La protection des renseignements personnels sur la santé (RPS) des patients est essentielle à la prestation de soins de haute qualité aux patients. Pour permettre l’établissement de confiance à l’égard de la relation médecin-patient et conserver cette confiance, les patients doivent être convaincus que leurs RPS sont protégés. Le présent document de conseils est destiné à aider les médecins à interpréter et à comprendre les obligations légales et professionnelles de protéger les RPS des patients. Si vous n’êtes pas sûr de la manière de vous acquitter de ces obligations dans des circonstances particulières, consultez l’Association canadienne de protection médicale (ACPM), votre conseiller juridique ou le commissaire à l’information et à la protection de la vie privée (CIPVP).

Principes généraux

Quelle est la différence entre confidentialité et protection de la vie privée?

Les RPS des patients sont protégés lorsqu’ils restent confidentiels et privés. Les médecins connaissent généralement le devoir de confidentialité, qui leur interdit de diffuser des renseignements sur un patient sans autorisation. En revanche, le devoir de protection de la vie privée est plus large et interdit aux médecins d’accéder aux RPS lorsqu’ils n’ont pas l’autorité nécessaire pour le faire. Il s’agit essentiellement de la différence entre « ne diffusez pas » et « ne regardez même pas! »¹.

Ces principes sont reflétés dans la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS), qui définit un cadre dans lequel les dépositaires de renseignements sur la santé et leurs agents, y compris les médecins, sont autorisés à recueillir, à utiliser et à divulguer des RPS. En règle générale, les médecins ne peuvent accéder aux RPS qu’avec le consentement du patient et lorsqu’ils ont « besoin de les connaître », à moins que la loi les autorise ou les oblige à faire autrement.

Qu’est-ce que « fureter »?

Le furetage est le fait pour un fournisseur de soins de santé d’accéder sans autorisation aux RPS d’un patient – autrement dit, lorsqu’il n’a pas « besoin de les connaître » dans le cadre de ses fonctions, et qu’il n’est pas autorisé ou tenu par la loi d’y accéder.

Certains fournisseurs de soins de santé pensent à tort qu’ils sont autorisés à examiner les RPS du patient tant qu’ils préservent la confidentialité du patient en ne les partageant avec personne d’autre. En réalité, le furetage est une atteinte à la vie privée du patient : les médecins ayant la capacité technique de se connecter à un système de dossiers électroniques ne disposent pas de l’autorité nécessaire d’accéder à tous les dossiers du système, et ils peuvent fureter s’ils consultent les dossiers d’un patient alors qu’ils n’ont pas besoin de ces renseignements pour fournir des soins.

La LPRPS fait référence aux « dépositaires de renseignements sur la santé » et aux « agents ». De quoi s’agit-il?

Un « dépositaire de renseignements sur la santé » (« dépositaire ») est une personne ou une organisation qui, en raison de ses pouvoirs, de ses fonctions ou de son travail, a la garde ou le contrôle des RPS. Cela inclut les organisations de soins de santé telles que les hôpitaux, les pharmacies et les laboratoires, ainsi que certains médecins individuels (comme les propriétaires d’une clinique et les médecins qui travaillent seuls dans leur propre cabinet)².

En revanche, un « agent » est une personne qui est autorisée par un dépositaire à effectuer certaines activités en son nom concernant les RPS. En règle générale, cela comprend les médecins qui travaillent dans les hôpitaux et certaines cliniques médicales, ainsi que le personnel administratif des cliniques médicales ou des hôpitaux. Les dépositaires ont la responsabilité ultime des RPS, ainsi que des actions de leurs agents.

Bien que le cadre de la LPRPS soit complexe, les dépositaires et les agents ont l’obligation ultime de satisfaire aux mêmes attentes générales concernant la collecte, l’utilisation et la divulgation des RPS. Les attentes de la politique s’appliquent donc à tous les médecins, qu’ils soient dépositaires ou agents, tout comme l’orientation fournie dans le présent document de conseils, sauf indication contraire.

