Législation canadienne et américaine réglementant les organisations du secteur privé
La confidentialité des données sur la santé est un sujet crucial au sein de l’ère numérique d’aujourd’hui. Elle implique la protection des informations confidentielles sur la santé contre l’accès, l’utilisation et la divulgation non autorisés. Pourquoi cette confidentialité devrait-elle être protégée contre un accès non approuvé? La confidentialité des données sur la santé est essentielle pour protéger la sécurité personnelle, la confiance des patients, les obligations légales et éthiques, la prévention de la discrimination, la santé publique et la recherche médicale. Protéger les données sur la santé n’est pas seulement une question de conformité; il s’agit également de respecter les droits et libertés des êtres humains, et de s’assurer qu’ils se sentent en sécurités et non défavorisés lorsque leurs informations sur la santé sont partagées avec de tierces parties.
Gestion des données médicales pour la conformité avec les lois
Pour la conformité avec lois, résumés ci-après sont quelques principes pour la gestion des données médicales :
- assurer le cryptage des données au repos et en transit ;
- appliquer les obligations de localisation physique et géographique des données (au Canada et parfois, entre les provinces) ;
- mettre en œuvre un contrôle d’accès robuste;
- collecter et stocker uniquement les données médicales requises ;
- initier régulièrement la formation des employés;
- pratiquer assidûment la surveillance;
- utiliser des techniques telles que l’anonymisation des données, le masquage des données et la segmentation des données en unités;
- protéger une politique stricte de transfert des données.
Quelques composantes fondamentales des données sur la santé
Les données sur la santé1 englobent toute information relative à la santé physique ou mentale d’une personne, à ses antécédents médicaux, à ses conditions médicales, à ses traitements, à ses tests de diagnostic, à ses médicaments et à d’autres renseignements relatifs à la santé. Voici quelques exemples : les dossiers médicaux (les documents contenant des détails sur vos antécédents médicaux, vos diagnostics, vos plans de traitement, vos résultats d’analyses de laboratoire et vos notes d’évolution); les informations génétiques (les données sur votre constitution génétique qui peuvent inclure des renseignements provenant de tests génétiques pouvant indiquer une susceptibilité à certaines maladies); les informations sur le mode de vie (les données sur vos habitudes quotidiennes et vos choix de vie tels que votre régime alimentaire, votre activité physique et votre tabagisme, qui peuvent avoir un impact sur votre santé); les dossiers d’assurance maladie (les détails sur votre couverture d’assurance maladie, l’historique des demandes de remboursement et les informations de facturation). La protection de ces informations est sine qua non car elles contiennent des précisions extrêmement personnelles qui peuvent avoir un impact sur la confidentialité et la sécurité d’un être humain si elles sont utilisées à mauvais escient.
[1] Joseph C. Segen, MD. McGraw-Hill Concise Dictionary of Modern Medicine. Paperback 1st Edition published on the 17th of November 2006 by McGraw-Hill Professional Publishing, Two Penn Plaza, New York, USA, 765 pages. https://openlibrary.org/books/OL18513143M/Concise_dictionary_of_modern_medicine
L’avènement de la numérisation des soins de santé
La numérisation des soins de santé1, aussi connue sous le nom de transformation numérique des soins de santé, fait référence à l’intégration des technologies numériques dans les systèmes et services de santé. L’avènement de ce virage numérique vise à améliorer l’efficacité, l’accessibilité et la qualité des soins de santé. Les caractéristiques importantes de la numérisation des soins de santé sont résumées ci-dessous :
- Les dossiers médicaux électroniques (DME) : la numérisation des dossiers des patients permet un accès, un partage et une gestion plus faciles des renseignements médicaux, menant à une meilleure coordination des soins de santé.
- La télémédecine : les consultations et traitements à distance permettent aux patients de recevoir des soins dans le confort de leur domicile, augmentant ainsi l’accessibilité et la commodité.
- Les appareils portables : les appareils tels que les moniteurs d’activité et les montres intelligentes surveillent les paramètres de santé en temps réel, fournissant des données précieuses pour les soins préventifs et les plans de traitement personnalisés.
- L’intelligence artificielle (IA) : les algorithmes d’IA peuvent analyser de vastes quantités de données médicales pour aider au diagnostic, à la planification du traitement et à la prédiction des résultats et pronostiquent pour les patients.
- L’analyse des mégadonnées : l’analyse des énormes ensembles de données permet d’identifier les tendances, d’améliorer les résultats des patients et d’optimiser les opérations de soins de santé.
- Les applications mobiles de santé : les applications fournissent aux patients des outils pour gérer leur santé, faire le suivi de leurs médicaments et accéder aux renseignements sur la santé.
La numérisation des soins de santé a le potentiel de rendre les systèmes de santé plus efficaces, durables et inclusifs. Néanmoins, une telle transition numérique dans le domaine médical soulève également des préoccupations en matière de confidentialité et de sécurité des données sur la santé qui doivent être traitées pour garantir la confiance des patients et le respect des réglementations. En matière de confidentialité des données sur la santé, quels sont les cadres législatifs canadien et américain réglementant les organisations du secteur privé? Sous forme d’exposé général, notre Infolettre du mois de janvier 2025 a été rédigée pour répondre à cette question. N.B. : En référence au cadre législatif américain, notre Infolettre se concentre sur le niveau national (fédéral) et elle ne couvre pas la législation promulguée distinctement par les 50 États américains.
