Montréal, le 23 février 2015 Madame ... 800, av. du Sanatorium Mont-Joli (Québec) G5H 3L6 Objet : Plainte à l’endroit du CSSS de La Mitis N/Réf. : 111519 ______________________________________ Madame, La Commission d’accès à l’information (la Commission) est saisie d’une plainte à l’endroit du Centre de services de santé et de services sociaux de la Mitis (l’organisme) 1 . Madame … (la plaignante) reproche à l’organisme de ne pas avoir pris les mesures de sécurité adéquates pour assurer le caractère confidentiel des renseignements personnels concernant son conjoint. Plus précisément, la plaignante allègue que des documents contenant des renseignements personnels détaillés concernant son conjoint, M. … , (notamment les numéros d’assurance maladie, d’assurance sociale, de téléphone et de comptes bancaires, de même que l’adresse, un rapport médical et une évaluation psychosociale) ont été égarés alors que l’organisme devait les faire parvenir au bureau de son notaire. La plaignante a également porté plainte à la commissaire locale aux plaintes de l’organisme. L’enquête À la suite de ces allégations, la Commission a procédé à une enquête qui révèle les faits suivants. L’organisme reconnaît que les documents contenant des renseignements personnels au sujet du conjoint de la plaignante ont été transmis, par courrier, à l’attention du notaire, mais n’ont jamais été reçus par ce dernier. Ces documents 1 La plainte a été adressée au Protecteur du citoyen qui l’a transmise à la Commission, conformément à ce que prévoit l’art. 173 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, c.A-2.1, la Loi sur l’accès). … 2
N/Réf. : 111519 2 devaient être transmis au notaire dans le contexte d’une demande d’homologation du mandat en cas d’inaptitude de M. … , conjoint de la plaignante. Les documents n’ont pas été retrouvés. Toutefois, l’organisme souligne qu’à la suite de la réception de la plainte, il a examiné et validé le processus de traitement des dossiers par la Direction des affaires médicales, responsable des dossiers d’homologation de mandats en cas d’inaptitude et de curatelle, incluant l’envoi par courrier de documents. L’organisme considérait adéquates les mesures prises pour assurer le caractère confidentiel des renseignements personnels communiqués à un tiers, dans un contexte similaire à celui de la plainte. L’organisme soutenait également que le courrier postal, utilisé dans la presque totalité des envois qu’il effectue, est un moyen d’expédition sécuritaire et fiable, rappelant que Postes Canada assure la destruction du courrier en cas de non-distribution. L’enquête a également permis d’établir que l’organisme a adopté plusieurs directives et procédures encadrant la gestion des renseignements personnels qu’il détient, documents qui ont été transmis à la Commission. Toutefois, ces documents ne contiennent aucune mention relative au moyen à privilégier lors de la transmission à l’externe de renseignements personnels. Sur cette question, l’organisme a fait valoir que les agentes administratives ou l’archiviste médicale, chargées de faire l’envoi de documents contenant des renseignements personnels, jugent du moyen approprié selon le dossier et la situation. L’organisme précisait, exemples à l’appui, qu’il rappelle et diffuse régulièrement aux employés, par différents moyens, les règles applicables et leurs obligations en lien avec le respect de la vie privée des usagers. Avis de la Commission À la suite de l’enquête, un avis d’intention a été transmis à l’organisme. Cet avis rappelait à l’organisme son obligation de prendre les mesures de sécurité propres à assurer la protection des renseignements personnels qu’il détient, et ce, à toutes les étapes du cycle de vie de ces renseignements. Cette obligation est prévue par la Loi sur l’accès : … 3
N/Réf. : 111519 3 63.1. Un organisme public doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. Comme le souligne la plaignante, les renseignements personnels visés par la plainte sont de nature particulièrement sensible : ils révèlent des informations intimes au sujet d’une personne et leur divulgation à un individu mal intentionné est susceptible de causer un préjudice grave à la personne qu’ils concernent (ex. : usurpation d’identité, fraude, vol, discrimination). La quantité d’informations sensibles transmises doit également être considérée. Des mesures de sécurité adéquates contribuent à limiter les risques d’utilisation ou de communication inappropriée de renseignements personnels. De même, en cas de perte de renseignements personnels, l’organisme doit prendre les moyens nécessaires afin d’éviter ou de limiter le préjudice que les personnes concernées par les renseignements personnels peuvent subir. Constatant que les procédures de l’organisme ne semblaient pas prévoir de mesures de sécurité particulières en cas de communication à l’externe de renseignements personnels sensibles, la Commission a indiqué, dans son avis d’intention, qu’elle pourrait déclarer la plainte fondée et ordonner à l’organisme de prendre des mesures de sécurité propres à assurer la confidentialité des renseignements personnels sensibles lors de leur communication à un tiers. Ces mesures pourraient comprendre les éléments suivants : - inclure dans ses procédures actuelles des précisions sur les moyens sécuritaires appropriés à utiliser pour transmettre des renseignements personnels selon leur degré de sensibilité; - se doter d’une procédure en cas d’incident compromettant la confidentialité de renseignements personnels lors de leur communication à un tiers. … 4
N/Réf. : 111519 4 Modification des pratiques de l’organisme À la suite de cet avis, l’organisme a informé la Commission de l’adoption de deux nouvelles procédures qui ont été diffusées à l’ensemble de son personnel : • Procédure relative à la transmission de documents contenant des renseignements personnels; • Procédure en cas de bris de confidentialité ou de possibilité de bris de confidentialité. La Commission a pris connaissance de ces documents et de la note de service rappelant aux employés et aux médecins leurs obligations relatives à la confidentialité du dossier des usagers. Elle se déclare satisfaite de ces nouvelles mesures mises en place par l’organisme qui répondent adéquatement à l’avis d’intention. Elle tient à souligner le sérieux de la démarche de l’organisme et la qualité des documents ayant été produits. En conséquence, la Commission ferme le présent dossier. Diane Poitras Juge administratif c.c. M me …
Vous allez être redirigé vers la version la plus récente de la loi, qui peut ne pas être la version considérée au moment où le jugement a été rendu.