COMMISSION D’ACCÈS À L’INFORMATION DU QUÉBEC Dossier : 1006568 Nom de l’organisme : Centre de santé et de services sociaux … Date : 4 décembre 2015 Membre : M e Diane Poitras DÉCISION OBJET PLAINTE en vertu de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels 1 . [1] Le 14 mars 2013, la Commission d’accès à l’information (la Commission) a reçu une plainte formulée par M me … (la plaignante) à l’endroit du Centre de santé et de services sociaux … 2 (l’organisme). Cette plainte avait été formulée auprès du Protecteur du citoyen qui l’a transmise à la Commission, conformément à l’article 173 de la Loi sur l’accès. [2] La plaignante reproche à l’organisme d’avoir communiqué à des tiers des renseignements personnels la concernant, soit des renseignements de nature médicale, sans son consentement. LES FAITS [3] À la suite de cette plainte, la Commission a procédé à une enquête. [4] La plaignante affirme que M me …, … à l’emploi de l’organisme, aurait communiqué à des amis et des membres de sa famille des renseignements concernant son état de santé. M me … … de la plaignante. [5] Selon l’enquête, deux témoins affirment solennellement que M me … leur a communiqué des renseignements de cette nature à quelques reprises. 1 RLRQ, c. A-2.1, la Loi sur l’accès. 2 …
1006568 Page : 2 [6] L’organisme confirme que M me … a accès au contenu des dossiers médicaux dans l’exercice de ses fonctions. Il souligne qu’à la suite d’une plainte au même effet, formulée à la commissaire locale aux plaintes de l’organisme, cette dernière a indiqué que son enquête ne lui permettait pas de conclure que … avait communiqué des renseignements contenus au dossier de la plaignante. L’organisme n’a pas donné plus de détails au sujet de cette enquête, invoquant la confidentialité de ces informations selon l’article 76.4 de la Loi sur les services de santé et les services sociaux 3 . [7] L’enquête révèle également que l’organisme a fait signer un formulaire d’engagement à la confidentialité à M me …, lors de son embauche en …. Il a également adopté une politique de confidentialité, dont la version de 2011-2012 se trouve au dossier de la Commission. Cette politique s’adresse à tous les médecins, gestionnaires, membres du personnel, bénévoles et stagiaires de l’organisme. [8] Au moment des faits reprochés, aucune journalisation des accès n’était en place. L’organisme indique que cette mesure est en processus d’implantation. OBSERVATIONS AU TERME DE L’ENQUÊTE [9] Le 6 février 2015, la Commission fait parvenir à l’organisme un avis d’intention. Cet avis indique notamment : Les faits révélés par l’enquête sont suffisamment sérieux pour laisser croire que des renseignements médicaux détenus par l’organisme ont été communiqués à des tiers par l’une de ses employées, sans le consentement de la personne concernée, en contravention avec la Loi sur l’accès et la LSSSS. Ainsi, la Commission pourrait conclure que l’organisme n’a pas adopté des mesures de sécurité propres à assurer la protection des renseignements personnels qu’il détient. Selon les informations actuellement au dossier de la Commission, l’organisme ne semble pas avoir rappelé aux employés, de façon régulière, les règles de confidentialité applicables aux renseignements personnels auxquels ils ont accès chaque jour. Aussi, l’organisme ne semble pas s’être doté de procédure en cas d’incident compromettant la confidentialité de renseignements personnels afin d’éviter ou de limiter le 3 RLRQ, c. S-4.2, la LSSSS.