[1] Ian P. McLoughlin, Karin Garrety & Rob Wilson. The Digitalization of Health Care: Electronic Records and the Disruption of Moral Orders. Hardcover 1st Edition published on the 2nd of April 2017 by Oxford University Press, Oxford, UK, 212 pages. https://global.oup.com/academic/product/the-digitalization-of-health-care-9780198744139?qn
Cadre législatif canadien: confidentialité des données sur la santé pour les organisations du secteur privé
Le tableau suivant décrit brièvement les lois importantes promulguées dans les 10 provinces et 3 territoires du Canada :
Cadre législatif canadien Confidentialité des données sur la santé pour les organisations du secteur privé |
|
Gestion des dossiers sur la santé à travers le Canada : Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) |
|
Provinces & territoires en ordre alphabétique |
Désignations des lois en vigueur au Canada |
Alberta | Health Information Act (HIA AB) & Personal Information Protection Act (PIPA ALB) |
Colombie-Britannique |
Freedom of Information and Protection of Privacy Act (FIPPA BC)
Personal Information Protection Act (PIPA BC) E-Health Act: Personal Health Information Access and Protection of Privacy Act (PHIAPPA BC) |
Île-du-Prince-Édouard | Health Information Act (HIA PEI) |
Manitoba | Loi sur les renseignements médicaux personnels (LRMP MAN.) |
Nouveau-Brunswick | Loi sur l’accès et la protection en matière de renseignements personnels sur la santé (LAPRPS N.-B.) |
Nouvelle-Écosse | Personal Health Information Act (PHIA N.-É)
Personal Information International Disclosure Protection Act (PIIDPA NS) |
Nunavut | Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP NT.) |
Ontario | Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS ONT.) |
Québec | Projet de loi no 3 – Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives |
Saskatchewan | Health Information Protection Act (HIPA SK) |
Terre-Neuve-et-Labrador | Personal Health Information Act (PHIA NL) |
Territoires du Nord-Ouest | Loi sur les renseignements sur la santé (LRSS T.N.-O) |
Yukon | Loi sur la protection et la gestion des renseignements médicaux (LPGRM YN) |
Brève dissection des lois canadiennes relatives à la confidentialité des données sur la santé
ALBERTA
La Health Information Act (HIA)1 de l’Alberta est une loi qui régit la collecte, l’utilisation, la divulgation et l’accès aux renseignements sur la santé dans la province. Voici quelques points majeurs de cette loi :
- Accès à l’information : elle donne aux individus le droit d’accéder à leurs propres renseignements sur la santé et de demander des corrections s’il y a lieu.
- Renseignements personnels et confidentialité : la Loi garantit la vie privée et la confidentialité des renseignements sur la santé.
- Dossiers électroniques sur la santé : la loi réglemente les renseignements accessibles par l’intermédiaire du dossier électronique sur la santé de l’Alberta (Alberta Netcare).
- Dépositaires et affiliés : la Loi s’applique aux dépositaires tels que les hôpitaux, les maisons de retraite, les médecins, les pharmaciens et autres fournisseurs de services de santé. Elle couvre également les affiliés tels que les employés, les bénévoles et les entrepreneurs travaillant pour ces dépositaires.
COLOMBIE-BRITANNIQUE
La Personal Health Information Access and Protection of Privacy Act2 (souvent appelée E-Health Act) de la Colombie-Britannique est une loi qui supervise la compilation, l’utilisation, la divulgation et la protection des renseignements personnels sur la santé partout dans la province. Certains éléments substantiels sont résumés ci-après :
- Accès à l’information : la Loi donne aux individus le droit de récupérer leurs propres renseignements sur la santé et de demander des rectifications au besoin.
- Vie privée et confidentialité : elle garantit la vie privée et la confidentialité des renseignements personnels sur la santé.
- Banques d’information sur la santé : elle établit et réglemente les banques d’information sur la santé, qui sont chargées de gérer les renseignements personnels sur la santé.
- Directives de divulgation : les individus peuvent formuler des directives de divulgation pour contrôler la manière dont leurs renseignements personnels sur la santé sont partagés.
- Comité de gestion des données : la Loi met en œuvre un comité de gestion des données pour superviser la gestion et la protection des renseignements personnels sur la santé.
- Protection des dénonciateurs : elle inclut des dispositions juridiques visant à protéger les personnes qui signalent des violations de la Loi.
MANITOBA
La Loi sur les renseignements médicaux personnels (LRMP)3 du Manitoba est une loi qui régit la collecte, l’utilisation, la divulgation et la protection des renseignements personnels sur la santé dans toute la province. Les principaux articles de la Loi sont les suivants :
- Accès à l’information : la loi donne aux individus le droit d’accéder à leurs propres renseignements personnels sur la santé et de demander des ajustements lorsque c’est requis.
- Vie privée et confidentialité : elle garantit la vie privée et la confidentialité des renseignements personnels sur la santé.
- Banques d’information sur la santé : elle établit et réglemente les banques d’information sur la santé, qui sont chargées de gérer les renseignements personnels sur la santé.
- Directives de divulgation : les individus peuvent formuler des directives de divulgation pour contrôler la manière dont leurs renseignements personnels sur la santé sont partagés.
- Comité de gestion des données : la Loi établit un comité de gestion des données pour superviser la gestion et la protection des renseignements personnels sur la santé.
- Protection des dénonciateurs : elle comprend des dispositions juridiques visant à protéger les personnes qui signalent des transgressions de la Loi.
NOUVEAU-BRUNSWICK
La Loi sur la protection et l’accès des renseignements personnels sur la santé (LPARPS)4 du Nouveau-Brunswick est une loi qui contrôle la mise en commun, l’utilisation, la déclaration et la sécurité des renseignements personnels sur la santé dans la province. Certaines parties de la loi sont abrégées comme suit :
- Accès à l’information : elle donne aux individus le droit d’accéder à leurs renseignements personnels sur la santé qui ont été recueillis, utilisés ou divulgués par des « dépositaires » (par exemple : médecins, dentistes, pharmaciens).
- Vie privée et confidentialité : la Loi garantit la vie privée et la confidentialité des renseignements personnels sur la santé.
- Dépositaires : les dépositaires sont responsables du traitement des renseignements personnels sur la santé et ils doivent suivre des règles précises concernant leur collecte, leur utilisation, leur divulgation, leur conservation et leur destruction sécurisée.