Toutefois, si vous êtes un dépositaire, vous devriez connaître les règles supplémentaires de la LPRPS qui s’appliquent spécifiquement aux dépositaires, comme celles qui régissent la conservation, le transfert et la destruction des dossiers. Si vous êtes un dépositaire, il vous est conseillé de consulter la LPRPS et la politique de gestion des dossiers médicaux de l’OMCO pour obtenir de plus amples renseignements sur ces obligations.

Qui se trouve dans le « cercle de soins »?

Le terme « cercle de soins » ne figure pas dans la LPRPS, mais il est couramment utilisé pour déterminer si un médecin peut s’appuyer sur un consentement implicite pour recueillir, consulter et partager les RPS. Le cercle de soins est composé de fournisseurs de soins de santé qui ont besoin d’accéder aux RPS du patient afin de lui fournir des soins de santé.

• Dans un cabinet médical, le cercle de soins peut comprendre le médecin, une infirmière, un spécialiste ou un autre professionnel de la santé aiguillé par le médecin, tout autre professionnel de la santé choisi par le patient (comme un pharmacien ou un kinésithérapeute), et le personnel administratif qui a besoin des RPS pour accomplir ses tâches (par exemple, la prise de rendez-vous).
• Dans un hôpital, le cercle de soins peut comprendre le médecin traitant et l’équipe de soins de santé (résidents, infirmières, personnel clinique), le personnel administratif qui a besoin de RPS pour s’acquitter de ses tâches et des personnes extérieures à l’hôpital qui fourniront des soins de santé à la sortie du patient.

Le cercle de soins n’inclut pas :

• Les fournisseurs de soins de santé qui ne font pas partie du traitement direct ou de suivi d’un patient, car ces personnes n’ont pas besoin des RPS pour fournir des soins de santé au patient;
• Les fournisseurs de services autres que des soins de santé, comme la famille, les amis, la police, une compagnie d’assurance et l’employeur du patient.

Pour obtenir de plus amples renseignements, voir les documents suivants du CIPVP Frequently Asked Questions: Personal Health Information Protection Act (en anglais seulement) et Le cercle de soins : Communication de renseignements personnels sur la santé pour la fourniture de soins de santé.

Quand dois-je entrer dans le cercle de soins et en sortir?

La LPRPS ne traite pas du moment où un médecin entre officiellement dans le cercle de soins ou en sort. Pour déterminer si vous faites partie du cercle de soins, il faut procéder à une évaluation basée sur le rôle que vous jouez dans les soins du patient.

Par exemple, si vous avez traité le patient et que vous continuez à lui prodiguer des soins de suivi, vous êtes toujours dans le cercle des soins et vous pouvez supposer que vous avez le consentement implicite d’accéder à ses RPS pour lui prodiguer des soins de santé. Toutefois, un médecin ne continue pas nécessairement à faire partie du cercle de soins d’un patient indéfiniment. Si vous ne fournissez plus directement de soins de santé ou de traitement de suivi, vous n’avez peut-être plus le droit de vous fier à un consentement implicite pour accéder aux RPS du patient.

En cas de doute, consultez votre dépositaire (par exemple, l’hôpital), votre conseiller juridique ou l’ACPM pour savoir si vous êtes autorisé à accéder aux RPS du patient.

Combien de renseignements puis-je laisser dans un message vocal?

Si les médecins ont toujours l’obligation de protéger la confidentialité des patients, quel que soit le mode de communication (c’est-à-dire par téléphone, par la poste, par courriel, etc.), tous les renseignements n’ont pas le même niveau de sensibilité. De plus, lors de la prise de rendez-vous, il est souvent essentiel pour la prestation de soins que ces renseignements soient communiqués avec rapidité et efficacité.

