Réunion fédérale-provinciale-territoriale de 2022 des commissaires à l’information et à la protection de la vie privée

Susciter la confiance du public dans les services de santé numériques

Résolution des commissaires fédéral, provinciaux et territoriaux à la protection de la vie privée et des ombudsmans responsables de la protection de la vie privée

Contexte

Le secteur de la santé au Canada continue de connaître de graves contraintes de ressources et pénuries de personnel, aggravées par la pandémie actuelle de COVID-19 et la demande accrue de soins d’urgence qu’elle cause depuis plus de deux ans.

Ces difficultés, ainsi que d’autres problèmes complexes auxquels le secteur de la santé est confronté pendant la pandémie, ont stimulé l’innovation et le changement dans la prestation des services; mentionnons par exemple l’avènement des visites de soins de santé virtuelles et d’autres formes de communications numériques en matière de santé.

Cependant, malgré ces progrès numériques rapides dans le secteur de la santé, il se produit toujours des atteintes à la vie privée causées par l’utilisation de technologies de communication non sécurisées comme le télécopieur traditionnel¹ et le courrier électronique non chiffré, l’accès non autorisé d’employés à des dossiers de santé et des cyberattaques (y compris les attaques par rançongiciels).

Les renseignements personnels sur la santé comptent parmi les renseignements les plus sensibles. Les atteintes à la protection des données dans le secteur de la santé peuvent causer de graves préjudices aux personnes concernées, qui risquent d’être victimes de discrimination, d’être stigmatisées et d’éprouver des problèmes financiers et une détresse psychologique.

Si les personnes perdent confiance dans le système de santé, ils risquent de dissimuler ou de falsifier des renseignements personnels sur leur santé, d’éviter de se faire soigner ou d’hésiter à consulter leurs fournisseurs de soins de santé, mettant ainsi leur vie et leur santé en danger pour protéger leur vie privée.

En outre, il faut souvent beaucoup de temps et d’efforts pour contenir les atteintes à la protection des données et y remédier, ce qui prive de ressources précieuses d’autres services importants. Ces atteintes et les communications acheminées au mauvais destinataire peuvent aussi retarder la prestation des soins, entacher la réputation des établissements et réduire la confiance du public dans le système de santé.

La protection de la vie privée n’est pas un obstacle à l’innovation. Il est essentiel d’assortir les services de santé numériques de mesures de protection d’ordre administratif, technique et matériel afin de préserver la confiance des Canadiennes et des Canadiens dans le système de santé. De plus, l’adoption de technologies numériques sécurisées peut réduire les atteintes à la réputation et les coûts administratifs et financiers associés aux violations de la vie privée.

Au Canada, de nombreux groupes reconnaissent la valeur intrinsèque des innovations numériques en matière de santé qui protègent la vie privée. Par exemple, le Comité consultatif d’experts sur la Stratégie pancanadienne de données sur la santé a publié récemment son rapport final dans lequel il recommande l’adoption d’une Charte canadienne des données sur la santé, qui exigerait notamment « [d]es données sur la santé […] sécurisées et confidentielles pour maximiser les avantages et réduire les dommages ».

Il existe aujourd’hui de nombreuses solutions de rechange modernes et pratiques qui permettent le partage légal et sécurisé de renseignements personnels sur la santé, lorsque cela est nécessaire pour fournir des services de santé. Mentionnons notamment les services de courrier électronique chiffrés, les portails sécurisés pour les patients, les systèmes électroniques de référence de patients ainsi que les ordonnances électroniques.

Grâce à des mesures intégrées de protection de la vie privée et à une conception axée sur l’utilisateur, il est possible de faire en sorte que ces solutions de rechange facilitent leur vérification, qu’elles soient mieux sécurisées et qu’elles soient moins vulnérables aux accès non autorisés et aux divulgations accidentelles.

De telles technologies numériques sont déjà intégrées avec succès dans des systèmes numériques de dossiers médicaux comme les dossiers médicaux électroniques (DME), les dossiers de santé électroniques (DSE) et les systèmes d’information hospitaliers (SIH)².

Pour protéger et renforcer la confiance du public dans les services de santé numériques, les collectivités publiques de l’ensemble du pays se doivent de moderniser et de protéger les communications de renseignements personnels sur la santé, compte tenu de l’éventail croissant de moyens numériques maintenant disponibles pour mieux sécuriser le partage et l’utilisation de ces renseignements très délicats.

