Méthode 20-9

Adoption

Date : 2022-04-20

Instance d'approbation : Secrétaire générale de l'Université

Service responsable : Cabinet de la secrétaire générale

BUT

1. La présente méthode a pour but d’énoncer les responsabilités des Dépositaires de renseignements sur la santé de l’Université et de leurs Mandataires respectifs quant au traitement approprié de ces renseignements selon la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS).

INTERPRÉTATION

2. La présente méthode doit être interprétée à la lumière des obligations de l’Université selon la LPRPS et le Règlement 90 – Accès à l’information et protection des renseignements personnels.
3. Les mots et les expressions commençant par une majuscule qui sont utilisés dans cette méthode sont définis dans le Règlement 90 ou dans le présent document.

PORTÉE

4. La présente méthode s’applique à tous les Dépositaires de renseignements sur la santé et leurs Mandataires travaillant à l’Université d’Ottawa lorsqu’ils traitent des Renseignements personnels sur la santé aux fins de la prestation de Soins de santé.
5. La présente méthode ne s’applique pas au traitement de l’information médicale ou sur les Soins de santé recueillie à d’autres fins que la prestation de Soins de santé (p. ex. les accommodements scolaires). Voir le Règlement 90.

DÉFINITIONS

6. Les définitions qui suivent ne sont pas nécessairement exhaustives; il peut exister des versions légales plus complètes dans la LPRPS ou d’autres lois applicables aux Renseignements personnels sur la santé.

Consentement : S’entend d’une autorisation écrite ou verbale pour la prestation de Soins de santé à une personne et pour la collecte, l’utilisation et la divulgation de ses renseignements personnels sur sa santé. Le Consentement peut être exprès ou implicite. Pour être valide, le Consentement doit porter sur le traitement, être éclairé, être donné volontairement, et ne doit pas être obtenu au moyen d’une assertion inexacte ni par fraude.

Dépositaire de renseignements sur la santé (DRS) : La définition est fournie dans la LPRPS et englobe toute personne au service de l’Université ou embauchée par celle-ci qui a la garde ou le contrôle de Renseignements personnels sur la santé, est une praticienne ou un praticien de la santé, est membre d’une profession de la santé réglementée et, dans le cadre de ses fonctions à l’Université, fournit des Soins de santé. Pour qu’une personne soit reconnue comme DRS, elle doit satisfaire aux exigences de la définition, et ses fonctions à l’Université doivent comprendre la prestation de Soins de santé, conformément à la LPRPS.

Loi sur la protection des renseignements personnels sur la santé (LPRPS) : S’entend de la Loi de 2004 sur la protection des renseignements personnels sur la santé, Lois de l’Ontario 2004, chapitre 3, annexe A, y compris ses règlements d’application et toute loi ou tout règlement qui pourraient les remplacer, ainsi que leurs modifications successives.

Mandataire : S’entend de quiconque représente une ou un Dépositaire de renseignements sur la santé, y compris quelqu’un qui est autorisé par cette dernière à Recueillir, utiliser et divulguer des Renseignements personnels sur la santé au nom de celle-ci et à des fins définies par elle.

Recueillir : Relativement aux Renseignements personnels sur la santé, s’entend du fait de les rassembler, de les acquérir, de les recevoir ou de les obtenir par quelque moyen que ce soit et de quelque source que ce soit. Le terme « collecte » a un sens correspondant.

Renseignements personnels sur la santé (RPS) : S’entend de tout renseignement relatif à la santé d’une personne qui permet de l’identifier, y compris, par exemple, des renseignements sur sa santé physique ou mentale, ses antécédents familiaux, ses paiements ou son admissibilité aux Soins de santé, et son numéro de carte santé.

Responsable opérationnel : DRS qui occupe le poste de niveau décisionnel en matière de gestion le plus élevé au sein d’une unité et qui est chargée de veiller au respect de la présente méthode. Voir l’annexe pour obtenir des exemples de responsables opérationnels dans des unités de l’Université d’Ottawa.