À cette fin, l’Ordre ne prescrit pas la manière dont les médecins doivent communiquer aux patients les renseignements relatifs aux rendez-vous. Toutefois, il serait généralement raisonnable de laisser des messages vocaux pour communiquer des renseignements de base sur les rendez-vous, tant que cela n’inclut pas de renseignements supplémentaires et sensibles sur la santé. Ce qui est raisonnable est différent dans chaque situation, et vous devrez faire preuve d’un certain jugement en tenant compte de facteurs tels que l’accessibilité de la boîte vocale à d’autres personnes que le patient. Comme meilleure pratique, envisagez de revoir régulièrement avec les patients leur mode de communication préféré, notamment si leur boîte vocale est privée ou partagée.

Puis-je accéder aux RPS d’un patient à des fins d’éducation ou d’amélioration de la qualité?

Il est courant que les médecins veuillent accéder aux RPS d’un patient afin de comprendre et d’évaluer le résultat de leurs décisions de traitement, et la LPRPS autorise ce type d’activité dans certaines circonstances pour les médecins qui agissent en tant qu’agents.

En vertu de la LPRPS, un dépositaire peut permettre à ses agents d’utiliser les RPS sans consentement de certaines manières limitées, y compris :

• l’éducation, par exemple lorsque les cas sont examinés avec les stagiaires ou présentés lors des visites (bien que les RPS ne doivent pas être utilisés lorsque d’autres renseignements non identificatoires suffisent);
• la gestion des risques, la gestion des erreurs et l’amélioration de la qualité, par exemple lorsque les résultats des patients sont examinés pour évaluer l’efficacité de la pratique personnelle ou des programmes.

Si vous êtes un agent, votre dépositaire peut vous permettre d’accéder aux RPS à ces fins, sous réserve des restrictions ou conditions qu’il peut avoir imposées. Si votre dépositaire ne vous a pas expressément autorisé à accéder aux RPS à ces fins, vous ne pouvez pas le faire. Vous devez donc faire preuve de prudence et vous assurer que vous avez l’autorité nécessaire pour accéder aux RPS d’un patient dans ces situations – en cas de doute, vérifiez auprès de votre dépositaire pour savoir si vous êtes autorisé à le faire³.

Si vous êtes un dépositaire, la LPRPS vous permet également de divulguer les RPS d’un patient à certains autres dépositaires, lorsque :

• vous et l’autre dépositaire avez tous deux fourni des soins de santé au même patient;
• vous divulguez les RPS afin d’améliorer ou de maintenir la qualité des soins prodigués à ce patient ou à d’autres patients recevant des soins de santé semblables.

Ces règles permettent aux dépositaires de discuter entre eux du traitement et des résultats des soins qu’ils ont prodigués à un patient. Pour obtenir de plus amples renseignements, vous pouvez consulter l’alinéa 39 (1) d) de la LPRPS.

Dans toutes les circonstances ci-dessus, gardez à l’esprit que l’accès aux renseignements à propos de l’état d’un patient ou ses résultats simplement par intérêt n’est jamais autorisé en vertu de la LPRPS.

Que dois-je faire si un patient demande que ses RPS soient verrouillés?

Lorsqu’un patient demande des restrictions sur les personnes qui peuvent accéder à ses RPS, pensez à parler avec lui pour déterminer s’il y a des préoccupations particulières concernant ses soins ou des problèmes sous-jacents qui doivent être abordés⁴. Conformément à la politique, vous devez avoir une conversation avec lui sur les risques, les limites et les implications de la création d’un verrouillage sur la capacité du patient à recevoir des soins de santé. Il peut s’agir d’informer le patient que l’existence du verrouillage devra peut-être être révélée à l’avenir à un médecin auquel vous l’aiguillerez. L’objectif de cette discussion est de promouvoir une communication claire entre le patient et le médecin, et peut également fournir au patient l’occasion de réévaluer l’existence du verrouillage pour les besoins du traitement.

Des considérations uniques peuvent s’appliquer en cas d’urgence. La LPRPS ne vise pas à empêcher le partage de renseignements vitaux dans des situations critiques ou d’urgence affectant les personnes ou la santé et la sécurité publiques⁵. En particulier, comme indiqué ci-dessous, les RPS peuvent être divulgués sans le consentement du patient dans les situations où la divulgation est nécessaire pour éliminer ou réduire un risque important de préjudice corporel grave pour une personne ou un groupe de personnes, y compris le patient.

