Imprimer Envoyer à un collègue Augmenter la taille de la police

Publication

TITRE

« Une dimension plus sinistre » : Nécessité de procédures et de plans complets et rigoureux assurant la conformité aux lois sur la protection de la vie privée

DATE

21 mars 2007

EXPERTISE

Sciences de la vie, Protection de la vie privée et accès à l'information

« Les renseignements personnels stockés sur des dispositifs volés peuvent servir à des fraudes et à des vols d'identité - problèmes qui ont atteint des proportions épidémiques dans l'ensemble de l'Amérique du Nord. Comme le crime organisé s'intéresse de plus en plus à ce secteur, ce problème prend une dimension plus vaste et plus sinistre[1]. »

La nouvelle récente concernant le vol d'un ordinateur portatif contenant des renseignements médicaux personnels sur presque 3 000 malades actuels et anciens malades de l'Hôpital pour enfants de Toronto (l'« Hôpital pour enfants ») et le rapport sur cet incident de Mme Anne Cavoukian, la Commissaire à l'information et à la protection de la vie privée de l'Ontario (la « Commissaire »), lancent un autre rappel et appel à l'action à toutes les organisations qui recueillent, utilisent ou communiquent des renseignements personnels. Même si la décision de la Commissaire a été rendue en vertu d'une législation régissant la collecte, l'utilisation et la communication de renseignements médicaux personnels dans la province d'Ontario, il serait imprudent pour une organisation assujettie aux lois canadiennes sur la protection de la vie privée de ne pas tenir compte des faits relatifs à cette affaire et des conclusions qui en ont été tirées. Cette décision est un appel clair lancé à toutes les organisations qui recueillent, utilisent ou communiquent des renseignements personnels afin qu'elles s'assurent de disposer de procédures et de plans complets et rigoureux assurant la conformité en matière de protection de la vie privée ainsi que d'un plan d'intervention en cas de violation qui entre en application dès que survient une atteinte à la vie privée. Ces procédures et plans doivent être complets, être communiqués à tous les membres du personnel dans le cadre de leur formation et être mis à jour régulièrement.

Surtout, ces procédures et plans visant à assurer la conformité aux lois sur la protection de la vie privée doivent être adoptés par la haute direction et appliqués.

CIRCONSTANCES DU MANQUEMENT

Au début du mois de janvier, un médecin clinicien-chercheur a quitté l'Hôpital pour enfants avec un ordinateur portatif contenant des renseignements médicaux personnels sur des malades actuels et d'anciens malades de cet hôpital. Il voulait apporter ces renseignements à la maison pour analyser les données de recherche. Il ne s'est pas rendu chez lui directement; il a plutôt stationné sa fourgonnette dans un stationnement de Toronto pendant environ trois heures et demie. Comme cette fourgonnette n'est pas munie d'un coffre, il a recouvert l'ordinateur portatif d'une couverture et l'a placé entre les sièges. À son retour, il a constaté qu'on avait pénétré par effraction dans son véhicule et que l'ordinateur avait été volé. Cet ordinateur n'a pas été retrouvé. Les renseignements qu'il contenait étaient protégés par un mot de passe mais n'étaient pas chiffrés. Le chiffrement est une mesure de sécurité qui aurait pu être prise avant que le vol ne survienne.

La police, le directeur du département auquel appartient le médecin de l'Hôpital pour enfants et le président du comité d'éthique de la recherche pour l'étude de recherche ont été avisés immédiatement. Le responsable de la protection de la vie privée de l'Hôpital pour enfants a aussi été avisé, et les membres de l'équipe de la haute direction se sont réunis. La politique en cas d'incidents critiques de l'Hôpital pour enfants a été invoquée et une enquête interne a été menée. Le bureau de la Commissaire a aussi été avisé. L'Hôpital pour enfants a entrepris un examen de ses politiques et pratiques concernant le matériel informatique portatif et le recours au chiffrement et à l'accès à distance. Il a aussi transmis à tout son personnel un avertissement préliminaire portant qu'aucun renseignement nominatif sur des patients - en format papier ou électronique - ne devait sortir de l'hôpital.

CONCLUSIONS TIRÉES À LA SUITE DE L'ENQUÊTE DE LA COMMISSAIRE À L'INFORMATION ET À LA PROTECTION DE LA VIE PRIVÉE

La Commissaire a mené une enquête et conclu que, contrairement aux exigences de la Loi de 2004 sur la protection des renseignements personnels sur la santé (la « LPRPS »), l'Hôpital pour enfants n'avait pas fait ce qui suit :

  • pris des mesures raisonnables pour veiller à ce que les renseignements personnels sur la santé dont il a la garde ou le contrôle soient protégés contre le vol, la perte et une utilisation ou une divulgation non autorisée;
  • veillé à ce que les dossiers qui contiennent des renseignements personnels sur la santé dont il a la garde ou le contrôle soient conservés, transférés ou éliminés de manière sécuritaire;
  • mené son étude de recherche conformément à la LPRPS;
  • mis en place des pratiques relatives aux renseignements qui respectent les exigences de la LPRPS.

