élimination des renseignements personnels sur la santé sont conformes à la LPRPS, à ce qui est requis pour s'acquitter de leurs fonctions de mandataires, et à toutes conditions ou restrictions imposées par les dépositaires de renseignements sur la santé. Les dépositaires de renseignements sur la santé doivent vérifier périodiquement que leurs mandataires respectent ces obligations. De plus, les dépositaires de renseignements sur la santé doivent déterminer la portée et la fréquence de ces vérifications, selon ce qui semble raisonnable dans les circonstances.

L'adoption d'un cadre adéquat en matière de protection de la vie privée contribue de façon importante à réduire les risques et les responsabilités, que ce soit sous le régime actuel ou à la lumière de la législation proposée et des décisions rendues récemment.

[1] Le Projet de loi 119 remplace la Loi de 2004 sur la protection des renseignements sur la qualité des soins par la Loi de 2015 sur la protection des renseignements sur la qualité des soins (laquelle vise à clarifier l'objet de cette loi et à confirmer le droit des patients d'avoir accès à l'information sur les soins de santé qui leur sont fournis). Le Projet de loi 119 modifie également la Loi de 1991 sur les professions de la santé réglementées, la Loi sur l'interchangeabilité des médicaments et les honoraires de préparation, et la Loi de 2010 sur la sécurité et la sensibilisation en matière de stupéfiants.

[2] Hopkins v. Kay, (2015 ONCA 112).

[3] À la page 33 de l'ordonnance HO-013, le commissaire Beamish indique que l'hôpital en question aurait dû avoir des politiques et des mesures en place pour effectuer des vérifications aléatoires relativement à l'ensemble des activités au sein de ses systèmes électroniques d'information. Le défaut de procéder à des vérifications aléatoires a été considéré comme une infraction au paragraphe 12(1). Dans le cas en l'espèce, l'hôpital n'effectuait des vérifications que sur demande ou s'il survenait des « incidents soupçonnés », plutôt que d'effectuer des vérifications aléatoires.