Divulgations autorisées et requises

Dans quelles situations ai-je l’autorisation de divulguer des RPS sans consentement?

Dans certaines circonstances, la LPRPS autorise les médecins à divulguer les RPS sans consentement. Dans certains de ces cas – notamment a), b), c), e) et f) ci-dessous, la divulgation n’est autorisée qu’à la discrétion du dépositaire. Si vous agissez en tant qu’agent, vérifiez auprès de votre dépositaire si la divulgation est autorisée.

1. Pour aider à une enquête de police. Bien que la LPRPS le permette, vous n’êtes pas tenu de divulguer des RPS à la police en l’absence d’une ordonnance du tribunal. L’ACPM conseille généralement aux médecins de s’abstenir de le faire, sauf si le patient a donné son consentement ou si la divulgation est autrement requise par la loi. Pour obtenir de plus amples renseignements, consultez le document de l’ACPM intitulé Les interactions des médecins avec les services policiers, un conseiller juridique ou l’ACPM.
2. Pour éliminer ou réduire le risque important de préjudice grave à une personne ou un groupe de personnes. Il est de bonne pratique de documenter toutes les activités à cet égard dans le dossier médical du patient.
3. Pour faciliter les soins de santé. Si la divulgation est raisonnablement nécessaire pour la prestation de soins de santé et s'il n’est pas raisonnablement possible d’obtenir le consentement du patient en temps utile, vous pouvez divulguer les renseignements pertinents à d’autres médecins et à certains autres professionnels de la santé, sauf si le patient vous a expressément demandé de ne pas le faire.
4. Pour signaler l’incapacité et l’incompétence d’un médecin (ou d’un autre fournisseur de soins de santé), lorsque les circonstances le justifient.
5. Pour réglementer la profession médicale. Vous êtes autorisé à divulguer des RPS à l’OMCO aux fins de l’administration et de l’application de la LPSR de 1991, y compris l’exécution de tâches réglementaires telles que des investigations et des évaluations.
6. Dans le cadre d’une instance ou d’une instance envisagée dans laquelle vous ou votre hôpital êtes, ou devriez être, une partie ou un témoin.

Cette liste n’est pas exhaustive : veuillez consulter les articles 38 à 50 de la LPRPS et la politique de l’OMCO sur les déclarations facultatives et obligatoires pour obtenir de plus amples renseignements.

Lorsque vous envisagez de faire (ou avez fait) une divulgation dans l’une de ces circonstances, demandez-vous s’il serait approprié de parler avec le patient de la raison de la divulgation et des renseignements qui ont été divulgués afin de maintenir une communication ouverte.

Dans quelles situations suis-je tenu de divulguer des RPS sans consentement?

Dans certaines circonstances, la loi vous oblige à divulguer les RPS d’un patient, que celui-ci y consente ou non. Bien que la liste ne soit pas exhaustive, les exemples suivants donnent un aperçu des situations que vous pourriez rencontrer le plus fréquemment :

• Les déclarations obligatoires énumérées dans la politique de l’OMCO sur les déclarations facultatives et obligatoires, y compris les déclarations des cas soupçonnés de conduite avec facultés affaiblies en vertu du Code de la route et les rapports au coroner de l’Ontario en vertu de la Loi sur les statistiques de l’état civil et de la Loi sur les coroners.
• Les divulgations requises par le ministère de la Santé afin de contrôler ou de vérifier les demandes de paiement pour les soins de santé, ou pour les biens utilisés pour les soins de santé qui sont financés par le ministère.
• Les déclarations exigées par la Commission de la sécurité professionnelle et de l’assurance contre les accidents du travail, dans les cas où des soins de santé sont prodigués à un travailleur qui demande des prestations en vertu de son régime d’assurance au travail.
• Les rapports d’incidents critiques, comme l’exige le Règlement « Gestion hospitalière »⁶ en vertu de la Loi sur les hôpitaux publics.
• Les mandats de perquisition (qui confèrent à la police de larges pouvoirs pour rechercher et saisir des preuves, y compris des dossiers) et les citations à comparaître (qui peuvent vous obliger à vous présenter au tribunal avec des documents ou du matériel particuliers). Dans de tels cas, consultez un conseiller juridique ou l’ACPM, y compris leurs ressources sur les interactions des médecins avec les services policiers.

