À compter du 31 août 2018, en Alberta, les dépositaires de renseignements personnels sur la santé seront tenus, en vertu de la Health Information Act (la « HIA »), de donner avis de toute atteinte à la sécurité des renseignements sur la santé qui présente un risque de préjudice pour un individu. En précisant les obligations à remplir en cas d’atteinte à la sécurité, la HIA s’ajoute au nombre croissant de régimes législatifs canadiens qui imposent des obligations d’avis et de déclaration en ce qui a trait à toute atteinte à la sécurité de l’information. Les dépositaires assujettis à la HIA devraient déterminer leur capacité à répondre à ces exigences et apporter les changements nécessaires pour s’y conformer.

Contexte

La HIA réglemente la collecte, l’utilisation et la communication de renseignements sur la santé dont un « dépositaire » (p. ex., l’exploitant d’un centre d’hébergement ou d’un service d’ambulance, un conseil de santé provincial, une autorité sanitaire régionale ou un conseil de santé communautaire) ou une « personne liée » à un dépositaire (p. ex., un individu travaillant ou effectuant des services pour un dépositaire ou un fournisseur de services de santé qui admet et traite des patients dans un hôpital désigné) a la garde ou le contrôle en Alberta.

En 2014, le Statutes Amendment Act, 2014 est venu modifier la HIA pour qu’y soient ajoutées des obligations d’avis en cas d’atteinte à la sécurité. En mai 2018, le gouvernement de l’Alberta a pris un décret pour les mettre en vigueur à compter du 31 août 2018. Il a par ailleurs publié le Health Information Amendment Regulation afin de les préciser.

Obligations d’avis en cas d’atteinte

Voici un résumé des obligations d’avis en cas d’atteinte selon la HIA et son Health Information Regulation.

  1. Obligation du dépositaire de donner avis
  2. En cas de [traduction] « perte de renseignements identificatoires sur la santé dont il a la garde ou le contrôle ou encore [d’]accès non autorisé à ces données ou [de] communication non autorisée de celles-ci » qui se traduit par un « risque de préjudice » pour les individus visés, le dépositaire doit en aviser « dans les plus brefs délais » le commissaire à l’information et à la protection de la vie privée de l’Alberta, le ministre provincial de la Santé et l’individu identifié par ces renseignements médicaux.

  3. Perte, accès/communication non autorisé et risque de préjudice
  4. La HIA ne définit pas les notions de « perte », d’« accès non autorisé » et de « communication non autorisée » des renseignements sur la santé ni de « risque de préjudice », mais stipule qu’un dépositaire doit tenir compte de tous les facteurs pertinents, y compris les facteurs réglementaires, pour évaluer s’il existe un risque de préjudice. Les facteurs réglementaires énumérés sont les suivants :

      1. les renseignements ont été ou ont pu être communiqués à une personne ou cette dernière y a accès ou y a eu accès;
      2. les renseignements ont été ou ont pu être utilisés à mauvais escient, notamment à des fins d’usurpation d’identité ou de fraude;
      3. les renseignements pourraient causer de l’embarras ou un préjudice (physique, psychologique, financier ou lié à la réputation) à l’individu touché;
      4. l’incident a nui ou nuira à l’individu concerné quant à l’obtention de services de santé;
      5. il existe des circonstances qui permettent de limiter l’exposition à un risque de préjudice, par exemple lorsque les renseignements ont été suffisamment cryptés ou sécurisés dans un autre format électronique, lorsqu’ils ont été détruits ou rendus inaccessibles ou incompréhensibles, lorsqu’on n’y a pas accédé avant leur récupération ou encore lorsqu’un dépositaire qualifié (ou une personne liée à ce dernier) y a accédé ou les a reçus par erreur à une fin appropriée dans le cadre de ses fonctions et qu’il a rapidement pris les mesures qui s’imposaient à la suite de cet accès ou communication non autorisé.

    S’il est en mesure de démontrer qu’il n’y a pas eu accès ou utilisation de manière inappropriée au regard des facteurs réglementaires, le dépositaire des renseignements sur la santé n’est alors pas tenu de donner avis au commissaire, au ministre ni à l’individu concerné.

  5. Avis au commissaire
  6. Le dépositaire doit aviser par écrit le commissaire à l’information et à la vie privée de l’Alberta sous une forme approuvée par ce dernier en lui indiquant dans le détail l’information exigée, à savoir les circonstances de l’incident, les renseignements sur la santé concernés, les individus touchés, leur nombre et le risque de préjudice auquel ils sont exposés, les mesures prises pour limiter ce risque et d’autres incidents similaires à l’avenir ainsi que la façon dont les individus concernés ont été avertis.

