Passer au contenu principal

Protection des renseignements personnels sur la santé

Icône d’impression de la page

Approuvé par le Conseil : Novembre 2000
Révisé et mis à jour : Novembre 2005, mars 2020

Ressource complémentaire : Conseils à la profession

 

Les politiques de l’Ordre des médecins et chirurgiens de l’Ontario (l’« Ordre ») définissent les attentes relatives à l’éthique professionnelle des médecins qui exercent en Ontario. Ces politiques, ainsi que le Guide sur la pratique et les dispositions législatives et la jurisprudence pertinentes, seront utilisés par l’Ordre et ses comités afin d’évaluer la pratique et la conduite des médecins.

Dans les politiques, les termes « doit » et « recommandé », ainsi que leurs déclinaisons, sont utilisés pour exprimer les attentes de l’Ordre. Quand le terme « recommandé » est utilisé, les médecins peuvent faire preuve de discernement pour appliquer ou non cette pratique.

On trouvera, dans les ressources complémentaires, d’autres renseignements, des conseils généraux et des pratiques exemplaires, par exemple sous forme de documents de conseils à la profession.

 

Définitions

Cercle de soins : le groupe de fournisseurs de soins de santé (p. ex., infirmière, médecin, résident, commis clinique et tout autre professionnel de la santé qui prodigue des soins au patient) traitant un patient, et qui a besoin des renseignements personnels sur sa santé afin de lui prodiguer des soins de santé. Cela peut également inclure les employés et le personnel administratif qui ont besoin des renseignements personnels sur la santé pour s’acquitter de leurs tâches.

Une personne extérieure au cercle de soins d’un patient comprendrait :

  • une personne ou une entité qui n’est pas un fournisseur de soins de santé (p. ex., la famille, les amis, la police, une compagnie d’assurance ou l’employeur du patient);
  • un autre fournisseur de soins de santé, y compris un médecin, lorsque les RPS sont fournis dans un but autre que celui de prodiguer des soins de santé au patient (p. ex., pour la recherche).

Pour plus de renseignements et d’exemples, consultez le document Conseils à la profession.

Communications électroniques : outils de communication électronique, notamment le courriel, les messages transmis par les plateformes de dossiers médicaux électroniques, les forums en ligne, les portails de patients, les applications de médias sociaux, les messageries instantanées et les SMS, et la télémédecine (y compris l’audioconférence et la vidéoconférence)1.

Verrouillage : terme utilisé pour décrire l’instruction expresse d’un patient de refuser ou de retirer son consentement à la divulgation de tout ou d’une partie de ses renseignements personnels sur la santé à un autre fournisseur de soins de santé2.

Appareil mobile : comprend, par exemple, un téléphone cellulaire, un ordinateur portable, une clé USB, un disque dur externe, une tablette et un dispositif portable.

Renseignements personnels sur la santé (RPS) : tout renseignement relatif à la santé d’une personne et qui permet de l’identifier, y compris, par exemple, des renseignements sur sa santé physique ou mentale, ses antécédents familiaux, des renseignements relatifs aux paiements ou à l’admissibilité aux soins de santé, et les numéros de carte Santé3.

Mandataire spécial : personne autorisée à consentir au nom d’un patient à la collecte, à l’accès, à l’utilisation ou à la divulgation de RPS le concernant.

 

Politique

Cette politique comprend les exigences législatives et les obligations professionnelles des médecins en matière de protection de la vie privée et de la confidentialité des RPS des patients.  Elle n’énonce pas, et n’a pas pour but d’énoncer, toutes les exigences législatives concernant la protection de la vie privée et la confidentialité des RPS. Il incombe aux médecins de s’assurer qu’ils respectent toutes les exigences législatives : la complexité de la loi dans ce domaine peut justifier de demander un avis juridique indépendant dans des circonstances particulières.

Dispositions générales

  1. Les médecins doivent se limiter à recueillir, consulter, utiliser ou divulguer les RPS d’un patient :
    1. dans des situations où :
      1. le patient ou son mandataire spécial a donné son consentement, et ils sont nécessaires à une fin légitime4, ou
      2. la loi permet ou exige leur obtention sans consentement5, et
    2. ils ont besoin des RPS pour s’acquitter de leurs fonctions.
  2. Les médecins ne doivent pas :
    1. recueillir, consulter, utiliser ou divulguer les RPS d’un patient si d’autres renseignements peuvent servir à cette fin;
    2. recueillir, utiliser ou divulguer plus de RPS qu’il n’est raisonnablement nécessaire pour atteindre le but visé6.