Lorsque vous envisagez de faire (ou avez fait) une divulgation dans l’une de ces circonstances, demandez-vous s’il serait approprié de parler avec le patient de la raison de la divulgation et des renseignements qui ont été divulgués afin de maintenir une communication ouverte.

Où puis-je trouver de plus amples renseignements sur les atteintes à la vie privée?

Une « atteinte à la vie privée » désigne le vol, la perte ou l’accès, l’utilisation ou la divulgation non autorisés de RPS qui contrevient à la LPRPS. Les dépositaires sont chargés de signaler les atteintes à la vie privée aux personnes concernées, au CIPVP ou à l’OMCO dans des cas précis. Les dépositaires sont également tenus de communiquer annuellement certains renseignements au CIPVP. Pour en savoir plus, consultez la politique de l’OMCO sur les déclarations facultatives et obligatoires et les documents du CIPVP intitulés Répondre à une atteinte à la protection des renseignements sur la santé : Lignes directrices pour le secteur de la santé (en anglais), Le signalement d’une atteinte à la vie privée au commissaire et Rapport statistique annuel au commissaire sur les atteintes à la vie privée.

Renseignements provenant de tiers : amis, famille et recherche

Cette section traite des demandes de renseignements sur les patients provenant de tiers. Dans tous les scénarios suivants, les règles générales de la LPRPS s’appliquent : sauf autorisation ou exigence contraire de la loi, les RPS ne peuvent être communiqués à des tiers qu’avec le consentement explicite du patient.

Que dois-je faire si un ami ou un membre de la famille, qui n’est pas le mandataire spécial, demande à accéder aux renseignements ou aux dossiers médicaux du patient?

Il n’est pas rare qu’un membre de la famille ou un ami interroge un médecin concernant l’état d’un patient ou lui demande des renseignements sur sa santé. Ces situations peuvent être difficiles à gérer, car les circonstances dans lesquelles la LPRPS vous permet de le faire sont limitées.

Dans le contexte des établissements qui fournissent des soins de santé (par exemple, les hôpitaux ou les établissements psychiatriques), vous pouvez divulguer les RPS suivants concernant un patient ou un résident de l’établissement si celui-ci se voit offrir, à la première occasion raisonnable après son admission, la possibilité de s’opposer à la divulgation :

• du fait que la personne est un patient ou un résident de l’établissement;
• de l’état de santé général de la personne décrit comme critique, mauvais, passable, stable ou satisfaisant, ou en des termes semblables;
• de l’emplacement de la personne dans l’établissement. 

Dans le contexte des établissements psychiatriques, la Loi sur la santé mentale permet également de recueillir, d’utiliser ou de divulguer les RPS d’un patient (avec ou sans son consentement), notamment pour l’examiner, l’évaluer, l’observer ou le détenir conformément à la Loi.

La LPRPS vous permet également de divulguer des RPS lorsque la divulgation est nécessaire pour prendre contact avec un parent, un ami ou un mandataire spécial potentiel si le patient est blessé, frappé d’incapacité, ou malade et incapable de donner son consentement personnellement.

Lorsque vous gérez une demande de renseignements provenant de la famille ou d’amis, faites appel à votre jugement professionnel et limitez la divulgation de l’état de santé du patient, sauf si l’une des situations ci-dessus s’applique.

Comment gérer une demande de RPS de la part d’un membre de la famille lorsque le patient est décédé?

La LPRPS vous permet de divulguer des RPS sans consentement dans des circonstances limitées lorsque le patient est décédé, notamment lorsqu’ils sont nécessaires pour identifier le patient, faire connaître son décès et (le cas échéant) les circonstances de celui-ci, et pour fournir des renseignements concernant le patient lorsque le conjoint, le partenaire, un frère ou une sœur ou un enfant en a besoin pour prendre des décisions en matière de soins de santé.  

