Home Page d'accueil   |   Contact Us Contact   |   Search Recherche   |   English

 

Articles de Au Point archivés 

Nos archives des Actualités en    
droit de l'éducation 

Abonnez-vous à Au Point 

Abonnez-vous aux Actualités    
en droit de l'éducation 

Autres publications récentes 

  

 

version imprimable



La Loi de 2004 sur la protection des renseignements personnels sur la santé entre en vigueur le 1er novembre 2004

Le projet de loi 31, la Loi de 2004 sur la protection des renseignements personnels sur la santé de l’Ontario, a reçu la sanction royale le 20 mai. Le projet de loi comprenait deux lois, la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS, la Loi) ainsi que la Loi de 2004 sur la protection des renseignements sur la qualité des soins, qui entrent toutes deux en vigueur le 1er novembre 2004. Le présent article présente un bref survol de la LPRPS.

OBJET DE LA LOI

La Loi a pour objet d’établir des règles sur la collecte, l’utilisation et la communication de renseignements personnels sur la santé (RPS) afin de protéger la vie privée du particulier concerné et la confidentialité des renseignements. Sous réserve d’exceptions circonscrites et précises, les particuliers ont le droit d’avoir accès à leurs RPS et de les corriger.

DÉPOSITAIRES DE RENSEIGNEMENTS SUR LA SANTÉ

Les organismes principalement touchés par la LPRPS sont « dépositaires de renseignements sur la santé » (dépositaires), définis comme étant des personnes qui ont la garde ou le contrôle de renseignements personnels sur la santé dans le cadre de l’exercice de leurs pouvoirs ou de leurs fonctions. Les dépositaires comprennent notamment les personnes suivantes :

  • les praticiens de la santé, y compris les travailleurs sociaux qui offrent des soins de santé et toute autre personne dont la fonction première est d’offrir des soins de santé contre rémunération;
  • les fournisseurs de services au sens de la Loi sur les soins de longue durée;
  • les sociétés d’accès aux soins communautaires;
  • les personnes qui exploitent ou administrent les entreprises suivantes :
    • hôpitaux, établissements de santé autonomes, établissements psychiatriques et hôpitaux privés,
    • foyers de bienfaisance et foyers d’accueil pour personnes âgées, maisons de soins infirmiers, et maisons de soins au sens de la Loi de 1997 sur la protection des locataires,
    • pharmacies,
    • laboratoires et centres de prélèvement,
    • services d’ambulance,
    • foyers de soins spéciaux, et
    • centres, programmes ou services de santé communautaire ou de santé mentale;
  • les coordonnateurs de placement pour les foyers de bienfaisance pour personnes âgées agréés, les foyers pour personnes âgées et les maisons de soins infirmiers;
  • les appréciateurs au sens de la Loi de 1996 sur le consentement aux soins de santé et les évaluateurs au sens de la Loi de 1992 sur la prise de décisions au nom d’autrui;
  • les médecins-hygiénistes ou les conseils de santé; et
  • le ministre de la Santé ainsi que son ministère, si le contexte l’exige.

D’autres personnes peuvent être prescrites par règlement comme étant dépositaires, si elles ont la garde ou le contrôle de RPS en raison de l’exécution de pouvoirs, fonctions ou tâches prescrits par règlement.

RENSEIGNEMENTS PERSONNELS SUR LA SANTÉ

Les RPS sont définis comme étant tout renseignement identificatoire, oral ou écrit, au sujet d’un particulier qui

  • a trait à la santé physique ou mentale, y compris les antécédents familiaux;
  • a trait à la prestation de soins de santé, y compris l’identité du fournisseur des soins;
  • constitue un programme de services au sens de la Loi sur les soins de longue durée;
  • a trait aux paiements relatifs aux soins de santé ou à l’admissibilité aux soins;
  • représente le numéro de la carte Santé du particulier;
  • identifie le mandataire spécial d’un particulier; ou
  • a trait au don, par le particulier, d’une partie de son corps ou d’une de ses substances corporelles.

Les employeurs qui sont également dépositaires devraient noter que les RPS ne comprennent pas les renseignements identificatoires sur leurs mandataires ou employés si ces renseignements sont gardés principalement pour un but autre que la prestation de soins de santé au mandataire ou l’employé.

