Les RPS dans les courriels : comment les cliniques de santé canadiennes se trompent sur la LPRPS
Les cliniques de santé canadiennes envoient des renseignements personnels sur la santé par courriel des dizaines de fois par jour. La plupart de ces envois sont non chiffrés, non suivis et non conformes à la LPRPS. Voici ce que la loi exige réellement.
Le courriel qui part chaque matin
Dans la plupart des cliniques de santé canadiennes, la journée commence par une vague de courriels. Des lettres de demande de consultation partent vers des spécialistes. Des résultats de laboratoire sont transmis aux médecins prescripteurs. Des confirmations de rendez-vous accompagnées de codes de diagnostic partent vers des patients qui n'ont pas opté pour un portail patient. De la correspondance d'assurance contenant des antécédents de traitement part vers des administrateurs de régimes d'avantages sociaux.
La plupart de ces envois se font en texte clair, joints à un courriel ordinaire. Aucun chiffrement. Aucune expiration. Aucun suivi de qui ouvre ou transfère le message. Une fois qu'ils quittent le serveur de courriel de la clinique, les renseignements personnels sur la santé contenus dans ce message échappent dans les faits à tout contrôle.
La Loi sur la protection des renseignements personnels sur la santé de l'Ontario — la LPRPS — régit la façon dont les dépositaires de renseignements sur la santé traitent les renseignements personnels sur la santé. Elle s'applique aux médecins, aux pharmaciens, aux hôpitaux, aux laboratoires, aux dentistes et à une longue liste d'autres professionnels de la santé réglementés. Les exigences de la Loi en matière de communication électronique ne sont pas ambiguës, mais la conformité est inégale dans le secteur d'une manière qui surprendrait la plupart des patients.
Ce que dit la LPRPS au sujet de la transmission électronique
La LPRPS exige des dépositaires de renseignements sur la santé qu'ils prennent les mesures raisonnables dans les circonstances pour protéger les renseignements personnels sur la santé contre le vol, la perte et l'utilisation ou la communication non autorisées. Le Commissaire à l'information et à la protection de la vie privée de l'Ontario a constamment interprété cela comme signifiant que les RPS transmis par voie électronique doivent l'être au moyen de moyens offrant une protection raisonnable.
Une « protection raisonnable » dans un contexte de courriel signifie l'une de trois choses : le chiffrement, des plateformes de messagerie sécurisée dotées de contrôles d'accès et de journaux d'audit, ou — dans des circonstances limitées — une transmission lancée par le patient lorsque celui-ci a été averti des risques et a consenti à poursuivre malgré tout.
Un courriel Gmail ou Outlook ordinaire accompagné d'une pièce jointe PDF n'offre pas de protection raisonnable. Le courriel traverse plusieurs serveurs hors du contrôle du dépositaire, peut être stocké indéfiniment sur des serveurs aux États-Unis, ne peut être rappelé s'il est envoyé au mauvais destinataire et ne génère aucune piste de vérification. Le CIPVP a conclu que cela ne satisfait pas aux exigences de la LPRPS dans plusieurs ordonnances et rapports d'enquête.
Les trois manquements les plus courants concernant les RPS par courriel
Les lettres de demande de consultation avec antécédents cliniques complets. Lorsqu'un médecin de famille dirige un patient vers un spécialiste, la lettre de demande de consultation contient généralement le nom complet du patient, sa date de naissance, son numéro de carte d'assurance maladie, son diagnostic, sa liste de médicaments et ses antécédents cliniques pertinents. Ce document est presque toujours envoyé sous forme de pièce jointe de courriel non chiffrée vers la boîte de réception générale du spécialiste. Le personnel administratif du spécialiste l'ouvre, traite la demande et la classe — souvent dans un système de DME sans consigner la source des renseignements.
Les résultats de laboratoire transmis aux patients. Les patients demandent de plus en plus que les résultats leur soient envoyés par courriel. De nombreuses cliniques acceptent sans discuter des implications en matière de sécurité. Les directives du CIPVP sont claires : si un patient demande une transmission par courriel après avoir été avisé des risques, le dépositaire peut s'y conformer. Si un patient fournit simplement son courriel sur un formulaire sans aucune discussion sur les risques, l'envoi de RPS à ce courriel n'est pas fondé sur le consentement — c'est une transmission sans les mesures de sécurité requises.