Soins de santé : S’entend des activités (observation, examen, évaluation), des soins, des services ou des actes médicaux en lien avec la santé qui visent, selon le cas, à établir un diagnostic, à fournir un traitement ou à maintenir l’état de santé physique ou mental d’une personne, à prévenir une maladie ou une blessure, à promouvoir la santé ou à fournir des soins palliatifs.

RESPONSABILITÉS

7. Toute personne qui a accès à des RPS doit prendre des mesures raisonnables pour assurer leur confidentialité.
8. La personne occupant la fonction de chef de la protection de la vie privée doit :
   • déterminer ce qui constitue une formation adéquate en matière de protection de la vie privée et s’assurer que le matériel de formation est approprié, exact et à jour;
   • élaborer et réviser des documents d’orientation ainsi que des outils conviviaux relatifs aux traitements des RPS, afin d’en assurer l’harmonisation avec la présente méthode et d’appuyer la mise en œuvre de cette dernière;
   • rédiger et présenter le rapport statistique annuel conformément aux exigences de la LPRPS;
   • aviser la ou le chef de la sécurité de l’information de toute atteinte à la vie privée qui constitue une infraction aux règlements et méthodes de l’Université en matière de sécurité de l’information, afin qu’une enquête appropriée puisse être menée;
   • lorsque la collecte de documents contenant des RPS engendre des risques importants d’atteinte à la vie privée, demander à la ou au DRS d’effectuer une évaluation des facteurs relatifs à la vie privée;
   • aviser les personnes visées par toute atteinte à la vie privée impliquant des RPS, conformément à la LPRPS;
   • aviser la ou le commissaire à l’information et à la protection de la vie privée de l’Ontario de toute atteinte à la vie privée impliquant des RPS dans les cas suivants :
     1. Utilisation ou divulgation volontaire sans autorisation;
     2. Renseignements volés;
     3. Autre utilisation ou divulgation sans autorisation après une atteinte à la vie privée;
     4. Contexte d’atteintes à la vie privée similaires;
     5. Mesures disciplinaires prises contre une personne membre d’un ordre professionnel;
     6. Mesures disciplinaires prises contre une personne qui n’est pas membre d’un ordre professionnel;
     7. Atteinte importante à la vie privée.
9. La personne agissant à titre de Responsable opérationnel doit se conformer à ce qui suit et veiller également à ce que les DRS et leurs Mandataires au sein des unités fassent de même :
   • Recueillir uniquement les RPS qui sont raisonnablement nécessaires pour la prestation des Soins de santé;
   • prendre des mesures raisonnables pour s’assurer que les RPS recueillis sont exacts, complets et à jour, de sorte qu’ils peuvent servir aux fins prévues;
   • utiliser son jugement professionnel pour décider du niveau d’exactitude des RPS requis (dans le cas où une personne reçoit un traitement, un niveau plus élevé d’exactitude et d’exhaustivité est nécessaire);
   • élaborer, documenter et mettre en œuvre des politiques, procédures et lignes directrices propres au département ou à l’unité, le cas échéant, en conformité avec la présente méthode et en consultation avec la ou le chef de la protection de la vie privée;
   • prendre des mesures raisonnables pour s’assurer que les documents contenant des RPS qui sont recueillis ou reçus conformément à la présente méthode sont protégés contre le vol, la perte, l’accès ou la modification non autorisés ainsi que l’utilisation ou la divulgation inappropriée, que ces actes soient intentionnels ou non;
   • signaler toute atteinte à la vie privée impliquant des RPS à la ou au chef de la protection de la vie privée dès que possible;
   • signaler toute atteinte à la vie privée impliquant des RPS à la ou au chef de la sécurité de l’information;
   • effectuer une évaluation des facteurs relatifs à la vie privée, conformément aux directives de la ou du chef de la protection de la vie privée;
   • s’assurer que toutes les autres personnes engagées par son département ou son unité ou travaillant avec celui-ci ou celle-ci connaissent les exigences de la présente méthode et ont reçu une formation appropriée;
   • revoir périodiquement l’accès physique ou électronique aux RPS des utilisatrices et utilisateurs individuels afin de déterminer si l’accès consenti à certaines personnes est toujours nécessaire et approprié compte tenu de leur rôle ou de leur statut à l’Université;
   • surveiller les types d’événements suivants au sein de l’organisation afin de déterminer si l’accès des utilisatrices et utilisateurs individuels aux RPS doit être modifié ou révoqué :
     1. Cessation d’emploi;
     2. Congé prolongé;
     3. Changement de statut ou de tâches.
   • renseigner son personnel et ses mandataires sur la Méthode concernant la protection de la vie privée et la confidentialité des renseignements personnels.
10. Les DRS et leurs Mandataires doivent :
    • Recueillir uniquement les RPS qui sont raisonnablement nécessaires pour la prestation des Soins de santé;
    • consulter, utiliser ou divulguer uniquement les RPS nécessaires à l’exercice de leurs fonctions, à moins d’avoir une autorisation expresse de la personne agissant à titre de Responsable opérationnel pour assurer le respect de la présente méthode;
    • prendre des mesures raisonnables pour s’assurer que les RPS recueillis sont exacts, complets et à jour, de sorte qu’ils peuvent servir aux fins prévues;
    • s’assurer que les RPS sous leur garde et leur contrôle sont utilisés seulement pour accomplir des tâches au nom de la ou du DRS et traités conformément à la présente méthode;
    • suivre une formation sur la protection des renseignements personnels, selon les recommandations de la ou du chef de la protection de la vie privée;
    • limiter les atteintes à la vie privée et les signaler immédiatement à la ou au DRS ainsi qu’à la ou au chef de la protection de la vie privée;
    • se conformer à la LPRPS, à la présente méthode ainsi qu’à toutes les autres consignes et directives émises conformément à celles-ci.

