Imprimer Envoyer à un collègue Augmenter la taille de la police

Publication

TITRE

Le maillon faible : étude de cas et mise en garde sur la protection de la vie privée

DATE

2 octobre 2006

EXPERTISE

Protection de la vie privée et accès à l'information

Le plus grand défi en matière de protection des renseignements personnels auquel font face actuellement les institutions n'est pas de créer des politiques et des procédures conformes aux lois canadiennes. Il consiste à garantir que ces politiques et procédures seront respectées et que des mesures appropriées seront prises rapidement en cas de manquement. C'est ce qui ressort clairement d'une décision rendue en juillet 2006 par la Commissaire à l'information et à la protection de la vie privée de l'Ontario en vertu de la Loi de 2004 sur la protection des renseignements personnels sur la santé (« Loi »)[1].

Bien qu'elle soit fondée sur la loi ontarienne régissant la protection des renseignements personnels sur la santé, cette décision devrait nécessairement intéresser toutes les institutions canadiennes du secteur privé qui collectent, utilisent ou communiquent des renseignements personnels. Les questions à se poser sont les suivantes : si une telle situation s'était produite dans notre institution, quelle aurait été notre réaction? et les résultats auraient-ils été différents? Si la réponse à cette dernière question est « non » ou « probablement pas », la prise de mesures immédiates pourrait s'imposer au sein de votre institution.

À L'ORIGINE DE L'AFFAIRE

Une patiente a été admise à l'hôpital où travaillaient son mari, dont elle était séparée, et la petite amie de celui-ci (une infirmière). Le couple séparé était en instance de divorce et partie à un litige en matière de garde d'enfant. Avant son admission à l'hôpital et lors de son arrivée, la patiente a pris soin de faire savoir qu'elle ne voulait pas que son mari soit au courant de sa présence à l'hôpital. Elle a aussi demandé qu'il soit fait en sorte que le mari et l'infirmière ne sachent rien au sujet de son hospitalisation. Ni le mari ni l'infirmière n'étaient affectés aux soins de la patiente. L'hôpital a donc pris des mesures pour que le mari ne travaille pas dans le secteur où se trouvait la patiente. Cependant, contrairement à la politique sur la protection de la vie privée de l'institution, le chef de la protection de la vie privée de l'hôpital n'a pas été avisé de la demande de la patiente, qui a été traitée comme une question de sécurité physique uniquement.

LA PATIENTE PORTE PLAINTE EN VERTU DE LA LOI

Après avoir obtenu son congé de l'hôpital, la patiente a reçu un appel de son mari. De toute évidence, il était au courant non seulement de son hospitalisation, mais également de son traitement. La patiente a déposé une plainte en vertu de la Loi auprès de l'hôpital qui a amorcé une enquête sur-le-champ.

Au moment du dépôt de la plainte, un signet de protection a été placé dans le dossier électronique de la patiente. Ce signet déclenchait l'envoi d'un relevé de contrôle au chef de la protection de la vie privée de l'hôpital à chaque fois que le dossier de la plaignante était consulté. L'enquête de l'institution a révélé que le dossier de la patiente avait été examiné sept fois par l'infirmière avant l'ajout du signet de protection et à trois autres reprises par la suite. L'enquête a également montré que le mari ne pouvait avoir obtenu les renseignements sur la patiente que par l'entremise de l'infirmière et a conclu que la Loi avait été enfreinte. L'infirmière a été suspendue sans salaire pendant quatre semaines, et le mari, pendant dix jours. L'hôpital a aussi demandé au mari et à l'infirmière de signer des déclarations de confidentialité confirmant qu'ils n'avaient pas modifié, détruit, copié ou imprimé l'un quelconque des renseignements personnels sur la santé de la plaignante.

LA COMMISSAIRE À LA PROTECTION DE LA VIE PRIVÉE DEMANDE LA MODIFICATION DES PRATIQUES

La patiente a subséquemment porté plainte auprès de la Commissaire à l'information et à la protection de la vie privée de l'Ontario. La Commission a notamment tiré les conclusions suivantes :

  • l'accès par l'infirmière au dossier électronique de la patiente constituait une utilisation, par un « agent » de l'hôpital, de renseignements personnels sur la santé contrevenant à la Loi;
  • la communication par l'infirmière des renseignements personnels sur la patiente au mari, dont celle-ci était séparée, contrevenait à la Loi;
  • l'hôpital n'a pas pris les mesures raisonnables afin de protéger les renseignements personnels de la patiente;
  • le personnel de l'hôpital n'a pas respecté les politiques internes; et
  • l'hôpital a omis de prendre des mesures immédiates afin de prévenir un nouvel accès non autorisé au dossier de renseignements personnels après avoir été avisé d'une possible violation de la vie privée.