Obtenir le consentement pour recueillir, consulter, utiliser ou divulguer des RPS7

En vertu de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS), le consentement peut être explicite ou implicite8. Les médecins qui ont reçu des RPS à des fins de soins de santé de la part du patient, le mandataire spécial ou un autre fournisseur de soins de santé peuvent se fonder sur le consentement implicite du patient pour divulguer les RPS au sein du cercle de soins du patient, à moins qu’ils n’aient des raisons de croire que le patient a expressément refusé ou retiré son consentement.

Les règles régissant le consentement aux décisions impliquant des renseignements personnels sur la santé se trouvent dans la LPRPS et sont différentes de celles qui régissent le consentement au traitement qui se trouvent dans la Loi de 1996 sur le consentement aux soins de santé9.

  1. Sauf si la loi le permet ou l’exige, les médecins doivent obtenir le consentement explicite du patient avant :
    1. la collecte, l’accès ou l’utilisation des RPS lorsqu’ils se trouvent en dehors du cercle de soins du patient dans ces circonstances;
    2. la divulgation des RPS à une personne qui ne fait pas partie du cercle de soins du patient.
  2. Pour que le consentement soit valable, qu’il soit explicite ou implicite, les médecins doivent s’assurer que ce consentement :
    1. est obtenu du patient, si celui-ci est capable de consentir, ou du mandataire spécial, si le patient est incapable10;
    2. est raisonnable de croire que le patient connaît les objectifs de la collecte, de l’utilisation ou de la divulgation, et qu’il peut donner ou refuser son consentement11;
    3. se rapporte aux renseignements;
    4. n’est pas obtenu par tromperie ou par coercition12.

Consentement des personnes mineures

  1. Lorsqu’un patient est capable de consentir à une décision concernant ses RPS, les médecins doivent obtenir le consentement du patient directement, quel que soit son âge13.
  2. Lorsqu’un patient capable est âgé de moins de 16 ans et que les renseignements ne se rapportent pas à une décision de traitement14 prise par le patient, la LPRPS autorise aussi le parent du patient à donner ou à refuser son consentement à une décision concernant les RPS du patient15. Toutefois, dans ces cas, les médecins doivent respecter la décision du patient plutôt qu’une décision opposée du parent.

Verrouillage

  1. Lorsqu’un patient manifeste un intérêt pour la création d’un verrouillage, les médecins doivent :
    1. tenir une discussion avec le patient concernant les risques et les limites potentiels pour la santé, et sur les implications associées aux verrouillages;
    2. documenter cette discussion et la décision du patient dans le dossier médical du patient.
  2. Les médecins ne doivent pas divulguer les RPS verrouillés à moins que le consentement ne soit obtenu, ou autorisé ou exigé par la loi (par exemple, lorsqu’il y a des motifs raisonnables et probables de croire que la divulgation est nécessaire pour éliminer ou réduire un risque important de préjudice corporel grave pour une personne ou un groupe de personnes, y compris le patient)16.
  3. Lorsque le patient n’a pas consenti à la divulgation de ses RPS raisonnablement nécessaires à la prestation de soins et la divulgation n’est pas autorisée ou requise par la loi, le médecin divulgateur doit informer le médecin destinataire ou tout autre fournisseur de soins de santé du fait qu’il existe d’autres RPS pertinents qui ne peuvent pas être divulgués.
  4. Après avoir reçu cette notification, le médecin destinataire doit alors se demander si le verrouillage l’empêche de fournir des soins en toute sécurité, en tenant compte des intérêts du patient.
    1. Les médecins destinataires qui prodiguent des soins au patient sans avoir accès aux RPS verrouillés doivent :
      1. expliquer au patient les risques et les limites de continuer sans divulgation des RPS;
      2. documenter cette discussion dans le dossier médical du patient.
    2. Lorsque le médecin destinataire refuse de fournir des soins dans ces circonstances, le médecin divulgateur ou destinataire, selon le cas, doit :
      1. expliquer la décision et le raisonnement au patient;
      2. documenter cette discussion dans le dossier médical du patient.