La Commissaire a ordonné à l'Hôpital pour enfants d'élaborer ou de réviser et de mettre en œuvre des politiques et des procédures visant à faire en sorte que les dossiers contenant des renseignements personnels sur la santé soient protégés en tout temps ainsi que l'exige la LPRPS. Plus précisément, il a été ordonné à l'Hôpital pour enfants d'élaborer ou de réviser et de mettre en œuvre :

  • une politique générale qui, dans la mesure du possible et sans nuire à la prestation de soins de santé, interdit de sortir des renseignements sur la santé portant sur des patients identifiables sous quelque forme que ce soit des locaux de l'hôpital. Dans la mesure où ces renseignements doivent être sortis sous forme électronique, ils doivent être chiffrés;
  • à l'échelle de l'hôpital, une politique relative aux dispositifs électroniques d'extrémité applicable tant aux ordinateurs personnels qu'aux dispositifs portatifs, qui dicte que les renseignements personnels sur la santé non stockés sur des serveurs sécurisés doivent être dépersonnalisés ou être chiffrés;
  • une politique générale concernant l'utilisation d'un accès à distance sécurisé et/ou de réseaux privés virtuels comme solution de rechange à l'utilisation des ordinateurs portatifs;
  • un protocole ou une politique se rapportant aux atteintes à la vie privée;
  • un programme de sensibilisation et de formation des membres du personnel, des chercheurs et des cliniciens au sujet des risques liés à l'utilisation des ordinateurs portatifs ainsi que des instructions détaillées sur la façon de sécuriser les renseignements contenus dans des ordinateurs portatifs et au sujet de ses nouvelles politiques, formation devant être dispensée de façon régulière et périodique, une fois les nouvelles politiques mises au point.

Enfin, l'Hôpital pour enfants a reçu ordre d'examiner et de réviser ses protocoles et demandes de recherche pour se conformer à la LPRPS.

RÉPERCUSSIONS DE L'ORDONNANCE DE LA COMMISSAIRE À L'INFORMATION ET À LA PROTECTION DE LA VIE PRIVÉE SUR LES DÉPOSITAIRES DE RENSEIGNEMENTS SUR LA SANTÉ EN ONTARIO

L'ordonnance de la Commissaire aura des répercussions très importantes sur la façon dont les renseignements personnels sur la santé sont protégés par les dépositaires de renseignements sur la santé. L'utilisation de dispositifs informatiques portatifs et la sortie de renseignements personnels sur la santé des locaux sécurisés d'un dépositaire de renseignements sur la santé doivent maintenant être évaluées en fonction des conclusions de la Commissaire et de l'ordonnance rendue dans cette affaire. De toute évidence, les organisations qui exigent ou permettent la sortie ou le transport de renseignements sur la santé concernant des personnes identifiables se trouvant dans des locaux sécurisés doivent immédiatement réviser ces politiques et prendre des mesures pour s'assurer que tous ces renseignements sont chiffrés (s'ils sont sur un support électronique) ou, s'ils ne sont pas sur un support électronique, qu'ils sont dépersonnalisés ou sécurisés d'une manière quelconque. La Commissaire a très clairement souligné que les mots de passe sont souvent [traduction] « le maillon le plus faible de la chaîne de sécurité » et que cette protection à elle seule [traduction] « ne peut plus être considérée comme offrant une protection convenable contre l'accès non autorisé à des [renseignements personnels sur la santé] stockés sur des dispositifs informatiques portatifs ».

De la même façon, toutes les organisations doivent réviser leurs politiques internes afin de s'assurer qu'elles disposent d'un plan d'intervention en cas d'atteinte à la vie privée. Même si l'Hôpital pour enfants disposait d'une politique intitulée Management of Critical Occurrences (Gestion des incidents critiques), la Commissaire a jugé que cette politique ne permettait pas de réagir convenablement à une atteinte/un incident en matière de protection de la vie privée.

Les personnes qui font de la recherche clinique concernant des sujets humains en Ontario seront touchées plus particulièrement étant donné que la Commissaire a conclu que, malgré le fait que le comité d'éthique de la recherche avait approuvé l'étude de recherche, le protocole de recherche ne respectait pas les exigences de la LPRPS. La Commissaire a expressément souligné que la norme sectorielle, soit l'Énoncé de politique des trois Conseils intitulé Éthique de la recherche avec des êtres humains, et d'autres politiques du comité d'éthique de la recherche de l'Hôpital pour enfants ne semblaient pas intégrer les exigences des plans de recherche aux termes de la LPRPS. Cette conclusion signifie que les plans de recherche clinique doivent être examinés très attentivement en fonction des exigences de la LPRPS. L'approbation d'un protocole d'étude par le comité d'éthique de la recherche ne saurait être interprétée comme une confirmation qu'un plan de recherche est conforme aux lois ontariennes.