CONSENTEMENT RELATIF AUX RENSEIGNEMENTS PERSONNELS SUR LA SANTÉ

11. Le Consentement relatif à la collecte, à l’utilisation ou à la divulgation de RPS peut être exprès ou implicite. Chaque DRS peut présumer que la demande ou la réception de Soins de santé par une personne constitue un Consentement implicite, à moins que cette personne n’ait exprimé explicitement le contraire.
12. Les RPS peuvent être utilisés ou divulgués sans Consentement si la loi l’autorise ou l’exige.
13. Le Consentement doit être exprès lorsque la ou le DRS divulgue des RPS à une unité, à un département, à une personne qui n’est pas une ou un DRS, ou à une ou un Mandataire de DRS, ou lorsque la divulgation ne concerne pas la prestation de Soins de santé.
14. Le Consentement peut être demandé de différentes manières, selon les circonstances et le type de renseignements recueillis, et donné verbalement ou par écrit. Lorsque le Consentement est donné verbalement, l’échange doit être documenté. En cas d’incapacité certifiée de la personne, sa mandataire spéciale ou son mandataire spécial peut donner le Consentement en son nom.
15. Une personne peut retirer son Consentement à tout moment, sous réserve des restrictions légales et d’un préavis raisonnable. Le retrait du Consentement n’est pas rétroactif. Chaque DRS doit informer la personne des conséquences d’un tel retrait.