- Frais : les dépositaires sont autorisés à facturer des frais pour donner accès aux renseignements personnels sur la santé.
- Plaintes : les personnes peuvent déposer une plainte auprès du Commissaire à l’accès à l’information et à la protection de la vie privée si elles estiment que leurs droits n’ont pas été respectés.
TERRE-NEUVE-ET-LABRADOR
La Personal Health Information Act (PHIA NL)5 de Terre-Neuve-et-Labrador est une loi qui réglemente la compilation, l’utilisation, la divulgation et la protection des renseignements personnels sur la santé à travers toute la province. La présente loi comprend, entre autres, les dispositions juridiques suivantes :
- Accès à l’information : la Loi donne aux individus le droit d’accéder à leurs renseignements personnels sur la santé et de demander des corrections s’il y a lieu.
- Vie privée et confidentialité : elle garantit la vie privée et la confidentialité des renseignements personnels sur la santé.
- Dépositaires : les dépositaires, tels que les professionnels de la santé (par exemple : les médecins, les pharmaciens, les infirmières), les autorités sanitaires et certains ministères, sont responsables du traitement des renseignements personnels sur la santé et ils doivent suivre des règles précises concernant leur collecte, utilisation, divulgation, conservation et leur destruction sécurisée.
- Divulgation : la Loi décrit les circonstances dans lesquelles les renseignements personnels sur la santé peuvent être divulgués sans consentement, par exemple à des fins de soins de santé, de recherche en santé et d’exigences légales. Plaintes : les personnes peuvent déposer une plainte auprès du Commissaire à l’information et à la protection de la vie privée si elles estiment que leurs droits n’ont pas été respectés.
NOUVELLE-ÉCOSSE
La Personal Health Information Act (PHIA NS)6 de la Nouvelle-Écosse est une loi qui régit la collecte, l’utilisation, la divulgation, la conservation, l’élimination et la destruction des renseignements personnels sur la santé dans l’ensemble de la province. Quelques caractéristiques juridiques de la présente loi :
- Accès à l’information : la Loi donne aux individus le droit d’accéder à leurs renseignements personnels sur la santé et de demander des rectifications au besoin.
- Vie privée et confidentialité : Elle garantit la confidentialité et la confidentialité des renseignements personnels sur la santé.
- Dépositaires : les dépositaires, tels que les professionnels de la santé et les autorités sanitaires, sont responsables du traitement des renseignements personnels sur la santé et ils doivent se conformer aux règles obligatoires concernant leur collecte, utilisation, divulgation, conservation et leur destruction sécurisée.
- Divulgation : la Loi décrit les circonstances dans lesquelles les renseignements personnels sur la santé peuvent être divulgués sans consentement, par exemple à des fins de soins de santé, de recherche en santé et d’exigences légales.
- Plaintes : les personnes peuvent déposer une plainte auprès du Commissaire à l’information et à la protection de la vie privée si elles estiment que leurs droits n’ont pas été respectés.
TERRITOIRES DU NORD-OUEST
La Loi sur les renseignements sur la santé (LRSS T.N.-O)7 des Territoires du Nord-Ouest est une loi qui supervise la collecte, l’utilisation, la divulgation et la protection des renseignements sur la santé dans l’ensemble du territoire. Les dispositions juridiques de cette loi couvrent :
- Accès à l’information : elle donne aux individus le droit d’accéder à leurs propres renseignements sur la santé et de demander des ajustements lorsque c’est requis.
- Confidentialité et protection de la vie privée : la Loi garantit la protection de la vie privée et la confidentialité des renseignements sur la santé.
- Dépositaires : les dépositaires, tels que les professionnels de la santé et les autorités sanitaires, sont responsables du traitement des renseignements sur la santé et ils doivent obéir aux règles particulières concernant leur collecte, utilisation, divulgation, conservation et leur destruction sécurisée.
- Divulgation : la Loi décrit les circonstances dans lesquelles les renseignements sur la santé peuvent être divulgués sans consentement, par exemple à des fins de soins de santé, de recherche en santé et d’exigences légales.
- Conformité : les dépositaires doivent se conformer aux normes, aux politiques et aux procédures énoncées dans la Loi pour assurer la protection des renseignements sur la santé.
NUNAVUT
La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)8 concernant le Nunavut est une loi fédérale au Canada qui régit la collecte, l’utilisation et la divulgation de renseignements personnels par les organisations du secteur privé dans le cadre de leurs activités commerciales. La LPRPDE s’applique aux organisations exerçant des activités commerciales partout au Canada, à l’exception des provinces qui ont adopté une législation essentiellement similaire. La LPRPDE vise à établir un équilibre entre la nécessité pour les organisations de recueillir et d’utiliser des renseignements personnels à des fins légitimes et le droit à la vie privée des individus. La Loi est administrée et appliquée par le Commissariat à la protection de la vie privée du Canada. Les organisations reconnues coupables de violation de la LPRPDE peuvent faire l’objet de sanctions et de mesures correctives pour assurer leur conformité.
Bien que la LPRPDE s’applique partout au Canada, y compris au Nunavut, elle établit des règles pour certifier que les renseignements personnels sont traités de manière responsable et dans le respect de la vie privée. Voici quelques caractéristiques clés de la LPRPDE :
- Principes d’équité en matière d’information : la LPRPDE repose sur 10 principes que les organisations doivent suivre pour protéger les renseignements personnels, à savoir : la responsabilité, l’identification des objectifs, le consentement, la limitation de la collecte, la limitation de l’utilisation, la divulgation et la conservation, l’exactitude, les mesures de protection, l’ouverture, l’accès individuel et la contestation de la conformité.
- Champ d’application : elle s’applique aux organisations du secteur privé qui collectent, utilisent ou divulguent des renseignements personnels dans le cadre de leurs activités commerciales.