Dans la plupart des autres situations, le consentement sera nécessaire avant de pouvoir divulguer des RPS sur un patient décédé. Le consentement devra être obtenu auprès du fiduciaire testamentaire du défunt (l’exécuteur testamentaire) ou, s’il n’y a pas de fiduciaire, de la personne qui a assumé la responsabilité de l’administration de la succession. Une personne qui était le mandataire du patient de son vivant n’aura plus le pouvoir de donner son consentement, à moins que cette même personne ne soit le fiduciaire testamentaire ou l’administrateur de la succession. Envisagez de demander une confirmation de l’identité du fiduciaire testamentaire, par exemple en demandant une copie du testament ou une lettre de l’avocat du patient ou de sa famille. S’il n’y a pas de fiduciaire, envisagez de demander une lettre d’un avocat indiquant qui a assumé la responsabilité de l’administration de la succession.

Que dois-je faire si le parent d’un enfant patient ou un tiers demande à avoir accès aux RPS du patient?

Dans certains cas, il peut vous être demandé de divulguer des RPS aux parents d’un patient ou à un tiers, comme un avocat ou un médiateur, y compris lorsque les parents d’un enfant patient se sont séparés ou ont divorcé. Dans tous les cas, vous devez obtenir le consentement directement de l’enfant patient lorsqu’il a la capacité de prendre la décision, même s’il est accompagné d’un parent ou d’un tuteur. Les médecins peuvent s’appuyer sur une présomption selon laquelle les personnes, quel que soit leur âge, sont capables de consentir à la collecte, à l’utilisation ou à la divulgation des RPS, sauf s’il existe des motifs raisonnables de croire le contraire.

Dans les cas où un patient capable est âgé de moins de 16 ans et les renseignements en question ne concernent pas une décision de traitement⁷ prise par le patient, la LPRPS permet aux parents de donner également leur consentement. Toutefois, même dans ce cas, la décision du patient aura préséance sur une décision opposée de ses parents.

Lorsqu’on demande le consentement d’un parent, il est important de savoir que les parents qui n’ont qu’un droit de visite de l’enfant (par opposition à la garde) ne sont pas autorisés par la LPRPS à donner leur consentement. Une ordonnance du tribunal de la famille ou un accord de séparation peut préciser qui a la garde et le droit de visite de l’enfant, et donc qui peut prendre des décisions concernant les RPS de l’enfant. Envisagez de demander une copie de l’ordonnance du tribunal ou de l’accord de séparation applicable avant de communiquer tout renseignement et de le conserver dans le dossier médical du patient.

Comment gérer une demande de RPS dans le cadre d’une thérapie de couple, de famille ou de groupe?

Lorsque la thérapie est fournie en groupe, le consentement obtenu des patients définit généralement la manière dont leurs RPS seront partagés entre les participants à la thérapie. Toutefois, des considérations particulières peuvent s’appliquer lorsque les RPS sont consignés le cadre d’une évaluation d’un patient individuel dans un contexte de thérapie de groupe, ou lorsqu’un patient reçoit une combinaison de thérapie individuelle et de groupe. N’oubliez pas que le patient n’a pas nécessairement consenti à partager ces RPS précis avec le groupe et que vous devrez peut-être les protéger en conséquence.

Lorsqu’un tiers (p. ex., un médiateur, un avocat ou le tribunal) demande des dossiers relatifs à une thérapie de couple, familiale ou de groupe, la règle générale de la LPRPS s’applique : vous ne pouvez pas divulguer les RPS sans le consentement du patient, sauf si la loi vous y autorise ou vous y oblige. Dans un contexte de thérapie impliquant plus d’un patient, le consentement de tous les patients impliqués dans la thérapie peut être requis, et le consentement devra être propre au matériel demandé⁸.

Puis-je utiliser les RPS à des fins de recherche?