LIMITES À LA CONFIDENTIALITÉ

16. Bien qu’elles soient rares, il existe des situations où il peut être nécessaire de divulguer des RPS sans Consentement. Cela peut se produire dans les situations suivantes :
    1. Lorsque, selon le bon jugement de la ou du DRS ou de sa ou son Mandataire, il existe un risque important pour votre santé et votre sécurité, ou celles des autres membres de la communauté universitaire ou de la collectivité en général, certains de vos renseignements personnels peuvent être communiqués à des parties appropriées (Service de la protection, comité de gestion des personnes présentant des comportements inquiétants, service de police, etc.), afin d’assurer votre sécurité ou celle des autres. En pareil cas, la nature et le détail des renseignements communiqués dépendront des circonstances particulières, et seuls les renseignements minimaux nécessaires seront divulgués.
    2. Si une ordonnance d’une cour ou d’un tribunal exige la divulgation des renseignements d’une étudiante ou d’un étudiant, l’Université devra s’y conformer.
    3. Tel que la loi le permet ou l’exige autrement. Cette liste n’est pas exhaustive et est susceptible d’être modifiée, par exemple :
       1. si la divulgation des RPS est raisonnablement nécessaire à la prestation des Soins de santé et que le Consentement ne peut être obtenu en temps voulu, à moins que la personne n’ait expressément donné des consignes à l’effet contraire;
       2. pour que le ministère de la Santé et des Soins de longue durée accorde du financement à la personne dépositaire afin d’assurer la prestation des Soins de santé;
       3. dans le but de communiquer avec un proche ou encore une mandataire spéciale ou un mandataire spécial potentiel d’une personne blessée, frappée d’incapacité ou malade qui est incapable de donner personnellement son Consentement;
       4. au moment de transférer des documents vers un lieu de stockage à des fins de conservation;
       5. à des fins d’amélioration de la qualité.

COLLECTE, UTILISATION ET DIVULGATION DE RENSEIGNEMENTS PERSONNELS SUR LA SANTÉ

17. Chaque DRS doit déterminer les fins pour lesquelles les RPS sont recueillis dans son service. Ces fins doivent être communiquées à la personne concernée au moyen d’une déclaration publique écrite. La déclaration doit comprendre ce qui suit :
    • une description générale des pratiques en matière de gestion de l’information de la ou du DRS;
    • de l’information sur la façon dont une personne peut avoir accès à un document contenant des RPS et y apporter des rectifications;
    • un renvoi au Règlement 90 et à la présente méthode;
    • une indication précisant si les RPS figurent dans un dossier médical électronique (DME);
    • une indication sur la façon de communiquer avec la ou le DRS;
    • de l’information sur la façon de déposer une plainte auprès de la ou du DRS et de la ou du commissaire à l’information et à la protection de la vie privée en vertu de la LPRPS.
18. Les RPS recueillis ne doivent pas être utilisés à des fins non précisées antérieurement. Les nouvelles fins doivent être précisées avant l’utilisation. À moins que les nouvelles fins ne soient prévues par une loi, il faut obtenir le Consentement de la personne concernée avant d’utiliser les renseignements à cette nouvelle fin.
19. Les RPS ne doivent être conservés que le temps nécessaire pour la réalisation des fins déterminées, conformément au calendrier de conservation de l’Université ou aux exigences des organismes d’attribution du droit d’exercice ou de réglementation des professionnelles et professionnels de la santé.
20. Chaque DRS peut Recueillir indirectement des RPS lorsque, par exemple :
    1. la personne donne son Consentement;
    2. la collecte est nécessaire à la prestation de Soins de santé et il n’est pas possible d’obtenir directement de la personne concernée des RPS dont l’exactitude et l’intégralité sont certaines;
    3. la collecte est nécessaire à la prestation de Soins de santé et il n’est pas possible d’obtenir directement de la personne concernée les RPS en temps opportun;
    4. la personne dépositaire recueille les RPS à des fins de recherches auprès d’une personne qui n’est pas dépositaire, avec l’approbation du comité d’éthique de la recherche compétent;
    5. la loi exige ou autorise la collecte indirecte.