PRATIQUES DE PROTECTION DE LA VIE PRIVÉE

Les dépositaires doivent se conformer à un ensemble de pratiques pour protéger les RPS. Ils doivent notamment prévoir les mesures suivantes :

  • adopter des pratiques conformes à la Loi et à ses règlements. (Cela signifie qu’ils doivent avoir des politiques sur la collecte, l’utilisation et la communication des RPS, ainsi que des mesures de sécurité administratives, techniques et physiques);
  • prendre des mesures raisonnables pour assurer l’exactitude des RPS;
  • assurer la sécurité des RPS sous leur garde ou contrôle; et
  • aviser le particulier concerné à la première occasion raisonnable en cas de vol ou de perte des renseignements ou d’accès à ceux-ci par des personnes non autorisées.

Les dépositaires doivent également rendre compte de leurs pratiques. À cet égard, ils doivent

  • désigner une personne-ressource qui assure la conformité à la Loi, répond aux demandes d’accès et de correction et reçoit les plaintes;
  • mettre à la disposition du public un énoncé écrit qui décrit les pratiques du dépositaire en matière de renseignements personnels, les moyens d’accès et de correction dont peuvent se prévaloir les particuliers, les coordonnées de la personne-ressource, et la procédure de plainte;
  • être responsables des actions de leurs mandataires.

COLLECTE, UTILISATION ET DIVULGATION

Les dépositaires ne peuvent recueillir, utiliser ou divulguer les RPS d’un particulier sauf dans les conditions suivantes :

  • l’intéressé a donné son consentement et la collecte, l’utilisation ou la divulgation est nécessaire à des fins légitimes; ou
  • la collecte, l’utilisation ou la divulgation est permise ou exigée par la Loi.

À moins d’être tenus par la loi de le faire, les dépositaires ne peuvent recueillir, utiliser ou divulguer des RPS si d’autres renseignements pourraient convenir; ils ne peuvent non plus recueillir, utiliser ou divulguer davantage de RPS que ce qui est raisonnablement nécessaire aux fins prévues.

La Loi prévoit qu’il faut recueillir les RPS directement auprès du particulier concerné. La collecte indirecte est permise dans certaines circonstances – par exemple, lorsqu’elle est permise ou exigée par la loi, ou lorsque la collecte est nécessaire pour fournir des soins de santé à l’intéressé et qu’il n’est pas possible d’obtenir des renseignements directement en temps opportun. De même, la Loi prévoit certaines circonstances où les RPS peuvent être utilisés ou divulgués sans le consentement de l’intéressé.

CONSENTEMENT

Le consentement est l’exigence de base pour la collecte, l’utilisation et la divulgation des RPS, sous réserve de quelques exceptions circonscrites. Pour être valable, le consentement doit être éclairé et volontaire, ne pas être obtenu par tromperie ou par contrainte, être lié aux RPS en question et être donné par l’intéressé.

Le consentement peut être explicite ou implicite. De façon générale, les dépositaires qui offrent des soins de santé peuvent s’appuyer sur le consentement implicite du particulier pour ce qui est de la collecte, l’utilisation et la divulgation des RPS dans le cadre de la prestation des soins de santé.

Toutefois, si un dépositaire divulgue des RPS à un non-dépositaire, il doit obtenir le consentement exprès de l’intéressé. Ainsi, le particulier concerné doit expressément consentir à ce que le dépositaire divulgue des RPS à une compagnie d’assurance ou à un employeur. La même règle s’applique si un dépositaire divulgue des RPS à un autre dépositaire, mais à des fins autres que la prestation de soins de santé.

LA LPRPS ET LES NON-DÉPOSITAIRES

Bien que la Loi s’applique surtout aux dépositaires, certains non-dépositaires tels les employeurs et les écoles sont également visés par quelques dispositions. En vertu de la « règle concernant les destinataires », les personnes autres que les dépositaires qui reçoivent des RPS d’un dépositaire doivent utiliser ou divulguer les renseignements reçus uniquement pour les fins auxquelles le dépositaire était autorisé à les divulguer en vertu de la Loi, ou dans l’exercice d’une obligation d’origine législative ou juridique. En outre, un non-dépositaire qui reçoit des RPS d’un dépositaire ne peut utiliser ou divulguer plus que ce qui est raisonnablement nécessaire aux fins prévues, sauf exigence de la loi. Il convient de souligner, cependant, que la règle concernant les destinataires ne s’applique pas aux non-dépositaires qui sont liés par la Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP) ou la Loi sur l’accès à l’information municipale et la protection de la vie privée (LAIMPVP), les deux lois ontariennes de protection de la vie privée qui s’appliquent au secteur public.

