RECOMMANDÉ Montréal, le 25 janvier 2018 Maître Valérie Bourque Service des affaires juridiques du CISSS- Chaudières-Appalaches Direction des ressources humaines, des communications et des affaires juridiques et direction de l’enseignement 975, rue de la Concorde Lévis (Québec) G6W 8A7 Objet : Plainte à l’endroit du Centre intégré de santé et de services sociaux Chaudière-Appalaches (anciennement Centre de santé et de services sociaux Alphonse-Desjardins) N/Réf. : 1009443-S _______________________________________________________________ La présente donne suite à la plainte reçue par la Commission d’accès à l’information (la Commission) à l’encontre du Centre intégré de santé et de services sociaux Chaudière-Appalaches 1 (l’organisme) et ce, en vertu de l’article 173 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels 2 . Objet de la plainte La plainte porte sur la communication de renseignements personnels à des tiers, et ce, sans le consentement de la personne concernée. Plus particulièrement, la plaignante soutient que l’organisme, à la suite de la perte de son dossier médical, a divulgué des renseignements personnels la concernant sans son consentement à plusieurs employés de l’organisme en leur transmettant un communiqué comportant ses nom, prénom, date de naissance et numéro de dossier, lequel aurait aussi été affiché dans la salle des archives. 1 Anciennement « Centre de santé et de services sociaux Alphonse-Desjardins ». 2 RLRQ, c. A-2.1, la Loi sur l’accès. En vertu de l’article 173 de cette loi, « le Protecteur du citoyen et la Commission des droits de la personne et des droits de la jeunesse doivent, sur réception d’une plainte relative à une matière qui relève de la compétence de la Commission, transmettre le dossier à cette dernière qui en est alors saisie de plein droit ».
N/Réf. : 1009443-S 2 La plaignante, , mentionne qu’elle a été informée de la perte de son dossier médical , et ce, avant même que l’organisme ne l’en informe. Enquête À la suite de cette plainte, la Direction de la surveillance de la Commission procède à une enquête en vertu de l’article 123 de la Loi sur l’accès. À ce titre, elle écrit à l’organisme pour lui demander sa version des faits et pose des questions en relation avec la procédure en vigueur au moment des faits pour traiter une telle situation. Le responsable de l’accès aux documents et de la protection des renseignements personnels (le responsable de l’accès) répond pour l’organisme et transmet plusieurs documents adoptés par l’organisme, à savoir : la Procédure en cas de dossier perdu, un exemplaire vierge du communiqué transmis en cas de recherche intensive d’un dossier perdu, une copie d’un plan de cours intitulé « Formation sur la tenue du dossier de l’usager » à jour en date du 4 décembre 2012, un extrait du Recueil de procédures de la Politique du dossier de l’usager et un exemple de note transmise au personnel des archives sur le déverrouillage des consoles de déchiquetage. Avis d’intention Au terme de l’enquête et à la lumière des réponses et documents transmis par le responsable de l’accès de l’organisme, la Commission transmet un avis d’intention à l’organisme. Dans cet avis, la Commission informe l’organisme que même si la Procédure en cas de dossier perdu semble avoir été respectée, elle s’interroge néanmoins sur le délai qui s’est écoulé entre la transmission du communiqué aux différents intervenants de l’organisme et la rencontre organisée avec la plaignante. La Commission y indique également qu’elle se demande quelles sont les mesures mises en place par l’organisme à la suite de cette plainte pour éviter qu’une telle situation ne se reproduise. Elle s’interroge également quant à savoir si l’organisme dispose d’une politique concernant la gestion et la protection des renseignements personnels qu’il détient et, le cas échéant, si celle-ci est régulièrement diffusée auprès des employés de l’organisme.
N/Réf. : 1009443-S 3 La Commission informe alors l’organisme que s’il ne dispose pas d’une telle politique, elle pourrait lui recommander d’en adopter une et de la diffuser régulièrement auprès de ses employés. L’organisme a répondu à cet avis d’intention par le biais de sa procureure qui a par le fait même transmis les documents suivants au soutien des observations : plan de cours intitulé « Formation sur la tenue du dossier de l’usager » (janvier 2014), Guide d’accueil pour nouveaux employés, Politique de sécurité de l’information de l’organisme en vigueur au 22 mars 2017, Politique quant au dossier de l’usager à jour en date du 20 janvier 2015, Recueil de procédures de la Politique du dossier de l’usager à jour en date du 30 décembre 2015, Processus de gestion des incidents de sécurité de l’information à jour en date du 8 février 2016. Analyse Au regard des réponses transmises par la procureure de l’organisme à la suite de son avis d’intention, la Commission doit se prononcer quant à savoir si l’organisme a contrevenu aux obligations énoncées dans la Loi sur l’accès. L’organisme est un organisme public, plus particulièrement un établissement de santé ou de services sociaux, auquel s’applique la Loi sur l’accès 3 . La Loi sur l’accès prévoit que, sauf exception, les renseignements personnels détenus par un organisme public sont confidentiels et ne peuvent être communiqués sans le consentement des personnes concernées. 53. Les renseignements personnels sont confidentiels sauf dans les cas suivants : […] 59. Un organisme public ne peut communiquer un renseignement personnel sans le consentement de la personne concernée. […] Ce principe de confidentialité est également énoncé dans la Loi sur les services de santé et les services sociaux 4 qui s’applique à l’organisme. 19. Le dossier d’un usager est confidentiel et nul ne peut y avoir accès, si ce n’est avec le consentement de l’usager ou de la personne pouvant donner un consentement en son nom. Un 3 Loi sur l’accès, articles 3 et 7. 4 RLRQ, c. S-4.2.