- Lois provinciales : certaines provinces, comme l’Alberta, la Colombie-Britannique et le Québec, ont leurs propres lois sur la protection de la vie privée qui sont considérées comme essentiellement similaires à la LPRPDE. Les organisations de ces provinces sont généralement exemptées de la LPRPDE pour les activités commerciales au sein de la province.
- Documents électroniques : La LPRPDE comprend également des dispositions juridiques relatives à l’utilisation des documents électroniques et des signatures électroniques.
Les 10 PRINCIPES DE CONFIDENTIALITÉ des renseignements personnels délimités dans la LPRPDE
- Imputabilité : les organisations sont responsables des renseignements personnels dont elles ont la gestion, et elles doivent désigner des personnes garantes de leur conformité aux principes de la LPRPDE.
- Détermination des objectifs : les objectifs pour lesquels les renseignements personnels sont recueillis doivent être déterminés par l’organisation au moment de la collecte ou avant.
- Consentement : Les personnes doivent être informées des objectifs de la collecte, de l’utilisation et de la divulgation de leurs renseignements personnels et elles doivent donner leur consentement à ces actions.
- Restriction de la collecte : la collecte de renseignements personnels doit être restreinte à ce qui est nécessaire aux fins déterminées. Les renseignements doivent être recueillis par des moyens justes et légaux.
- Limitation de l’utilisation, de la divulgation et de la conservation : les renseignements personnels ne doivent pas être utilisés ou divulgués à des fins autres que celles pour lesquelles ils ont été recueillis, sauf avec le consentement de la personne ou si la loi l’exige. Les renseignements ne doivent être conservés que le temps nécessaire à la réalisation de ces fins.
- Exactitude : les renseignements personnels doivent être aussi exacts, complets et à jour que nécessaire aux fins pour lesquelles ils doivent être utilisés.
- Mesures de protection : les organisations doivent prendre des mesures appropriées pour protéger les renseignements personnels contre tout accès, divulgation, copie, utilisation et modification non autorisés.
- Transparence : les organisations doivent être transparentes quant à leurs politiques et pratiques concernant la gestion des renseignements personnels.
- Accès individuel : sur demande, les personnes doivent être informées de l’existence, de l’utilisation et de la divulgation de leurs renseignements personnels et y avoir accès. Elles ont également le droit de contester l’exactitude et l’exhaustivité des renseignements, et de les faire modifier au besoin.
- Contestation de la conformité : Les personnes ont le droit de contester la conformité d’une organisation aux principes énoncés ci-dessus. Elles peuvent adresser toute préoccupation concernant les pratiques de confidentialité d’une organisation à la personne désignée responsable de la conformité de l’organisation.
ONTARIO
La Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS ONT.)9 de l’Ontario est une loi qui réglemente la compilation, l’utilisation, la divulgation et la protection des renseignements personnels sur la santé dans toute la province. Voici quelques points saillants de la Loi :
- Accès à l’information : elle donne aux personnes le droit d’accéder à leurs renseignements personnels sur la santé et de demander des corrections s’il y a lieu.
- Vie privée et confidentialité : la Loi garantit la confidentialité des renseignements personnels sur la santé.
- Dépositaires des renseignements sur la santé : les dépositaires, comme les professionnels de la santé, les hôpitaux et autres fournisseurs de services de santé, sont responsables du traitement des renseignements personnels sur la santé et ils doivent adhérer à des règles précises concernant leur collecte, utilisation, divulgation, conservation et leur destruction sécurisée.
- Consentement : la LPRPS exige que les dépositaires de renseignements sur la santé obtiennent le consentement des personnes avant de recueillir, d’utiliser ou de divulguer leurs renseignements personnels sur la santé, sauf dans certaines circonstances.
- Plaintes : les personnes peuvent déposer une plainte auprès du Commissaire à l’information et à la protection de la vie privée de l’Ontario si elles estiment que leurs droits n’ont pas été respectés.
ÎLE-DU-PRINCE-ÉDOUARD
La Health Information Act (HIA)10 de l’Île-du-Prince-Édouard est une loi qui réglemente la collecte, l’utilisation, la diffusion et la protection des renseignements sur la santé à l’échelle de la province. Les obligations juridiques stipulées dans la Loi sont les suivantes :
- Accès à l’information : elle donne aux personnes le droit d’accéder à leurs propres renseignements sur la santé et de demander des rectifications en cas de besoin.
- Confidentialité et protection de la vie privée : la Loi garantit la confidentialité et la protection des renseignements sur la santé.
- Dépositaires : les dépositaires, comme les prestataires de soins de santé et les établissements de soins de santé, sont responsables du traitement des renseignements sur la santé et ils doivent se conforme aux règles précises concernant leur collecte, utilisation, divulgation, conservation et leur destruction sécurisée.
- Divulgation : la Loi décrit les circonstances dans lesquelles les renseignements sur la santé peuvent être divulgués sans consentement, par exemple à des fins de soins de santé, de recherche en santé et d’exigences légales.
- Conformité : les dépositaires doivent se conformer aux normes, politiques et procédures énoncées dans la Loi pour assurer la protection des renseignements sur la santé.
QUÉBEC
Le Projet de loi no 3 du Québec – Loi concernant les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives11 est une loi qui établit un cadre juridique pour les renseignements sur la santé et les services sociaux au Québec. Cette loi consacre les dispositions légales suivantes :
- Objectif : la Loi vise à assurer la protection des renseignements sur la santé et les services sociaux tout en permettant leur utilisation optimale. Elle exclut la vente ou toute autre forme d’aliénation des renseignements et assure leur communication en temps opportun.
- Champ d’application : la Loi s’applique à tout organisme de santé et de services sociaux qui détient de tels renseignements.
- Utilisation des renseignements : elle introduit des règles pour encadrer la collecte et l’utilisation des renseignements sur la santé et les services sociaux, y compris les cas où les renseignements peuvent être utilisés sans le consentement de la personne concernée à des fins autres que celles pour lesquelles ils ont été recueillis.