ACCÈS AUX RPS ET RECTIFICATION

21. Les DRS peuvent, à leur discrétion, autoriser des personnes à avoir accès de manière informelle à des RPS les concernant.
22. Les personnes qui veulent avoir accès à leurs RPS peuvent présenter une demande au Bureau de l’accès à l’information et de la protection de la vie privée de l’Université; cette demande sera traitée conformément à la LPRPS ou à la LAIPVP ainsi qu’à la Méthode 20-5 – Traitement des demandes d’accès à l’information.
23. Les personnes souhaitant que des rectifications officielles soient apportées à leurs RPS doivent présenter une demande au Bureau de l’accès à l’information et de la protection de la vie privée de l’Université; cette demande sera traitée conformément à la LPRPS ou à la LAIPVP.
24. Les DRS peuvent refuser de permettre aux personnes concernées d’accéder à leurs RPS, en tout ou en partie, si :
    1. le dossier contient des données brutes tirées de tests ou d’évaluations psychologiques normalisés;
    2. l’identité de la personne qui fait la demande ou son autorité en la matière ne peut être prouvée;
    3. les renseignements contenus dans le dossier ont été recueillis ou produits en prévision d’une inspection, d’une enquête ou d’une activité semblable qui n’est pas terminée;
    4. on peut raisonnablement s’attendre à ce que le fait de donner l’accès risque de causer des blessures graves à la patiente ou au patient ou à autrui, auquel cas il est permis de consulter une ou un médecin ou psychologue avant de refuser l’accès à l’information;
    5. la demande d’accès aux RPS est frivole, vexatoire ou présentée de mauvaise foi.
25. Les DRS peuvent refuser d’apporter une rectification à un dossier de RPS qui a été mis à la disposition de la personne concernée :
    1. si le dossier n’a pas été produit par des DRS de l’Université d’Ottawa ou leurs Mandataires;
    2. s’ils n’ont pas suffisamment de connaissances, d’expertise ou de pouvoir pour faire la rectification;
    3. si la patiente ou le patient n’a pas fait la preuve que le dossier est inexact ou incomplet;
    4. si la patiente ou le patient n’a pas fourni l’information nécessaire pour faire la rectification ou n’y a pas eu accès;
    5. si l’information consiste en une opinion ou observation professionnelle faite de bonne foi au sujet d’une patiente ou d’un patient;
    6. si la demande de rectification est frivole, vexatoire ou présentée de mauvaise foi.

PROTECTION DES RPS

26. Les RPS sous toutes leurs formes (électroniques, imprimés, verbaux ou autres) doivent être protégés tout au long de leur cycle de vie (collecte, utilisation, divulgation, conservation, élimination) par des mesures raisonnables conformément au Règlement 117 – Classification et manutention de l'information, à la réglementation et aux autres exigences applicables.
27. Chaque DRS doit éliminer ou détruire les RPS conformément à l’Annexe J — Élimination des biens de TI et à la Méthode 20-4, afin d’empêcher tout accès non autorisé aux renseignements et de s’assurer qu’ils sont détruits de façon à ne pas pouvoir être reconstitués ni récupérés.
28. En cas de perte, de vol, ou d’utilisation ou de divulgation non autorisée de RPS, la ou le DRS responsable doit signaler l’atteinte à la vie privée (qu’elle soit confirmée ou soupçonnée) au BAIPVP, et celle-ci doit être traitée conformément à la Méthode 20-8 – Protocole d'intervention en cas d'atteinte à la vie privée.

DÉPÔT D’UNE PLAINTE POUR NON-CONFORMITÉ

29. La ou le chef de la protection de la vie privée de l’Université enquêtera sur toute plainte concernant la gestion des RPS sous la garde ou le contrôle d’une ou d’un DRS ou de ses Mandataires, conformément à la Méthode 20-7 – Traitement des plaintes relatives à la vie privée. Si la validité de la plainte est confirmée, la ou le chef de la protection de la vie privée mettra en œuvre des mesures correctives ou présentera des recommandations à l’autorité concernée à l’Université, s’il y a lieu et selon les circonstances.

MODIFICATIONS

30. La secrétaire générale de l’Université peut autoriser des exceptions ou apporter des modifications à la présente méthode.

ANNEXE : Responsables opérationnels du respect de la présente méthode

Unité	Responsable opérationnel du respect de la présente méthode
Centre de santé et mieux-être étudiant Service de santé Service de counselling	Directrice médicale ou directeur médical
Santé et mieux-être (Ressources humaines)	Directrice ou directeur, Santé et mieux-être
Centre de recherche et des services psychologiques (CRSP)	Directrice ou directeur, Centre de recherche et des services psychologiques (CRSP)