Les médecins effectuent parfois des recherches en utilisant leurs propres patients comme participants. Dans d’autres cas, l’industrie leur demande d’identifier les patients admissibles ou de communiquer des données générales sur les patients pour des recherches qui seront menées par des chercheurs tiers.

Les RPS ne doivent être utilisés ou divulgués à des fins de recherche qu’avec le consentement du patient ou lorsque la loi le permet – autrement dit, lorsque le comité d’éthique de la recherche qui a approuvé la recherche a conclu qu’il n’est pas pratique d’obtenir le consentement du patient et que des garanties appropriées ont été mises en place.

Lorsque les RPS seront utilisés ou divulgués (soit avec le consentement de l’intéressé, soit conformément à la LPRPS), il vous est rappelé de n’utiliser ou divulguer que le minimum de RPS nécessaire pour répondre aux besoins de la recherche et de les anonymiser dans la mesure du possible.

Quelles sont mes obligations en tant que médecin-conseil indépendant (MCI)?

Un MCI est un médecin qui fournit un rapport de tiers sur une personne avec laquelle il n’a pas de relation de traitement. Ces rapports sont préparés pour un processus de tierce partie (p. ex., une procédure judiciaire), plutôt qu’à des fins de soins de santé. Les dispositions de la LPRPS ne s’appliquent donc pas dans ce contexte; c’est plutôt la Loi sur la protection des renseignements personnels et les documents électroniques fédérale qui s’appliquera à la collecte, à l’utilisation et à la divulgation de renseignements personnels. Étant donné que des règles différentes régissent la préparation des rapports de tiers et la conduite d’un expert médical, veuillez consulter les politiques de l’OMCO sur les rapports de tiers et les rapports et témoignages des experts médicaux pour obtenir de plus amples renseignements.

Technologie et communication électronique

Quels sont les avantages et les risques de la communication électronique?

La technologie a fourni aux médecins et aux patients un moyen plus efficace de conserver et de communiquer les RPS. L’OMCO reconnaît les avantages que présentent la tenue de dossiers électroniques et les communications électroniques et encourage les médecins à en profiter.

En même temps, l’un des risques majeurs de l’utilisation de la technologie moderne pour communiquer les RPS est que ceux-ci soient divulgués par inadvertance à quelqu’un qui ne devrait pas en disposer. Cela peut se produire de différentes manières :

• Les réseaux Wifi et les communications de télémédecine peuvent être non sécurisés (en particulier les réseaux Wifi gratuits dans les lieux publics);
• Les courriels peuvent être envoyés à un mauvais destinataire ou être interceptés d’une autre manière;
• Des lecteurs non autorisés peuvent accéder aux fichiers informatiques;
• Les appareils mobiles peuvent être perdus ou volés;
• Les disques durs ou les clés USB effacés peuvent contenir des renseignements privés.

En fin de compte, la communication électronique peut être mieux adaptée à des tâches mineures, telles que la prise de rendez-vous et les rappels de rendez-vous, et non à des questions de santé urgentes ou sensibles au temps.

Quelles sont les règles relatives à la surveillance vidéo des patients et des locaux?

Les plus grandes précautions de sécurité doivent être prises pour protéger la vie privée des patients lorsque la vidéosurveillance est utilisée dans un établissement de soins de santé. Bien que cette activité soit le plus souvent utilisée pour assurer la sécurité des bâtiments, les médecins doivent être conscients que des RPS hautement sensibles peuvent être recueillis au cours du processus.

Le CIPVP fournit des conseils aux fournisseurs de soins de santé qui utilisent la vidéosurveillance. Pour en savoir plus, consulter le document du CIPVP intitulé Fact Sheet on Wireless Communication Technologies: Video Surveillance Systems et l’article de blogue Cameras in Doctors’ Exam Rooms? Not in Ontario.

Un patient peut-il enregistrer son rendez-vous avec moi? Peut-il prendre une photo de son dossier?