- Protection de la vie privée : la Loi énonce des principes pour assurer que l’utilisation et la communication des renseignements sur la santé et les services sociaux se font de manière à minimiser le risque d’identifier la personne concernée.
- Accès et rectification : elle établit le droit des personnes d’accéder à leurs renseignements sur la santé et les services sociaux et de demander des corrections au besoin.
- Accès des tierces parties : des règles sont introduites concernant l’accès aux renseignements sur la santé et les services sociaux par de tierces parties, tels que les professionnels offrant des services de santé et les chercheurs.
Loi 25 – Loi sur la protection des renseignements personnels du Québec
La Loi 25 du Québec est officiellement intitulée Loi modernisant des dispositions législatives en matière de protection des renseignements personnels12. Elle a été officiellement promulguée le 22 septembre 2021. Son objectif principal est de moderniser les lois sur la protection des renseignements personnels de la province et de renforcer la protection des renseignements personnels des entreprises québécoises. Certaines clauses fondamentales de la Loi 25 sont résumées comme suit :
- Renforcement des droits à la vie privée : la Loi renforce les droits des individus à accéder à leurs renseignements personnels, à les rectifier et à retirer leur consentement à l’utilisation de ces derniers.
- Administrateur de la protection des données (APD) : elle oblige les organisations à nommer une APD chargée de veiller au respect des lois sur la protection des renseignements personnels.
- Évaluation des facteurs relatifs à la vie privée (ÉFVP) : la Loi impose des ÉFVP pour les projets impliquant la collecte, l’utilisation ou la communication de renseignements personnels.
- Notification de violation : elle oblige les organisations à informer la Commission d’accès à l’information (CAI) du Québec et les personnes concernées en cas de violation de données.
- Sanctions administratives pécuniaires (SAP) : la Loi introduit des sanctions pouvant atteindre 10 millions de dollars canadiens en cas de non-conformité ou 2 % du chiffre d’affaires mondial de l’organisation.
Impact sur les entreprises :
- Les organisations doivent mettre à jour leurs politiques de confidentialité, procéder à des évaluations des risques et garantir des mesures robustes de sécurité des données.
- Le non-respect de ces mesures peut entraîner des amendes considérables et une atteinte à la réputation.
La Loi 25 du Québec représente un changement notable vers une protection renforcée des données au Québec, s’alignant sur les tendances plus étendues de la législation sur la protection de la vie privée à l’échelle mondiale.
SASKATCHEWAN
La Health Information Protection Act (HIPA)13 de la Saskatchewan est une loi qui gouverne la collecte, l’utilisation, la divulgation et la protection des renseignements personnels sur la santé dans toute la province. Les articles essentiels de cette Loi sont les suivants:
- Accès à l’information : elle donne aux individus le droit d’accéder à leurs renseignements personnels sur la santé et de demander des ajustements lorsque c’est requis.
- Confidentialité et protection de la vie privée : la Loi garantit la confidentialité et la protection des renseignements personnels sur la santé.
- Dépositaires : les dépositaires, tels que les prestataires de soins de santé et les autorités sanitaires, sont responsables du traitement des renseignements personnels sur la santé et ils doivent suivre des règles strictes concernant leur collecte, utilisation, divulgation, conservation et leur destruction sécurisée.
- Divulgation : la Loi décrit les circonstances dans lesquelles les renseignements personnels sur la santé peuvent être divulgués sans consentement, par exemple à des fins de soins de santé, de recherche en santé et d’exigences légales.
- Conformité : les dépositaires doivent se conformer aux normes, politiques et procédures énoncées dans la Loi pour assurer la protection des renseignements sur la santé.
YUKON
La Loi sur la protection et la gestion des renseignements médicaux (LPGRM)14 du Yukon est une loi qui réglemente la mise en commun, l’utilisation, la divulgation et la sécurité des renseignements sur la santé à travers le territoire. Voici quelques points clés de la loi :
- Objectif : la Loi vise à améliorer la qualité et l’accessibilité des soins de santé au Yukon en facilitant la gestion des renseignements personnels sur la santé, et en permettant la création d’un réseau électronique d’information sur la santé.
- Accès à l’information : elle donne aux personnes le droit d’accéder à leurs propres renseignements sur la santé et de demander des corrections si nécessaire.
- Vie privée et confidentialité : la Loi garantit la vie privée et la confidentialité des renseignements sur la santé.
- Dépositaires : les dépositaires, comme les prestataires de soins de santé et les autorités sanitaires, sont responsables du traitement des renseignements sur la santé et ils doivent appliquer des règles précises concernant leur collecte, utilisation, divulgation, conservation et leur destruction sécurisée.
- Divulgation : la Loi décrit les circonstances dans lesquelles les renseignements sur la santé peuvent être divulgués sans consentement, par exemple à des fins de soins de santé, de recherche en santé et d’exigences légales.
- Conformité : Les dépositaires doivent se conformer aux normes, aux politiques et aux procédures énoncées dans la Loi pour assurer la protection des renseignements sur la santé.