Il existe également des règles spéciales pour les non-dépositaires en ce qui concerne les numéros de cartes Santé. Les non-dépositaires peuvent recueillir et utiliser les numéros de cartes Santé seulement aux fins suivantes :

  • prestation de services de santé subventionnés par la province;
  • fins auxquelles un dépositaire de renseignements sur la santé a divulgué le numéro;
  • réglementation des professionnels de la santé;
  • recherche en santé ou études épidémiologiques, si le non-dépositaire est prescrit par règlement.

Les non-dépositaires ne peuvent divulguer un numéro de carte Santé, sauf lorsque la loi l’exige.

ACCÈS ET CORRECTION

Sous réserve de quelques exceptions, les particuliers ont le droit, sur demande écrite, d’avoir accès à leurs RPS détenus par un dépositaire. Le dépositaire a 30 jours pour répondre et, si nécessaire, doit aider le particulier à formuler une demande suffisamment détaillée.

Les particuliers qui ont eu accès à leurs RPS et qui croient que ceux-ci sont inexacts ou incomplets peuvent demander par écrit que le dépositaire corrige leur dossier. Le dépositaire a 30 jours pour répondre. Si le particulier démontre que le dossier est inexact, et donne suffisamment de renseignements pour le corriger, le dépositaire est tenu de le faire.

SANCTIONS

La Loi est administrée et appliquée par le Commissaire à l’information et à la protection de la vie privée (Commissaire), dont le bureau est déjà chargé de la mise en oeuvre de la LAIPVP et de la LAIMPVP. Toute personne (autrement dit, pas seulement les patients) peut porter plainte auprès du Commissaire au sujet d’une contravention à la Loi ou à l’un de ses règlements. Le Commissaire peut faire enquête en raison d’une plainte ou de son propre chef, et peut émettre des ordonnances en conséquence. À moins que l’ordonnance ait trait à l’accès aux renseignements ou à leur correction, on peut interjeter appel de l’ordonnance auprès de la Cour divisionnaire. Les plaintes et ordonnances peuvent viser tant les non-dépositaires que les dépositaires.

ACTIONS EN DOMMAGES-INTÉRÊTS

Si le Commissaire a rendu une ordonnance définitive, ou si une personne a été trouvée coupable d’une infraction en vertu de la Loi, la personne touchée par l’ordonnance ou la conduite donnant lieu à l’infraction peut intenter une poursuite en justice pour les dommages subis du fait de la contravention. Si le tribunal conclut que le préjudice causé résulte d’actions délibérées ou insouciantes de la part du défendeur, il peut accorder jusqu’à 10 000$ en dommages-intérêts pour dommages moraux.

DISPOSITIONS SUR LES INFRACTIONS

La Loi crée plusieurs infractions, notamment les suivantes :

  • recueillir, utiliser ou divulguer des RPS sciemment en contravention de la Loi;
  • éliminer un dossier de RPS dans l’intention de se soustraire à une demande d’accès au dossier;
  • entraver le Commissaire dans l’exercice de ses fonctions;
  • omettre volontairement de se conformer à une ordonnance rendue par le Commissaire;
  • prendre des mesures de représailles contre une personne qui porte plainte au Commissaire au sujet d’une contravention (protection des délateurs).

Le Loi prévoit des amendes pouvant aller jusqu’à 50 000$ pour un particulier et 250 000$ pour des organisations. Si une société commet une infraction, tout dirigeant, membre, employé ou mandataire qui a autorisé ou n’a pas empêché la commission de l’infraction peut être tenu personnellement responsable.

CONFÉRENCE PROCHAINE D’EMOND HARNDEN

Les lecteurs qui souhaitent en connaître davantage au sujet de la LPRPS et autres questions relatives à la protection de la vie privée voudront peut-être assister à l’atelier sur la mise en oeuvre d'une politique sur la protection de la vie privée - 3 novembre 2004.

Pour de plus amples renseignements, veuillez communiquer avec Lynne Poirier au (613) 940-2741.

 


  Copyright 2007 Emond Harnden LLP   |   Politique sur la protection de la vie privée