  7. Avis au ministre
  8. Le dépositaire doit aviser par écrit le ministre de la Santé de l’Alberta sous une forme approuvée par ce dernier en lui indiquant dans le détail l’information exigée, à savoir les circonstances de l’incident, les renseignements sur la santé concernés, les individus touchés, leur nombre et le risque de préjudice auquel ils sont exposés, les mesures prises pour limiter ce risque et d’autres incidents similaires à l’avenir ainsi que la façon dont les individus concernés ont été avertis.

  9. Avis à l’individu touché
  10. Le dépositaire doit aviser par écrit l’individu dont les renseignements sur la santé permettent de l’identifier en lui indiquant dans le détail l’information exigée, à savoir les circonstances de l’incident, les renseignements sur la santé concernés, le risque de préjudice auquel il est exposé, les mesures prises et celles qu’il peut prendre lui-même pour limiter ce risque, un avis précisant qu’il peut demander au commissaire à l’information et à la vie privée de l’Alberta d’ouvrir une enquête sur l’incident ainsi que les coordonnées de ce dernier. Si le dépositaire considère qu’aviser un individu touché pourrait raisonnablement l’exposer à un risque de préjudice à sa santé psychologique ou physique, il peut décider de s’en abstenir; dans ce cas, il est tenu de prévenir le commissaire et d’expliquer les raisons de son choix.

  11. Obligations d’avis aux personnes liées aux dépositaires
  12. Une personne liée à un dépositaire (p. ex., un individu travaillant ou effectuant des services pour un dépositaire ou un fournisseur de services de santé qui admet et traite des patients dans un hôpital désigné) doit aviser ce dernier [traduction] « dans les plus brefs délais » de la « perte de renseignements identificatoires sur la santé dont il a la garde ou le contrôle, [de] l’accès non autorisé à ces données ou [de] la communication non autorisée de celles-ci ». Contrairement à ce qui est imposé aux dépositaires, il n’existe aucun seuil de « risque de préjudice » à partir duquel une personne liée à un dépositaire est tenue d’aviser ce dernier de la perte de renseignements identificatoires sur la santé dont il a la garde ou le contrôle, de l’accès non autorisé à ces données ou de la communication non autorisée de celles-ci.

    La personne liée doit aviser le dépositaire sous la forme établie par ce dernier. Si le dépositaire n’a donné aucune directive en la matière, elle doit l’informer par écrit en lui indiquant dans le détail les renseignements exigés sur les circonstances de l’incident.

  13. Application de la loi
  14. Tout dépositaire qui omet de prendre des mesures raisonnables [traduction] « pour assurer la protection administrative, technique et physique » de renseignements sur la santé contre tout « risque ou menace raisonnablement prévisible quant à leur sécurité ou à leur intégrité » ou de se conformer à ses obligations d’avis en cas d’atteinte à la sécurité peut se voir imposer une amende allant jusqu’à 50 000 $. De même, tout manquement à ces obligations par une personne liée en cas d’atteinte à la sécurité constitue une infraction qui pourrait se traduire par une amende du même montant. 

Autres obligations réglementaires  d’avis et de déclaration en cas d’atteinte à la sécurité

La HIA ajoute son nom à la liste de plus en plus longue des lois visant à assurer la protection des renseignements personnels et des renseignements personnels sur la santé au pays qui imposent des obligations d’avis et de déclaration concernant toute atteinte à la sécurité de l’information, parmi lesquelles :

  • la Loi de 2004 sur la protection des renseignements personnels sur la santé de l’Ontario

En vertu de la Loi de 2004 sur la protection des renseignements personnels sur la santé de l’Ontario, tout dépositaire de renseignements personnels sur la santé doit aviser les individus touchés « à la première occasion raisonnable » en cas de vol ou de perte de renseignements personnels sur la santé les concernant et dont il a la garde ou le contrôle ou encore d’utilisation ou de communication non autorisée de ces données. Il doit préciser dans l’avis que l’individu a le droit de porter plainte devant le commissaire à l’information et à la protection de la vie privée de l’Ontario. Par ailleurs, le dépositaire de renseignements sur la santé doit donner avis au commissaire dans diverses circonstances.

  • la Loi sur l’accès et la protection en matière de renseignements personnels sur la santé du Nouveau-Brunswick

Au Nouveau-Brunswick, la Loi sur l’accès et la protection en matière de renseignements personnels sur la santé exige qu’un dépositaire avise le commissaire et les individus touchés du vol, de la perte ou de l’élimination non conforme à la loi de leurs renseignements personnels sur la santé ou encore de la communication de ces données à une personne non autorisée ou de l’accès à ceux-ci par cette dernière, à moins que le dépositaire n’ait des motifs raisonnables de croire que le vol, la perte, l’élimination, la communication ou l’accès ne mènera pas à l’identification des individus touchés ni ne nuira à leur bien-être psychologique, physique, économique ou social.