[1] Government of Alberta – Office of the Information and Privacy Commissioner of Alberta. Government Legislation Directorate. Health Information Act (HIA AB). https://oipc.ab.ca/legislation/hia/?form=MG0AV3
[2] Government of British Columbia – British Columbia Laws. E-Health Act: Personal Health Information Access and Protection of Privacy Act (PHIAPPA BC). https://www.bclaws.gov.bc.ca/civix/document/id/complete/statreg/00_08038_01?form=MG0AV3
[3] Gouvernement du Manitoba – Ministère de la Santé du Manitoba. Loi sur les renseignements médicaux personnels (LRMP MAN.) https://web2.gov.mb.ca/laws/statutes/ccsm/_pdf.php?cap=p33.5
[4] Gouvernement du Nouveau-Brunswick – Ministère de la Santé. Loi sur la protection et l’accès des renseignements personnels sur la santé LPARPS N.-B.) https://lois.gnb.ca/fr/pdf/lc/P-7.05.pdf
[5] Government of Newfoundland and Labrador – Health and Community Services. Personal Health Information Act (PHIA NL). https://www.gov.nl.ca/hcs/phia/?form=MG0AV3
[6] Government of Nova Scotia – Department of Health and Wellness. Personal Health Information Act (PHIA NS). https://novascotia.ca/DHW/PHIA/?form=MG0AV3
[7] Gouvernement des Territoires du Nord-Ouest – Ministère de la Justice. Loi sur les renseignements sur la santé (LRSS T.N.-O) https://www.justice.gov.nt.ca/en/files/legislation/health-information/health-information.a.pdf
[8] Commissariat à la protection de la vie privée du Canada – Loi sur la protection des renseignements personnels au Canada. Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/lois-sur-la-protection-des-renseignements-personnels-au-canada/la-loi-sur-la-protection-des-renseignements-personnels-et-les-documents-electroniques-lprpde/lprpde_survol/
[9] Gouvernement de l’Ontario – Lois et statuts de l’Ontario. Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS ONT.) https://www.ontario.ca/lois/loi/04p03
[10] Government of Prince Edward Island – Legislative Counsel Office. Health Information Act (HIA PEI). https://www.princeedwardisland.ca/sites/default/files/legislation/h-01-41-health_information_act.pdf?form=MG0AV3
[11] Gouvernement du Québec – Assemblée nationale du Québec. Projet de loi no 3 du Québec – Loi concernant les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives.
1.https://www.assnat.qc.ca/fr/travaux-parlementaires/projets-loi/projet-loi-3-43-1.html
2.https://www.publicationsduquebec.gouv.qc.ca/fileadmin/Fichiers_client/lois_et_reglements/LoisAnnuelles/en/2023/2023C5A.PDF?form=MG0AV3
[12] Gouvernement du Québec – Assemblée nationale du Québec. Projet de loi no 64 – Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. https://www.canlii.org/fr/qc/legis/loisa/lq-2021-c-25/derniere/lq-2021-c-25.pdf
[13] Government of Saskatchewan – Office of the Saskatchewan Information and Privacy Commissioner. The Health Information Protection Act (HIPA SK). https://oipc.sk.ca/legislation-main/hipa/?form=MG0AV3
[14] Gouvernement du Yukon – CanLii. Loi sur la protection et la gestion des renseignements médicaux (LPGRM YN). https://www.canlii.org/en/yk/laws/stat/sy-2013-c-16/latest/sy-2013-c-16.pdf
Synthèse et analyse concise de la Loi HIPAA : législation américaine relative à la confidentialité des données sur la santé
La Health Insurance Portability and Accountability Act (HIPAA)1,2 est une loi complexe et technique promulguée aux États-Unis d’Amérique en 2024. La HIPAA vise principalement à :
- Protéger les informations médicales confidentielles des patients contre toute divulgation sans leur consentement ou leur connaissance.
- Veiller à ce que les personnes puissent conserver leur couverture d’assurance maladie lorsqu’elles changent ou perdent leurs emplois.
- Établir des normes pour l’échange électronique, la confidentialité et la sécurité des renseignements médicaux.
La loi HIPAA englobe une vaste gamme de règles et de réglementations, notamment :
- Règle de confidentialité : protège la confidentialité des informations médicales identifiables individuellement.
- Règle de sécurité : définit des normes pour la sécurité des informations médicales électroniques protégées.
- Règle de notification des violations : exige que les entités couvertes et les partenaires commerciaux fournissent une notification suite à une violation d’informations médicales protégées non sécurisées.
Le respect judicieux de la Loi HIPAA est essentiel pour les prestataires de soins de santé, les assureurs et toute entité américaine ou étrangère qui traite des informations médicales protégées (IMP). La Loi HIPAA est une législation assez complexe et technique, mais elle garantit fondamentalement que les informations médicales des patients restent confidentielles et sécurisées.
Quelques éléments distinctifs de la Loi américaine HIPAA
- Règle de confidentialité :
- Objectif : protéger la confidentialité des informations médicales des individus.
- Champ d’application : s’applique aux régimes d’assurance maladie, aux centres d’échange de données sur les soins de santé et aux prestataires de soins de santé.
- Exigences : limiter l’utilisation et la divulgation des informations médicales protégées (IMP) sans le consentement des patients.
- Règle de sécurité :
- Objectif : garantir la confidentialité, l’intégrité et la disponibilité des informations médicales électroniques protégées (e-IMP).
- Champ d’application : concerne les e-IMP créées, reçues, utilisées ou conservées par les entités couvertes.
- Exigences : Comprend des mesures de protection administratives, physiques et techniques pour protéger les e-IMP.
- Règle de notification des violations :
- Objectif : rendre obligatoire la notification aux individus, au ministère américain de la Santé et des Services sociaux (HHS) et, dans certains cas, aux médias lorsqu’une violation des IMP non sécurisées se produit.
- Champ d’application : S’applique aux entités couvertes et à leurs partenaires commerciaux.
- Exigences : directives précises sur le calendrier, le contenu et la manière d’envoyer des notifications.
- Règle d’application :
- Objectif : établir des procédures d’enquête et d’imposition de sanctions pour les violations de la Loi HIPAA.
- Champ d’application : s’applique aux entités couvertes et aux partenaires commerciaux.
- Exigences : comprend des dispositions relatives aux examens de conformité, aux enquêtes sur les plaintes et aux sanctions pécuniaires civiles.
- Règle omnibus :
- Objectif : mettre en œuvre et étendre les dispositions de la Loi HIPAA.
- Champ d’application : renforce les protections de confidentialité et de sécurité pour les IMP.
- Exigences : étends les exigences aux partenaires commerciaux et améliore les droits des patients.