La correspondance d'assurance. Les sommaires de traitement, les codes de diagnostic et les antécédents de prescription envoyés aux administrateurs d'assurance créent un problème particulier : le destinataire n'est pas un dépositaire de renseignements sur la santé au sens de la LPRPS, de sorte qu'il a des obligations différentes (et généralement plus faibles) quant à la façon dont il traite les renseignements. Se tromper dans une transmission de RPS à un assureur crée une exposition pour la clinique même si l'assureur les traite de façon appropriée.
La dimension de la notification des incidents
Les exigences de notification des incidents de la LPRPS, renforcées par des modifications entrées en vigueur en 2017, obligent les dépositaires de renseignements sur la santé à aviser le CIPVP et les personnes touchées lorsque des RPS sont volés, perdus ou consultés sans autorisation.
Un courriel mal adressé — la lettre de demande de consultation qui s'est rendue au mauvais spécialiste à cause d'une erreur de saisie semi-automatique — est un incident. Un fax envoyé au mauvais numéro est un incident. Un courriel contenant des RPS qu'un membre du personnel a transféré vers un compte personnel est un incident.
Le CIPVP reçoit chaque année des centaines de notifications d'incidents de la part de dépositaires de santé. La cause la plus fréquente est de loin les fax et les courriels mal adressés. Les organisations qui ont investi dans des plateformes de messagerie sécurisée rapportent des taux d'incidents nettement plus bas — non pas parce que la mauvaise adresse cesse entièrement, mais parce que les plateformes sécurisées empêchent les RPS sous-jacents d'être accessibles à des destinataires non autorisés, même lorsqu'une mauvaise adresse survient.
À quoi ressemble une véritable conformité
La voie pratique vers une communication électronique conforme à la LPRPS comporte deux décisions : ce que vous envoyez et comment vous l'envoyez.
Quoi envoyer : Les RPS devraient être partagés dans la quantité minimale nécessaire. Une demande de consultation n'a pas toujours besoin de la liste complète des médicaments — elle a besoin des renseignements pertinents à la fin de la consultation. Le caviardage automatisé des renseignements qui n'ont pas besoin d'accompagner un document réduit la conséquence de toute mauvaise adresse qui survient.
Comment l'envoyer : Les professions de la santé réglementées de l'Ontario utilisent plusieurs outils qui offrent la sécurité requise : eHub (la plateforme de messagerie sécurisée de Santé Ontario), la messagerie sécurisée du RTO (Réseau Télémédecine Ontario), le courriel chiffré au moyen de S/MIME ou de PGP, et des plateformes de messagerie sécurisée conçues à cette fin et dotées de contrôles d'audit et d'accès propres au domaine de la santé.
Pour la communication avec les patients, la LPRPS autorise le courriel à la demande explicite du patient — mais exige un processus de consentement documenté qui comprend une explication en langage clair des risques. La plupart des cliniques qui invoquent le consentement du patient pour la transmission par courriel disposent de quelque chose de bien plus faible : une case à cocher sur un formulaire de nouveau patient que la plupart des patients cochent sans la lire.
Le problème de la piste de vérification
Une chose qui distingue la communication électronique conforme à la LPRPS de la pratique standard des cliniques est la journalisation d'audit. La LPRPS exige des dépositaires qu'ils consignent qui a accédé aux renseignements personnels sur la santé, quand et à quelle fin. Le courriel ordinaire n'offre rien de tout cela. Une plateforme de messagerie sécurisée consigne chaque accès, chaque transfert, chaque téléchargement.
Lorsque le CIPVP mène une enquête à la suite d'un incident ou d'une plainte, la première chose que les enquêteurs demandent est le journal d'accès. Les organisations qui peuvent produire des journaux détaillés indiquant qui a accédé aux RPS et quand sont dans une posture fondamentalement différente de celles qui s'appuient sur des horodatages de courriels et les souvenirs du personnel. Le journal ne prévient pas les incidents — il démontre que le dépositaire exerçait ses activités avec des contrôles appropriés, ce qui influe sur la façon dont le CIPVP réagit à un incident et sur la remédiation qu'il ordonne.
Les cliniques qui tendent à recevoir les conclusions les plus dommageables du CIPVP ne sont pas celles qui ont subi un incident. Ce sont celles qui ont subi un incident et qui n'ont pas pu démontrer qu'elles avaient des mesures de sécurité raisonnables en place avant qu'il ne survienne.
La conformité IA et vie privée, simplifiée.
Valdra aide les entreprises canadiennes à gouverner l’IA et à respecter PIPEDA et la Loi 25 — hébergé au Canada.
Découvrir Valdra