POUR CES MOTIFS :

Les commissaires à la protection de la vie privée et les ombudsmans responsables de la protection de la vie privée du Canada invitent les gouvernements, les établissements du secteur de la santé et les fournisseurs de soins de santé à déployer des efforts concertés et à faire preuve de leadership et de détermination afin de mettre en œuvre une infrastructure de communication numérique moderne, sécurisée et interopérable dans le secteur de la santé. Plus précisément, nos recommandations aux différentes parties prenantes sont les suivantes :

Gouvernement fédéral et gouvernements provinciaux et territoriaux

Élaborer un plan stratégique et fournir le soutien, le financement ou les autres incitatifs nécessaires pour éliminer progressivement l’utilisation du télécopieur traditionnel et du courrier électronique non chiffré et les remplacer par des solutions de rechange numériques plus modernes, sécurisées et interopérables, de façon coordonnée;

Veiller à ce que toutes les infrastructures numériques de partage de renseignements sur la santé, y compris les solutions qui remplacent le télécopieur traditionnel et le courrier électronique non chiffré, soient disponibles et accessibles à l’ensemble des Canadiennes et Canadiens, y compris dans les régions éloignées et au sein des communautés marginalisées et des populations vulnérables;

Promouvoir l’adoption de technologies numériques sécurisées et la mise en œuvre de cadres de gouvernance responsable des données qui assurent une protection raisonnable des renseignements personnels sur la santé contre l’accès non autorisé et les divulgations accidentelles;

Modifier au besoin les lois et les règlements afin d’imposer des pénalités importantes, y compris des pénalités administratives s’il y a lieu, aux établissements et fournisseurs de soins de santé qui ne prennent pas les mesures raisonnables qui s’imposent pour protéger les renseignements personnels sur la santé, ainsi qu’aux personnes qui recueillent, utilisent ou divulguent illégalement de tels renseignements.

Établissements et fournisseurs du secteur de la santé

Éliminer progressivement, dans les meilleurs délais, la transmission de renseignements personnels sur la santé par télécopieur traditionnel et par courrier électronique non chiffré, au profit de moyens modernes, sécurisés et interopérables, tels que les services de courrier électronique chiffrés, les portails sécurisés pour les patients, les systèmes électroniques de référence de patients et les ordonnances électroniques;

Concevoir, adopter et mettre en œuvre des cadres de gouvernance responsable des données, et adopter notamment des normes telles que celles élaborées par l’ISO, le NIST ou le CIS, qui prévoient des mesures raisonnables de protection des renseignements personnels sur la santé, y compris la surveillance constante des systèmes électroniques, des vérifications périodiques de toutes les sources de risques pour la vie privée et la sécurité, ainsi que des plans efficaces d’intervention en cas d’incident et des mesures d’atténuation en cas d’atteinte à la protection des données;

Dans le cadre de la modernisation des moyens de communication de renseignements personnels sur la santé, demander conseil à des experts pertinents pour déterminer comment évaluer les nouvelles solutions numériques en matière de santé avant leur acquisition;

Dans le cadre de l’évaluation des solutions numériques en matière de santé, déterminer la compatibilité de ces solutions avec d’autres actifs numériques, leur conformité aux lois sur la protection des renseignements sur la santé et la façon dont elles permettent aux particuliers d’accéder à leurs propres dossiers de renseignements personnels sur la santé;

Favoriser la transparence en effectuant des évaluations des facteurs relatifs à la vie privée et en publiant selon une démarche proactive des résumés de ces évaluations en langage clair et facile d’accès pour le public;

Contribuer à assurer la conformité des fournisseurs de logiciels et de services de renseignements sur la santé dans le cadre du processus d’approvisionnement en intégrant des exigences dans les contrats.

De plus, les commissaires à la protection de la vie privée et les ombudsmans responsables de la protection de la vie privée du Canada s’engagent, de façon concertée, à :

Collaborer avec les gouvernements, les ordres professionnels, le secteur de la santé et les autres parties prenantes concernées pour fournir des conseils en matière de protection de la vie privée et de sécurité au fur et à mesure que le secteur de la santé évolue vers des solutions numériques modernes, sécurisées et interopérables pour la communication des renseignements personnels sur la santé;

Sensibiliser les citoyens aux possibilités et aux risques que présentent les communications numériques et les services de soins de santé virtuels, à leur droit à la vie privée et à la confidentialité en ce qui concerne leurs renseignements personnels sur la santé, à la façon dont ils peuvent faire valoir ces droits et aux moyens de demander des comptes aux organisations.

Fournir des conseils en matière de protection de la vie privée et de sécurité aux parties prenantes concernées sur la manière de remplir leurs obligations et préserver la confiance du public;

Sous réserve des diverses lois applicables, prendre des mesures conjointes ou concertées, le cas échéant, pour lutter contre les pratiques systémiques du secteur de la santé qui donnent lieu à des risques inacceptables et aisément évitables pour la confidentialité et la sécurité des renseignements personnels sur la santé.

¹ Un « télécopieur traditionnel » est un appareil au moyen duquel une copie papier d’un document contenant des renseignements personnels sur la santé est numérisée puis transmise par ligne téléphonique à un télécopieur destinataire, qui imprime ces renseignements sur du papier, reconstituant ainsi le document original.

² Les DSE sont souvent considérés comme des dossiers sécurisés et interopérables sur les antécédents de santé, auxquels peuvent avoir accès différents établissements et fournisseurs de soins de santé. Les DME sont des systèmes électroniques de tenue de dossiers sur les patients, auquel l’accès est généralement limité à un médecin de premier recours précis ou à un groupe de tels médecins. De même, les SIH sont des systèmes électroniques de tenue de dossiers sur les patients auxquels l’accès est limité à un hôpital en particulier.