Brève dissection de la Loi américaine HIPAA
Pour les besoins de notre survol général, voici une brève dissection de la Loi américaine HIPAA :
- Impact sur les soins de santé : la loi HIPAA a eu un impact considérable sur la manière dont les organisations de soins de santé gèrent les informations des patients. Elle a créé un cadre pour préserver la confidentialité et la sécurité des informations de santé.
- Défis : les organisations sont confrontées à des défis en matière de conformité, comme s’adapter à l’évolution des réglementations et s’assurer que tous les employés sont formés aux exigences de la Loi HIPAA.
- Avantages : les patients ont un meilleur contrôle sur leurs informations de santé personnelles, ce qui accroît leur confiance dans les prestataires de soins de santé.
- Intégration technologique : en raison de la croissance des dossiers médicaux électroniques (DME), les mesures de sécurité de la Loi HIPAA sont décisives pour protéger les données des patients contre les cybermenaces et les attaques de rançongiciels.
Dans son ensemble, la Loi HIPAA joue un rôle essentiel dans la protection des informations des patients et dans la garantie que les prestataires de soins de santé maintiennent des normes élevées de confidentialité, de surveillance, de prudence et de sécurité.
Importants développements à venir de la Loi HIPAA
Par rapport aux États-Unis3, l’avenir de la confidentialité des informations médicales est sur le point de connaître des développements significatifs, dont certains sont résumés ci-après :
- Propositions de mise à jour de la règle de sécurité HIPAA : le ministère américain de la Santé et des Services sociaux (HHS) devrait proposer des mises à jour des règles de sécurité HIPAA, ce qui pourrait modifier considérablement les obligations de sécurité des entités réglementées par HIPAA.
- Lois des États réglementant les informations relatives à la santé : il est probable que davantage d’États adoptent des lois réglementant les données de santé des consommateurs. Par exemple : Washington, DC et le Michigan ont présenté des projets de loi visant à protéger les données de santé et de santé reproductive.
- Contestations judiciaires de la règle de confidentialité HIPAA : des contestations judiciaires sont en cours concernant les informations sur les soins de reproduction, avec des poursuites judiciaires conséquentes prévues début 2025.
- Évolution de la confidentialité génétique au niveau des États : d’autres États devraient proposer des projets de loi réglementant l’utilisation des informations génétiques des consommateurs.
- Examen minutieux de la FTC : La Federal Trade Commission (FTC) devrait continuer à examiner minutieusement l’utilisation et la divulgation des informations de santé par les entreprises de santé numérique, en particulier à des fins publicitaires.
[1] Authenticated U.S. Government Information – The U.S. Government Printing Office (GPO) – The U.S. House of Congress. Health Insurance Portability and Accountability Act (HIPAA) of 2024. https://www.hhs.gov/blog/2025/01/07/2024-hipaa-accomplishments-wrap-up.html
[2] U.S. Department of Health and Human Services (HHS) – U.S. Office for Civil Rights. Health Information Privacy in Compliance with the HIPAA. https://www.hhs.gov/hipaa/index.html
[3] Libbie Canter and Elizabeth Brim. Health Privacy Developments to Watch in 2025: Updates on Developments in Data Privacy and Cybersecurity. Inside Privacy. Publication date: the 12th of December 2024. https://www.insideprivacy.com/health-privacy/health-privacy-developments-to-watch-in-2025/?form=MG0AV3
Conclusion
Comment la confidentialité des données sur la santé évoluera-t-elle au Canada? L’avenir de la confidentialité des données sur la santé au Canada semble prometteur, avec un certain nombre de développements stratégiques à l’horizon, lesquels sont abrégés ci-dessous :
- Systèmes de santé numériques améliorés : il existe une forte volonté de moderniser les systèmes d’information sur les soins de santé afin d’améliorer l’accès aux dossiers de santé électroniques. Cela comprend des initiatives permettant aux patients d’accéder à leurs informations de santé en ligne, ce qui peut conduire à de meilleures expériences pour les patients et à des soins plus efficaces.
- Soins centrés sur le patient : les Canadiens et Canadiennes exigent de plus en plus un système de santé interconnecté et centré sur le patient. Cela signifie que les informations sur la santé doivent suivre de manière transparente d’un fournisseur de soins de santé à un autre, ce qui permet aux patients de jouer un rôle plus actif dans la gestion de leur santé.
- Protection de la vie privée : Santé Canada s’est engagée à améliorer la protection de la vie privée en vertu de la Loi sur l’accès à l’information et de la Loi sur la protection des renseignements personnels. Cela comprend des efforts pour améliorer la transparence, gérer les atteintes à la vie privée et garantir que les informations personnelles sur la santé sont partagées en toute sécurité entre les fournisseurs de soins de santé. De plus, le projet de loi C-271, également connu sous le nom de Loi de 2022 sur la mise en œuvre de la Charte du numérique, était une proposition de loi fédérale au Canada visant à renforcer la protection de la vie privée et à réglementer l’intelligence artificielle (IA). Le projet de loi était constitué de trois éléments clés, notamment : la Loi sur la protection de la vie privée des consommateurs, la Loi sur l’intelligence artificielle et les données et la Loi sur le Tribunal de la protection des renseignements personnels et des données. Néanmoins, en raison de la prorogation du Parlement du Canada jusqu’au 24 mars 2025, le projet de loi C-27 est effectivement « mort », ce qui signifie qu’il ne sera pas poursuivi dans sa forme actuelle.
- Innovations technologiques : l’adoption des technologies innovantes, telles que les ordonnances électroniques et les solutions de santé numériques, devrait continuer de croître. Ces technologies améliorent non seulement la commodité pour les patients, mais elles réduisent également les dépenses administratives des prestataires de soins de santé.