Il est de plus en plus fréquent que les patients souhaitent enregistrer leurs rendez-vous médicaux par l’entremise de supports audio, vidéo ou photographiques. Dans de nombreux cas, ces enregistrements peuvent être utiles aux patients en les aidant à comprendre les renseignements qui leur sont fournis et à s’en souvenir. Cependant, les enregistrements peuvent également soulever des questions plus larges, notamment les patients qui enregistrent dans des lieux publics (comme les salles d’attente) et les médecins qui sont enregistrés à leur insu.

L’ACPM fournit des conseils aux médecins pour gérer ces situations. Pour obtenir de plus amples renseignements, consultez le document de l’ACPM intitulé Utilisation des téléphones intelligents par les patients : une nouvelle réalité.

Qu’est-ce que le cryptage et quels types de communication électronique sont cryptés?

Pour plus de conseils, envisagez de demander l’avis d’un expert dans le domaine du cryptage et de la sécurité technologique. Vous pouvez également consulter les ressources accessibles au moyen des ressources de confidentialité et de sécurité d’OntarioMD, et des modules de formation, des documents CIPVP intitulés Communication de renseignements personnels sur la santé par courriel et la feuille de renseignements :Le chiffrement des renseignements personnels sur la santé dans les appareils mobiles (en anglais), et de l’ordonnance HO-004 (2007), qui définit la norme de cryptage du CIPVP pour les appareils mobiles.

Que dois-je faire si un patient m’envoie un courriel non sollicité?

Les coordonnées et les adresses électroniques devenant facilement accessibles en ligne, il est également de plus en plus fréquent que les médecins reçoivent des courriels non sollicités ou non encouragés de la part de leurs patients. En gérant ces communications, et en supposant que le patient utilise une technologie non cryptée, la politique exige que les médecins examinent s’il est raisonnable de communiquer avec les patients par l’entremise de communications électroniques non cryptées, en tenant compte des facteurs énoncés à la disposition 15.a.

Lorsque vous déterminez qu’il est raisonnable d’utiliser une communication électronique non cryptée, vous devez obtenir et documenter le consentement explicite du patient, ce qui exige que vous l’informiez des renseignements énoncés à la disposition 15.c. Il ne suffit pas de se fonder sur un consentement implicite basé sur le fait que le patient a amorcé la communication électronique, car il est possible que le patient ne soit pas (pleinement) informé des risques de la communication des RPS par courriel non sécurisé. Lorsque vous déterminez dans les circonstances qu’il n’est pas raisonnable de communiquer par une communication électronique non cryptée, envisagez de suggérer au patient d’utiliser une autre méthode de communication plus sûre.

Endnotes

^1. Kate Dewhirst, « New snooping case for health privacy – Decision 74 of the IPC released», 5 septembre 2018.

^2. Cette liste n’est pas exhaustive : une définition législative complète, assortie de certaines exceptions, se trouve à l’article 3 de la LPRPS.

^3. Les RPS consultés par l’intermédiaire des services de dossiers médicaux électroniques de la province, tels que le Visualiseur clinique de ConnexionOntario, peuvent être soumis à des restrictions supplémentaires en matière d’utilisation et de divulgation. Pour obtenir de plus amples renseignements concernant l’utilisation appropriée du Visualiseur clinique de ConnexionOntario, consultez les ressources disponibles par l’entremise de Santé Ontario.

^4. ACPM, Did you know? Patients can restrict access to their health information, novembre 2017.

^5. CIPVP, Frequently Asked Questions: Personal Health Information Protection Act, p. 29-30.

^6. L.R.O. 1990, Règl. 965.

^7. Cela comprend le « traitement » tel que défini conformément à la LCSS et les conseils fournis en vertu de la Loi de 2017 sur les services à l’enfance, à la jeunesse et à la famille, L.O. 2017, chap. 14, annexe 1.

^8. L’article 52 (3) de la LPRPS stipule également que lorsqu’un document n’est pas consacré principalement aux RPS concernant la personne qui en demande l’accès, celle-ci a un droit d’accès uniquement aux RPS du dossier qui peuvent « raisonnablement » être séparés du reste du dossier.