N/Réf. : 1009443-S 4 renseignement contenu au dossier d’un usager peut toutefois être communiqué sans son consentement : […] La Loi sur l’accès prévoit également qu’un organisme public doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels qu’il détient, et ce, tout au long de leur cycle de vie. 63.1. Un organisme public doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur qualité, de leur répartition et de leur support. Aux termes de l’enquête et à partir des observations et documents qui lui ont été soumis, la Commission constate que l’organisme ne nie pas les faits à l’origine de la plainte et que le dossier de la plaignante a été retrouvé 5 . Partant, après avoir pris connaissance de l’ensemble des observations et documents soumis, la Commission comprend qu’après avoir constaté la disparition du dossier de la plaignante, l’organisme a suivi la Procédure en cas de dossier perdu, en vigueur au moment des faits, en réalisant les différentes étapes qui y sont décrites : recherche intensive du dossier dans le bureau et la case des intervenants assignés à ce dossier, vérifications des dossiers classés sur les étagères de dossiers et aux autres endroits où se trouvent des dossiers, rédaction d’un rapport d’incident, assemblage d’un nouveau dossier portant le numéro du dossier perdu, transmission d’un communiqué aux différents intervenants identifiant le dossier perdu, préparation d’une rencontre avec la personne concernée. La Commission comprend aussi que le communiqué indique le numéro de dossier, les nom, prénom et date de naissance de l’usager, et ce, « afin de permettre aux intervenants de repérer rapidement le dossier cherché. Certains intervenants utilisent le numéro de dossier, d’autres le nom et le prénom de l’usager. La date de naissance permet de savoir si le dossier aurait pu être dans la pile de dossiers d’une clinique jeunesse ou adulte. » 6 5 Tel qu’il appert de la réponse de la procureure de l’organisme en date du 21 décembre 2017 et confirmé le 15 janvier 2018. 6 Tel qu’il appert de la réponse du responsable de l’accès de l’organisme en date du 17 décembre 2014.
N/Réf. : 1009443-S 5 Elle comprend que ce communiqué n’est pas affiché au vu et au su du public qui fréquente l’organisme, qu’il est uniquement accessible aux intervenants de l’organisme, le communiqué étant déposé dans leurs casiers et affiché dans le local des casiers de dossiers des intervenants. Elle comprend également que le délai entre la transmission du communiqué aux différents intervenants et la rencontre organisée avec la personne concernée est, en principe, de cinq jours comme mentionné sur le communiqué qui lui a été soumis. Elle comprend que ce délai « peut être retardé par des impondérables tels que l’absence d’une personne impliquée dans le dossier ou sa non-disponibilité » 7 . Elle comprend qu’en l’espèce « la rencontre a été réalisée dans un délai de 10 jours ouvrables » 8 sans qu’il soit possible pour l’organisme, compte tenu que les faits se sont passés il y a près de quatre ans, d’expliquer ledit délai. Par ailleurs, en ce qui concerne les mesures mises en place par l’organisme à la suite de cette plainte, la Commission constate que l’organisme : - a mis à jour son plan de cours « Formation sur la tenue du dossier de l’usager, sa Politique quant au dossier de l’usager, son Recueil de procédures de la Politique du dossier de l’usager; - a adopté plusieurs documents relatifs à la gestion et la protection des renseignements personnels qu’il détient, dont une Politique de sécurité de l’information et un Processus de gestion des incidents de sécurité de l’information; - s’engage à sensibiliser et à former, sur une base régulière, ses employés quant à la gestion et la protection des renseignements personnels. La Commission a pris connaissance de ces documents, lesquels insistent sur l’importance de la protection des renseignements personnels et confidentiels, les rôles et responsabilités de chacun des intervenants tant en ce qui concerne la tenue des dossiers des usagers, la confidentialité et la sécurité des renseignements personnels et confidentiels qui y sont inscrits ou encore la gestion d’un incident de sécurité de l’information. Elle s’en déclare satisfaite. Conclusion En conséquence, la Commission considère que la plainte est fondée. 7 Tel qu’il appert de la réponse de la procureure de l’organisme en date du 21 décembre 2017. 8 Tel qu’il appert de la réponse de la procureure de l’organisme en date du 21 décembre 2017.
N/Réf. : 1009443-S 6 Toutefois, à la lumière de la procédure suivie au moment des faits, mais aussi des mesures prises à la suite de ceux-ci, plus particulièrement la mise à jour et l’adoption de plusieurs documents relatifs à la gestion et la protection des renseignements personnels, la Commission ferme le présent dossier. « Original signé » Cynthia Chassigneux Juge administratif c. c. M me …
Vous allez être redirigé vers la version la plus récente de la loi, qui peut ne pas être la version considérée au moment où le jugement a été rendu.