1006568 Page : 3 préjudice que pourraient subir les personnes concernées par ces renseignements et éviter qu’un tel événement ne se reproduise. En conséquence, la Commission pourrait ordonner à l’organisme de prendre des mesures de sécurité supplémentaires propres à assurer la confidentialité des renseignements personnels qu’il détient au sujet des usagers, notamment de rappeler de façon régulière aux employés leurs obligations en matière de confidentialité et de se doter d’une procédure en cas d’incident compromettant la confidentialité de renseignements personnels lors de leur communication à un tiers. [10] À la suite d’une erreur, cet avis n’a pas été transmis à l’organisme, mais au procureur de la plaignante, le 11 février 2015. Ce n’est qu’à la suite de la réception de la décision de la Commission, rendue le 10 août 2015, que l’organisme a appris l’existence d’un avis d’intention dans le présent dossier et qu’une décision avait été rendue, en l’absence d’observations de sa part, lui ordonnant « de prendre des mesures de sécurité supplémentaires propres à assurer la confidentialité des renseignements personnels qu’il détient au sujet des usagers, notamment de rappeler de façon régulière aux membres de son personnel, de même qu’aux médecins, gestionnaires, bénévoles et aux stagiaires leurs obligations en matière de confidentialité et de se doter d’une procédure en cas d’incident compromettant la confidentialité de renseignements personnels ». [11] Il a donc demandé à la Commission le réexamen de cette décision afin de lui permettre de présenter ses observations. La Commission a accueilli cette demande de réexamen. [12] Dans ses observations, reçues le 28 octobre dernier, l’organisme affirme qu’il prenait divers moyens, à l’époque de la plainte, pour rappeler régulièrement à ses employés, stagiaires et médecins les règles de confidentialité applicables aux renseignements personnels auxquels ils ont accès chaque jour. Il cite divers moyens de sécurité et de sensibilisation visant tant les dossiers papiers qu’informatiques des usagers (registres, formation, engagements de confidentialité, discussions lors de rencontres d’équipe, etc.). [13] L’organisme ajoute qu’en raison de la fusion des établissements publics de santé et de services sociaux du …, des mesures supplémentaires s’ajouteront sous peu, dont :
1006568 Page : 4 1) À compter de 2015, il y aura la semaine de la sécurité de l’information. Cette activité aura lieu aux deux (2) ans en novembre. Ainsi, une année, en novembre ce sera la semaine de la confidentialité et l’autre année, la semaine de la sécurité de l’information. À chaque fois il y aura des kiosques visibles et accessibles, des séances d’information, des pamphlets et des affiches. 2) Des dépliants concernant la confidentialité, la sécurité et la journalisation provenant de l’AGISQ (Association des gestionnaires de l’information de santé du Québec) seront remis au personnel de l’établissement. 3) Enfin, des travaux régionaux sont en cours afin de doter les installations de l’organisme d’une politique uniforme concernant la confidentialité. Cette politique sera un levier afin de bien informer tous les employés de l’importance du respect de la confidentialité et des conséquences du non-respect de celle-ci. [14] L’organisme précise également qu’en attendant que cette politique soit adoptée, les mesures suivantes sont en place, afin d’éviter ou de limiter le préjudice que pourraient subir les personnes concernées par la divulgation des renseignements les concernant : • Depuis le 1 er juin dernier, l’archiviste à la performance journalise une fois par semaine les accès de cinq employés (jour/soir/nuit), par échantillonnage. Cette journalisation permet de produire divers rapports permettant d’identifier des situations possiblement à risque. • Si une telle situation est identifiée, une procédure permet à l’archiviste à la performance d’informer le chef de service de l’employé concerné et le chef de service des archives. Le chef de service décide de la conséquence, sanction ou mesure disciplinaire à imposer à l’employé fautif, le cas échéant. • Une note de service concernant la surveillance des informations au dossier clinique informatisé a été envoyée à tous les coordonnateurs de services pour affichage ainsi qu’aux médecins, en date du 4 septembre dernier. Cette note informe tous les utilisateurs du Dossier clinique Informatisé que l’organisme procède dorénavant à trois types de journalisation : ponctuelle (lors d’un doute de bris de confidentialité), par échantillonnage, automatisée (permet d’identifier certains comportements contraires à la procédure d’utilisation des différents systèmes).