Dans le cadre de sa décision, la Commissaire a indiqué que l'exécution du protocole d'enquête du service des ressources humaines de l'hôpital avait pris plus de trois semaines pendant lesquelles l'infirmière a continué de consulter le dossier de la patiente. La Commissaire a jugé que ce délai était inacceptable et a ordonné à l'institution de revoir et de modifier ses pratiques et procédures concernant les renseignements sur la santé des patients et en matière de ressources humaines afin de s'assurer qu'elles sont conformes aux exigences de la Loi.

La Commissaire a également souligné l'importance de créer une culture de protection de la vie privée au sein des institutions de soins de santé, grâce à des politiques étroitement intégrées aux activités quotidiennes des hôpitaux. La formation des employés constitue aussi un élément essentiel à cet égard. Cependant, il faut avant tout permettre l'accès aux renseignements en fonction du « besoin de savoir », une condition dont l'importance ne pourrait être plus grande que dans un établissement hospitalier, où tant se trouve en jeu.

Dans sa décision, la Commissaire a noté les « efforts louables » déployés par le chef de la protection de la vie privée de l'hôpital, mais qui n'ont malheureusement pas permis d'éviter la reprise de l'accès intentionnel et non autorisé au dossier de la patiente.

LEÇONS À TIRER

La décision de la Commissaire met en évidence qu'il est absolument essentiel que les politiques et pratiques en matière de protection de la vie privée soient complètes, connues et respectées. On peut tirer certaines leçons de cette décision, notamment les suivantes :

  • Des programmes de formation des employés et des politiques indiquant clairement quand et comment les renseignements personnels peuvent être consultés doivent être en place et respectés. Bien qu'il soit très difficile de prévenir les manquements intentionnels aux politiques sur la protection de la vie privée par des employés, les politiques et procédures à cet égard applicables aux personnes pouvant avoir accès à des renseignements personnels devraient comprendre un énoncé indiquant clairement que l'accès aux renseignements personnels est permis seulement en fonction du « besoin de savoir ». Les mesures et procédures disciplinaires devraient être examinées afin d'assurer que l'institution peut réagir rapidement afin d'endiguer la fuite des renseignements en cas de manquement éventuel.
  • Les institutions ne pourront éviter d'être tenues responsables d'un manquement à la Loi commis par un employé si elles n'ont pas pris des mesures exhaustives afin de prévenir le manquement.
  • Un programme de réaction aux manquements complet doit être établi et viser tous les aspects de la réaction en cas de manquement éventuel, notamment les mesures d'endiguement, l'enquête interne, les mesures disciplinaires visant les employés, les communications publiques relatives au manquement ainsi que l'avis du manquement à donner aux personnes touchées et au commissaire à la protection de la vie privée compétent. De plus, les plaintes concernant la protection de la vie privée reçues par une institution doivent être traitées sans délai et sous tous les angles.
  • Les mesures de sécurité devraient être examinées afin de s'assurer de leur suffisance et évaluées en fonction de la nécessité éventuelle (surtout dans le domaine des soins de santé) de consulter rapidement des dossiers personnels en cas d'urgence.
  • Les initiatives en matière de protection de la vie privée doivent être soutenues expressément par les membres de la haute direction.

Malgré toutes ces mesures, aucune institution ne réussira jamais à éviter complètement qu'un manquement à la Loi se produise. Cependant, en faisant preuve de vigilance, une institution peut réussir à atténuer les conséquences du manquement pour la personne touchée et l'institution.

[1].    Commissaire à l'information et à la protection de la vie privée de l'Ontario, ordonnance HO-002, 27 juillet 2006; accessible en ligne (en anglais seulement) à http://www.ipc.on.ca/docs/ho-002.pdf.

Le présent document est un instrument d'information et de vulgarisation. Son contenu ne saurait en aucune façon être interprété comme un exposé complet du droit ni comme un avis juridique d'Ogilvy Renault S.E.N.C.R.L., s.r.l. ou de l'un des membres du cabinet sur les points de droit qui y sont discutés.

© Ogilvy Renault S.E.N.C.R.L., s.r.l. 2006 - Tous droits réservés

 Retour aux résultats de la recherche de publications

Personnes-ressources

Penny Bonner
Toronto
416.216.6629
pbonner@ogilvyrenault.com
Profil

Christine A. Carron
Montréal
514.847.4404
ccarron@ogilvyrenault.com
Profil

Anne K. Gallop
Toronto
416.216.4038
agallop@ogilvyrenault.com
Profil

Martha A. Healey
Ottawa
613.780.8638
mhealey@ogilvyrenault.com
Profil



Pour recevoir nos publications