En termes simples, dans son ordonnance du 7 mars 2007, Mme Cavoukian a déclaré : [traduction] 
« [r]ien ne justifie l'accès non autorisé à des renseignements personnels sur la santé en raison du vol ou de la perte d'un dispositif informatique portatif - tous les [renseignements personnels sur la santé] qu'il contient doivent être chiffrés ».

RÉPERCUSSIONS DE L'ORDONNANCE DE LA COMMISSAIRE À L'INFORMATION ET À LA PROTECTION DE LA VIE PRIVÉE DE L'ONTARIO SUR D'AUTRES ORGANISATIONS 

Les organisations qui ne sont pas assujetties à la LPRPS doivent néanmoins lire la décision de la Commissaire et en tenir compte. Les exigences de la LPRPS sont essentiellement semblables à celles d'autres législations en matière de protection de la vie privée dans le secteur privé au Canada et plus particulièrement à la Loi sur la protection des renseignements personnels et les documents électroniques (Canada). Les principales considérations dont les autres organisations doivent tenir compte sont les suivantes :

  • des politiques claires, complètes et centralisées sont requises;
  • il faut prendre des mesures à tous les échelons de l'organisation; les politiques ne peuvent être élaborées au cas par cas ni comporter des décisions discrétionnaires prises en fonction de cas d'espèces;
  • les politiques doivent être complètes, rigoureuses et clairement communiquées dans le cadre d'une formation convenable;
  • la haute direction doit appuyer activement une culture et un climat de conformité aux règles de protection de la vie privée;
  • les politiques et les procédures doivent être appliquées.
ET, ENFIN, UN MOT AU SUJET DES AUTOMOBILES.

Soulignons que la décision de la Commissaire ne traite pas de la décision du médecin de laisser un ordinateur contenant des renseignements personnels dans un véhicule ni n'en fait une analyse détaillée, si ce n'est pour mentionner que [traduction] « le membre du personnel a manqué de jugement en laissant un ordinateur portatif dans un véhicule (bien qu'il ait tenté de le cacher) dans un stationnement du centre-ville de Toronto, secteur ciblé par les voleurs ». De toute façon, la Commissaire n'avait pas à discuter de la question de savoir s'il convenait ou non de laisser des renseignements dans un véhicule étant donné ses conclusions selon lesquelles, pour respecter les exigences de la LPRPS, une organisation doit s'assurer qu'une telle situation ne puisse tout simplement pas se produire. Si des politiques avaient été en place, ainsi que la formation et l'approbation et l'appui de la haute direction, et si ces politiques avaient été appliquées activement, cette situation ne se serait pas produite, à moins que le membre du personnel n'y ait délibérément contrevenu. Un véhicule n'est pas un lieu de stockage sécurisé : il ne l'a jamais été et, selon toute vraisemblance, il ne le sera jamais. Toutefois, la solution, si l'on se fie à cette affaire, ne consiste pas à régler la question de l'utilisation d'un véhicule pour y déposer temporairement des renseignements mais plutôt à s'assurer qu'une telle situation ne puisse se produire parce que les renseignements personnels ne sont pas sortis des locaux sécurisés ou, s'ils le sont, qu'ils sont dépersonnalisés ou chiffrés.

Pour de plus amples détails sur cette question importante, ne manquez pas le colloque que nous organisons à Ottawa : Violation de la protection des renseignements personnels? Établir un plan d'intervention en matière d'entreprise, de communications et de ressources humaines pour ne pas être pris de court. (L'allocution sera prononcée en anglais.)

Martha A. Healey

[1].    Commissaire à l'information et à la protection de la vie privée de l'Ontario, ordonnance HO-004, mars 2007. Accessible en ligne (en anglais seulement) à http://www.ipc.on.ca/images/Findings/up-3ho_004.pdf.

Le présent document est un instrument d'information et de vulgarisation. Son contenu ne saurait en aucune façon être interprété comme un exposé complet du droit ni comme un avis juridique d'Ogilvy Renault S.E.N.C.R.L., s.r.l. ou de l'un des membres du cabinet sur les points de droit qui y sont discutés.

© Ogilvy Renault S.E.N.C.R.L., s.r.l. 2007 - Tous droits réservés

 Retour aux résultats de la recherche de publications

Personnes-ressources

Christine A. Carron
Montréal
514.847.4404
ccarron@ogilvyrenault.com
Profil

Kateri-Anne Grenier
Québec
418.640.5932
kgrenier@ogilvyrenault.com
Profil

Martha A. Healey
Ottawa
613.780.8638
mhealey@ogilvyrenault.com
Profil

Penny S. Bonner
Toronto
416.216.6629
pbonner@ogilvyrenault.com
Profil

Anne K. Gallop
Toronto
416.216.4038
agallop@ogilvyrenault.com
Profil



Pour recevoir nos publications