1006568 Page : 5 [15] L’organisme précise que des travaux et des discussions sont en cours afin qu’une procédure et une politique régionales relatives aux conséquences, sanctions ou mesures disciplinaires susceptibles d’être imposées lors d’un manquement à la confidentialité soient adoptées. À ce jour, les discussions laissent croire que l’approche qui pourrait être retenue implique une évaluation au « cas par cas », directement proportionnelle à l’impact négatif d’un bris de confidentialité. [16] Ainsi, l’organisme soumet qu’il rappelle de façon régulière à ses employés les règles de confidentialité et qu’il s’est doté d’une procédure en cas d’incident compromettant la confidentialité de renseignements personnels. [17] D’autre part, l’organisme précise certains éléments factuels concernant la plainte à l’origine du présent dossier. [18] En résumé, l’organisme rappelle que la plaignante, l’employée visée par la plainte et certaines des personnes rencontrées lors de l’enquête ont des liens familiaux. Toutefois, les relations entre ces personnes sont tendues; certains liens sont rompus. D’autres procédures impliquant ces personnes ont également été intentées. [19] Dans le cadre d’une de ces démarches, l’organisme a vérifié si l’employée en cause avait consulté le dossier de la plaignante. Les résultats sont négatifs. La Commission note toutefois que les faits reprochés datent de janvier ou février 2013 alors que les vérifications ont été effectuées en juillet et août 2013, donc après les faits reprochés. [20] L’organisme souligne que l’employée concernée est professionnelle et compétente et qu’elle n’a jamais été l’objet de réprimande, ayant un comportement exemplaire. Il soutient que la plaignante aurait elle-même fourni verbalement à des tiers des renseignements personnels la concernant sur son état de santé. ANALYSE [21] Les dispositions suivantes prévoient que les renseignements personnels et les renseignements contenus au dossier de l’usager d’un organisme sont confidentiels : Loi sur l’accès 53. Les renseignements personnels sont confidentiels sauf dans les cas suivants:
1006568 Page : 6 1° la personne concernée par ces renseignements consent à leur divulgation; si cette personne est mineure, le consentement peut également être donné par le titulaire de l’autorité parentale; 2° ils portent sur un renseignement obtenu par un organisme public dans l’exercice d’une fonction juridictionnelle; ils demeurent cependant confidentiels si l’organisme les a obtenus alors qu’il siégeait à huis-clos ou s’ils sont visés par une ordonnance de non-divulgation, de non-publication ou de non-diffusion. La LSSSS 19. Le dossier d’un usager est confidentiel et nul ne peut y avoir accès, si ce n'est avec le consentement de l'usager ou de la personne pouvant donner un consentement en son nom. Un renseignement contenu au dossier d’un usager peut toutefois être communiqué sans son consentement: 1° sur l’ordre d’un tribunal ou d'un coroner dans l’exercice de ses fonctions; 2° à la demande du commissaire local aux plaintes et à la qualité des services en vertu de l’article 36, d’un médecin examinateur en vertu du troisième alinéa de l'article 47, d’un comité de révision visé à l’article 51 ou de l’un de ses membres en vertu du deuxième alinéa de l’article 55, d’un commissaire régional aux plaintes et à la qualité des services en vertu de l’article 69, d’un conseil des médecins, dentistes et pharmaciens ou d’un expert externe à l’établissement auquel ce conseil a recours en vertu du deuxième alinéa de l'article 214; 3° à la demande d’une personne qu’une agence désigne pour faire une inspection en vertu du deuxième alinéa de l'article 413.2 ou à la demande d’une agence ou d’une personne que celle-ci désigne pour faire une enquête en vertu du deuxième alinéa de l’article 414; 4° au ministre en vertu de l’article 433, pour l’exercice de ses fonctions prévues à l’article 431; 5° à une personne autorisée à faire une inspection en vertu du deuxième alinéa de l’article 489 ou de l’article 489.1; 6° à une personne désignée par le gouvernement en vertu du deuxième alinéa de l’article 500 et chargée d'enquêter sur une matière visée au premier alinéa de cet article;
1006568 Page : 7 7° dans les cas et pour les finalités prévus aux articles 19.0.1, 19.0.2, 19.0.3, 19.2 et 27.1, au deuxième alinéa de l’article 78.1, au quatrième alinéa de l’article 107.1, au cinquième alinéa de l’article 108, au deuxième alinéa de l’article 185.1, à l'article 204.1, au quatrième alinéa de l’article 349.3 et aux articles 520.3.0.1 et 520.3.1; 8° à la demande, en vertu de l’article 77, de tout comité de révision visé à l’article 41 de la Loi sur l’assurance maladie (chapitre A-29) ou d’une personne ou d’un comité visé à l’article 192 du Code des professions (chapitre C-26), lorsque la communication du renseignement est nécessaire pour l’accomplissement de leurs fonctions; 9° dans le cas où le renseignement est communiqué pour l’application de la Loi sur la santé publique (chapitre S-2.2); 10° dans les cas et pour les finalités prévues aux articles 8 et 9 de la Loi visant à favoriser la protection des personnes à l’égard d'une activité impliquant des armes à feu (chapitre P-38.0001); 11° à toute personne ou tout organisme lorsque ce renseignement est détenu par un établissement qui exploite un centre de protection de l’enfance et de la jeunesse ou un centre de réadaptation et qu’il est nécessaire pour l’application de la Loi sur le système de justice pénale pour les adolescents (L.C. 2002, c. 1), pour la réadaptation ou la réinsertion sociale de cet usager ou en vue d'assurer la protection du public; 12° dans le cas où le renseignement est communiqué pour l’application de la Loi sur l’Institut national d’excellence en santé et en services sociaux (chapitre I-13.03); 13° dans le cas où le renseignement est communiqué pour l’application de la Loi concernant le partage de certains renseignements de santé (chapitre P-9.0001). [22] Par ailleurs, selon la Loi sur l’accès, un organisme public a l’obligation de prendre les mesures de sécurité propres à assurer la protection des renseignements personnels qu’il détient, et ce, à chacune des étapes du cycle de vie de ces renseignements : 63.1. Un organisme public doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.