  • la Personal Health Information Act de Terre-Neuve-et-Labrador

En vertu de la Personal Health Information Act de Terre-Neuve-et-Labrador, tout dépositaire de renseignements sur la santé doit aviser les individus touchés, à la première occasion raisonnable, du vol, de la perte ou de l’élimination non conforme à la loi de leurs renseignements personnels sur la santé ou encore de la communication de ces données à une personne non autorisée ou de l’accès à ceux-ci par cette dernière, à moins que le dépositaire n’ait des motifs raisonnables de croire que le vol, la perte, l’élimination non autorisée ou la communication inappropriée de ces renseignements ne nuira pas à l’obtention, par les individus touchés, de soins de santé ou d’autres avantages sociaux ni à leur bien-être psychologique, physique, économique ou social. De plus, le dépositaire doit donner avis au commissaire à l’information et à la protection de la vie privée s’il a des motifs raisonnables de croire qu’une [traduction] « atteinte substantielle » a eu lieu après avoir examiné les éléments prévus par le règlement, notamment la collecte, l’utilisation ou la communication non autorisée de renseignements personnels sur la santé.

  • la Personal Health Information Act de la Nouvelle-Écosse

La Personal Health Information Act de la Nouvelle-Écosse énonce que les dépositaires de renseignements sur la santé doivent aviser tout individu touché à la première occasion raisonnable s’il y a lieu de croire a) que des renseignements sur la santé de ce dernier ont été volés, perdus, utilisés, communiqués, copiés ou modifiés sans autorisation ou qu’on y a accédé également sans autorisation; b) que l’individu concerné risque de subir un préjudice ou de l’embarras. En revanche, ils ne sont pas tenus d’aviser l’individu s’ils sont en mesure de déterminer avec suffisamment de certitude a) que l’occurrence d’une atteinte à la sécurité de renseignements personnels sur la santé est peu probable; b) qu’il n’existe aucun risque de préjudice ni d’embarras pour l’individu, à condition qu’ils informent dès que possible l’agent de révision de leur constat.

  • la Personal Information Protection Act de l’Alberta

La Personal Information Protection Act de l’Alberta (la « PIPA ») stipule qu’une organisation qui a le contrôle de renseignements personnels doit, sans délai déraisonnable, aviser le commissaire à l’information et à la protection de la vie privée de la province de tout incident entraînant la perte de renseignements personnels, l’accès non autorisé à ceux-ci ou leur communication non autorisée s’il est raisonnable de penser qu’il présente [traduction] « un risque réel de préjudice grave » à l’endroit de l’individu touché. Bien que la PIPA ne précise pas ce que recouvre la notion de « préjudice grave », le document intitulé « Mandatory Breach Reporting Tool » (en anglais seulement) du commissaire laisse entendre qu’il convient d’analyser les circonstances de l’incident pertinentes afin de déterminer s’il existe un risque réel de préjudice grave en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») (voir ci-après).

  • la Loi sur la protection des renseignements personnels et les documents électroniques du Canada

À compter du 1er novembre 2018, la LPRPDE exigera de toute organisation victime d’une « atteinte aux mesures de sécurité » au Canada touchant des renseignements personnels sous son contrôle qu’elle tienne des registres réglementaires sur l’atteinte et, si cette dernière présente un « risque réel de préjudice grave » à l’endroit d’un individu, qu’elle la déclare immédiatement au commissaire à la protection de la vie privée du Canada et en avise les individus touchés ainsi que certaines organisations et institutions gouvernementales. La LPRPDE définit le « préjudice grave » comme « la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles ». Elle établit que les éléments pertinents servant à déterminer si une atteinte aux mesures de sécurité présente un risque réel de préjudice grave sont a) le degré de sensibilité des renseignements personnels en cause; b) la probabilité que les renseignements aient été mal utilisés ou soient en train ou sur le point de l’être; c) tout autre élément prévu par règlement (aucun n’étant prescrit à l’heure actuelle).

  • la Colombie-Britannique et le Québec

Les lois respectives de la Colombie-Britannique et du Québec sur la protection des renseignements personnels n’imposent actuellement aucune obligation relativement au signalement d’une atteinte. Toutefois, dans les deux provinces, les commissaires à la protection de la vie privée ont recommandé la modification de la loi en vigueur afin d’y faire figurer cette exigence. Ils ont également mis en place des directives en cas d’incident concernant les données selon lesquelles il convient d’en aviser les individus touchés, le commissaire à la protection de la vie privée et d’autres organisations.

Auteure

Katherine M. McNeill 
KMcNeill@blg.com
604.640.4150

 

Compétences

Respect de la vie privée et protection des renseignements personnels