Sécurité des communications

  1. Les médecins doivent prendre des mesures raisonnables pour protéger les RPS, notamment contre leur vol, leur perte et leur accès, leur utilisation et leur divulgation non autorisés17.
  2. En particulier, les médecins doivent prendre des mesures raisonnables pour protéger les RPS contre toute divulgation involontaire sans autorisation, par l’entremise :
    1. de conversations en personne et au téléphone, y compris celles qui sont entendues par d’autres personnes (p. ex., d’autres patients à la réception ou dans les salles d’urgence);
    2. de messages vocaux laissés aux patients, en tenant compte du fait que plus d’une personne peut avoir accès à la boîte vocale au domicile ou au bureau du patient;
    3. de télécopies, notamment parce qu’elles ont été envoyées à des destinataires non désirés ou interceptées par ceux-ci;
    4. de courriel, de télémédecine, de médias sociaux et de toute autre forme de communication électronique.
  3. Les médecins doivent utiliser une communication électronique cryptée lorsqu’ils communiquent des RPS à d’autres fournisseurs de soins de santé, sauf en cas d’urgence ou dans d’autres circonstances qui nécessitent l’utilisation d’une communication électronique non cryptée18.
  4. Les médecins doivent, dans la mesure du possible, utiliser des communications électroniques cryptées lorsqu’ils communiquent des RPS à leurs patients.
    1. Si la communication électronique cryptée n’est pas possible (c’est-à-dire parce que le patient n’a pas accès à la technologie de communication électronique cryptée), les médecins doivent examiner s’il est raisonnable de communiquer avec les patients par l’entremise d’une communication électronique non cryptée, en tenant compte :
      1. du degré de sensibilité des RPS communiqués;
      2. du volume d’informations et de la fréquence des communications électroniques;
      3. de l’objet de la transmission;
      4. des attentes des patients;
      5. de la disponibilité (ou l’absence) d’autres moyens de communication;
      6. de toute situation d’urgence ou autres circonstances urgentes.
    2. Lorsqu’ils utilisent une communication électronique non cryptée pour communiquer des RPS à des patients, les médecins doivent obtenir et documenter le consentement explicite du patient à cette forme de communication19.
    3. Lorsqu’ils obtiennent le consentement explicite du patient pour utiliser une communication électronique non cryptée, les médecins doivent l’informer :
      1. de la manière dont ce type de communication électronique sera utilisé;
      2. du type de renseignements qui seront communiqués;
      3. de la manière dont la communication électronique sera traitée;
      4. des limites et des risques liés à l’utilisation de la communication électronique non cryptée.

Sécurité des appareils mobiles et du nuage

  1. Lorsqu’ils utilisent des appareils mobiles ou des serveurs dans le nuage pour accéder à des RPS, les stocker ou les sauvegarder, même temporairement, les médecins doivent s’assurer que les RPS qui se trouvent sur l’appareil ou le serveur sont protégés par un cryptage.

Photographies et enregistrements vidéo

  1. Si des photographies ou des enregistrements vidéo d’un patient sont nécessaires pour la prestation de soins ou pour la documentation20, les médecins doivent :
    1. informer le patient de l’objectif de la photographie ou de l’enregistrement;
    2. inclure une copie de la photographie ou de l’enregistrement dans le dossier médical du patient;
    3. supprimer ou détruire de manière permanente toute copie de sauvegarde de la photographie ou de l’enregistrement conformément à la LPRPS21.

Atteintes à la vie privée

  1. Les médecins doivent se conformer à toutes les exigences législatives et réglementaires applicables en cas d’atteinte à la vie privée, y compris les exigences de notification et de déclaration22.
 

Notes de fin

1. Voir la politique de l’OMCO sur la télémédecine pour obtenir les attentes supplémentaires concernant la télémédecine.

2. Le concept de verrouillage est aussi parfois appelé « masque ». Lorsqu’elle entrera en vigueur, la Partie V.1 de la Loi de 2004 sur la protection des renseignements personnels sur la santé, L.O. 2004, chap. 3, Annexe A (ci-après la « LPRPS») régira les « directives de consentement » et les « dérogations au consentement », qui sont des concepts semblables au verrouillage dans le contexte du dossier de santé électronique provincial.

3. Cette liste n’est pas exhaustive : une définition législative complète, assortie de certaines exceptions, se trouve à l’article 4 de la LPRPS.