1006568 Page : 8 [23] Ces mesures doivent être raisonnables et tenir compte notamment de la sensibilité des renseignements, de leur quantité et de leur support. [24] Les renseignements personnels visés par la plainte sont de nature particulièrement sensible : ils révèlent des informations concernant la santé d’une personne. [25] Des mesures de sécurité adéquates contribuent à limiter les risques d’utilisation ou de communication inappropriée de ces renseignements personnels. [26] De même, lors d’un événement compromettant la confidentialité de renseignements personnels, l’organisme doit prendre les moyens nécessaires afin d’éviter ou de limiter le préjudice que les personnes concernées par les renseignements personnels peuvent subir et d’éviter qu’une telle situation se reproduise. [27] À la lumière des informations dont dispose la Commission, elle ne peut conclure avec certitude que des informations personnelles auraient été communiquées par une employée de l’organisme. [28] Quoi qu’il en soit, les observations transmises par l’organisme et les documents qui l’accompagnent permettent à la Commission de conclure qu’il a rappelé de manière régulière à son personnel la confidentialité des renseignements contenus aux dossiers des usagers. [29] La Commission constate également qu’il a agi à la suite des allégations de la plaignante voulant qu’une employée ait communiqué des renseignements médicaux à des tiers, sans le consentement de la personne concernée. Il a fait sa propre enquête et a adopté diverses mesures propres à assurer la sécurité des renseignements qu’il détient, notamment en matière de formation ou de sensibilisation du personnel et des mesures de sécurité propres à lui permettre d’identifier les situations à risque ou les bris de confidentialité. Ces mesures incluent également une action auprès d’un employé, le cas échéant, afin d’éviter qu’une telle situation ne se reproduise.
1006568 Page : 9 [30] Toutefois, la Commission croit que ces mesures pourraient être bonifiées par l’adoption d’une politique, d’une directive ou d’une procédure prévoyant les actions à prendre lorsqu’il est informé d’un incident compromettant la confidentialité des renseignements personnels qu’il détient. Cette procédure devrait inclure les incidents de toute nature (pas uniquement les incidents résultant d’un geste d’un employé) et prévoir des mesures propres à éviter ou à limiter le préjudice que les personnes concernées par les renseignements personnels peuvent subir à la suite de cet incident. Par exemple, en cas d’envoi d’informations personnelles par courrier à la mauvaise personne, quelles mesures doivent être prises afin de récupérer ces renseignements et d’éviter que ces informations ne soient diffusées davantage. CONCLUSION [31] À la lumière de l’enquête et des autres éléments au dossier, la Commission conclut que l’organisme a pris les mesures de sécurité conformes à l’article 63.1 de la Loi sur l’accès. [32] EN CONSÉQUENCE, LA COMMISSION : [33] ANNULE les conclusions et les ordonnances comprises dans la décision du 10 août 2015 rendue dans le présent dossier, soit : DÉCLARE la plainte fondée; ORDONNE à l’organisme de prendre des mesures de sécurité supplémentaires propres à assurer la confidentialité des renseignements personnels qu’il détient au sujet des usagers, notamment de rappeler de façon régulière aux membres de son personnel, de même qu’aux médecins, gestionnaires, bénévoles et aux stagiaires leurs obligations en matière de confidentialité et de se doter d’une procédure en cas d’incident compromettant la confidentialité de renseignements personnels. ORDONNE à l’organisme d’informer la Direction de la Surveillance de la Commission des mesures de sécurité supplémentaires mises en place et de l’avancement du projet de journalisation des accès aux dossiers des usagers dans un délai de 90 jours de la réception de la présente décision.
1006568 Page : 10 [34] Toutefois, elle recommande à l’organisme de se doter d’une procédure à suivre en cas d’incident compromettant la confidentialité de renseignements personnels qui inclut les incidents de toute nature et prévoit des mesures propres à éviter ou à limiter le préjudice que les personnes concernées par les renseignements personnels peuvent subir à la suite de cet incident. Diane Poitras Juge administratif
Vous allez être redirigé vers la version la plus récente de la loi, qui peut ne pas être la version considérée au moment où le jugement a été rendu.