[1] Gouvernement du Canada – Innovation, Sciences et Développement économique Canada. Sommaire du Projet de loi C-27 : Loi de 2022 sur la mise en œuvre de la Chartre du numérique. https://ised-isde.canada.ca/site/innover-meilleur-canada/fr/charte-canadienne-numerique/sommaire-projet-loi-loi-2020-mise-oeuvre-charte-numerique
Ressources et références
Joseph C. Segen, MD. McGraw-Hill Concise Dictionary of Modern Medicine. Paperback 1st Edition published on the 17th of November 2006 by McGraw-Hill Professional Publishing, Two Penn Plaza, New York, USA, 765 pages. https://openlibrary.org/books/OL18513143M/Concise_dictionary_of_modern_medicine
Ian P. McLoughlin, Karin Garrety & Rob Wilson. The Digitalization of Health Care: Electronic Records and the Disruption of Moral Orders. Hardcover 1st Edition published on the 2nd of April 2017 by Oxford University Press, Oxford, UK, 212 pages. https://global.oup.com/academic/product/the-digitalization-of-health-care-9780198744139?qn
Government of Alberta – Office of the Information and Privacy Commissioner of Alberta. Government Legislation Directorate. Health Information Act (HIA AB). https://oipc.ab.ca/legislation/hia/?form=MG0AV3
Government of British Columbia – British Columbia Laws. E-Health Act: Personal Health Information Access and Protection of Privacy Act (PHIAPPA BC). https://www.bclaws.gov.bc.ca/civix/document/id/complete/statreg/00_08038_01?form=MG0AV3
Gouvernement du Manitoba – Ministère de la Santé du Manitoba. Loi sur les renseignements médicaux personnels (LRMP MAN.) https://web2.gov.mb.ca/laws/statutes/ccsm/_pdf.php?cap=p33.5
Gouvernement du Nouveau-Brunswick – Ministère de la Santé. Loi sur la protection et l’accès des renseignements personnels sur la santé LPARPS N.-B.) https://lois.gnb.ca/fr/pdf/lc/P-7.05.pdf
Government of Newfoundland and Labrador – Health and Community Services. Personal Health Information Act (PHIA NL). https://www.gov.nl.ca/hcs/phia/?form=MG0AV3
Government of Nova Scotia – Department of Health and Wellness. Personal Health Information Act (PHIA NS). https://novascotia.ca/DHW/PHIA/?form=MG0AV3
Gouvernement des Territoires du Nord-Ouest – Ministère de la Justice. Loi sur les renseignements sur la santé (LRSS T.N.-O) https://www.justice.gov.nt.ca/en/files/legislation/health-information/health-information.a.pdf
Commissariat à la protection de la vie privée du Canada – Loi sur la protection des renseignements personnels au Canada. Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/lois-sur-la-protection-des-renseignements-personnels-au-canada/la-loi-sur-la-protection-des-renseignements-personnels-et-les-documents-electroniques-lprpde/lprpde_survol/
Gouvernement de l’Ontario – Lois et statuts de l’Ontario. Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS ONT.) https://www.ontario.ca/lois/loi/04p03
Government of Prince Edward Island – Legislative Counsel Office. Health Information Act (HIA PEI). https://www.princeedwardisland.ca/sites/default/files/legislation/h-01-41-health_information_act.pdf?form=MG0AV3
Gouvernement du Québec – Assemblée nationale du Québec. Projet de loi no 3 du Québec – Loi concernant les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives.
- https://www.assnat.qc.ca/fr/travaux-parlementaires/projets-loi/projet-loi-3-43-1.html
- https://www.publicationsduquebec.gouv.qc.ca/fileadmin/Fichiers_client/lois_et_reglements/LoisAnnuelles/en/2023/2023C5A.PDF?form=MG0AV3
Gouvernement du Québec – Assemblée nationale du Québec. Projet de loi no 64 – Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. https://www.canlii.org/fr/qc/legis/loisa/lq-2021-c-25/derniere/lq-2021-c-25.pdf
Government of Saskatchewan – Office of the Saskatchewan Information and Privacy Commissioner. The Health Information Protection Act (HIPA SK). https://oipc.sk.ca/legislation-main/hipa/?form=MG0AV3
Gouvernement du Yukon – CanLii. Loi sur la protection et la gestion des renseignements médicaux (LPGRM YN). https://www.canlii.org/en/yk/laws/stat/sy-2013-c-16/latest/sy-2013-c-16.pdf
Authenticated U.S. Government Information – The U.S. Government Printing Office (GPO) – The U.S. House of Congress. Health Insurance Portability and Accountability Act (HIPAA) of 2024. https://www.hhs.gov/blog/2025/01/07/2024-hipaa-accomplishments-wrap-up.html
U.S. Department of Health and Human Services (HHS) – U.S. Office for Civil Rights. Health Information Privacy in Compliance with the HIPAA. https://www.hhs.gov/hipaa/index.html
Libbie Canter and Elizabeth Brim. Health Privacy Developments to Watch in 2025: Updates on Developments in Data Privacy and Cybersecurity. Inside Privacy. Publication date: the 12th of December 2024. https://www.insideprivacy.com/health-privacy/health-privacy-developments-to-watch-in-2025/?form=MG0AV3
Gouvernement du Canada – Innovation, Sciences et Développement économique Canada. Sommaire du Projet de loi C-27 : Loi de 2022 sur la mise en œuvre de la Chartre du numérique. https://ised-isde.canada.ca/site/innover-meilleur-canada/fr/charte-canadienne-numerique/sommaire-projet-loi-loi-2020-mise-oeuvre-charte-numerique
Contributions
Nous remercions en particulier le Conseil national de recherches du Canada (CNRC) pour son soutien financier par le biais de son Programme d’aide à la recherche industrielle (PARI).
Éditeur en chef : Alan Bernardi, SSCP, PMP, Auditeur principal pour ISO 27001 et ISO 27701
Auteur, informaticien & traducteur professionnel certifié :
Ravi Jay Gunnoo (C.P.T. ISO 17100)
B.Sc. Informatique & Cybersécurité, Université McGill
B.Sc. & M.A. Traduction Professionnelle, Université de Montréal