4. D’une manière générale, les activités liées au cours normal de la pratique d’un médecin en ce qui concerne la prestation de soins de santé auront un « but légitime ».

5. Ces situations comprennent des autorisations et des exigences particulières énoncées dans la LPRPS et d’autres lois, telles que les obligations de déclaration décrites dans la politique de l’OMCO sur les déclarations facultatives et obligatoires. Pour obtenir plus de renseignements, consultez le document Conseils à la profession.

6. Voir l’article 30 de la LPRPS. C’est également un acte de faute professionnelle pour un médecin de donner [traduction] « des renseignements à une personne autre que le patient ou son représentant autorisé, sauf avec le consentement du patient ou de son représentant autorisé ou si la loi l’exige » : Règl. de l’Ont. 853/96, « Professional Misconduct», art. 1 (1) 10.

7. Bien que la LPRPS établisse des règles concernant la collecte, l’utilisation et la divulgation des RPS, la présente politique met l’accent principalement sur les attentes liées à la divulgation, étant donné la pertinence particulière pour la pratique des médecins.

8. Le consentement explicite est direct, exprès et sans équivoque, et peut être donné verbalement ou par écrit. Le consentement implicite est déduit à partir des mots ou du comportement du patient, ou des circonstances particulières, qui permettraient à une personne raisonnable de croire que le consentement a été donné, bien qu’aucun mot d’accord direct, exprès et sans équivoque n’ait été donné.

9. Loi de 1996 sur le consentement aux soins de santé, L.O. 1996, chap. 2, annexe A (ci-après la « LCSS»).

10. Les patients sont capables de donner leur consentement s’ils sont en mesure de comprendre les renseignements qui sont pertinents afin de décider s’ils consentent ou non à la collecte, à l’utilisation ou à la divulgation de leurs RPS, et d’apprécier les conséquences raisonnablement prévisibles du fait de donner, de ne pas donner, de refuser ou de retirer leur consentement.

11. L’alinéa 18 (1) b) de la LPRPS décrit cette composante du consentement valide comme étant « éclairée ».

12. Voir les articles 18 à 28 de la LPRPS pour obtenir de plus amples renseignements concernant les tests de consentement et de capacité à prendre des décisions concernant la collecte, l’utilisation et la divulgation des RPS.

13. Ce faisant, les médecins sont en droit de présumer la capacité, sauf s’il existe des motifs raisonnables de croire le contraire.

14. Cela comprend le « traitement » tel que défini conformément à la LCSS et les conseils fournis en vertu de la Loi de 2017 sur les services à l’enfance, à la jeunesse et à la famille, L.O. 2017, chap. 14, annexe 1.

15. La LPRPS précise que le terme « parent » dans ce contexte n’inclut pas un parent qui n’a qu’un droit de visite de l’enfant et non un pouvoir de décision.

16. Le document Conseils à la profession fournit des exemples supplémentaires de divulgations qui peuvent être faites sans consentement.

17. Le paragraphe 13 (1) de la LPRPS exige également que les médecins agissant en tant que dépositaires de renseignements sur la santé s’assurent que les dossiers des RPS sous leur garde ou leur contrôle sont conservés, transférés et éliminés de manière sûre.

18. Voir le document de conseils pour obtenir de plus amples renseignements sur les outils de communication électronique cryptés.

19. Pour consigner le consentement explicite du patient, consultez le modèle de formulaire de consentement écrit préparé par l’Association canadienne de protection médicale.

20. Des considérations différentes s’appliqueront lorsque la photographie ou l’enregistrement vidéo n’est pas destiné à prodiguer des soins, par exemple lorsqu’il est réalisé à des fins éducatives (voir le document Conseils à la profession) ou publicitaires (voir la Partie II du Règl. de l’Ont. 114/94 pris en application de la Loi sur les médecins).

21. Cela comprendra toutes les copies numériques stockées dans le nuage. Pour obtenir de plus amples renseignements, voir le paragraphe 13 (1) de la LPRPS et les feuilles-infos du CIPVP intitulées La destruction sécurisée des renseignements personnels et Élimination de vos supports électroniques (en anglais).

22. Voir la politique de l’OMCO sur les déclarations facultatives et obligatoires pour connaître les obligations des médecins en matière d’atteinte à la vie privée.