Règlements et ressources

Ressources pour les physiothérapeutes

Protection de la vie privée

Share

Que vous soyez nouveau en Ontario ou que vous ayez exercé ici toute votre carrière, savoir comment gérer les renseignements sur la santé est votre responsabilité. Les physiothérapeutes doivent garder les renseignements privés des patients et respecter les lois sur la protection de la vie privée qui s’appliquent à leur travail.

En Ontario, tous les professionnels de la santé réglementés, y compris les physiothérapeutes, doivent suivre des règles strictes en vertu de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS) afin de garder les renseignements des patients privés, sécurisés et confidentiels.

La LPRPS régit la manière dont les renseignements personnels sur la santé sont recueillis, utilisés, stockés et partagés par les professionnels et organismes de soins de santé.

Cette page présente ce que vous devez savoir en tant que professionnel de la santé concernant la protection de la vie privée, vos responsabilités et la gestion des violations.

Selon la LPRPS, chaque patient a le droit de :

  • Consulter et demander une copie de leur dossier de santé
  • Demander des corrections si les renseignements sont inexacts ou incomplets.
  • Savoir qui a accédé à leur dossier.
  • Déposer une plainte auprès de l’Ordre ou du Commissaire à l’information et à la protection de la vie privée s’ils estiment que leur vie privée a été violée.

Vos responsabilités en matière de protection de la vie privée varieront selon que vous êtes considéré comme un dépositaire de renseignements sur la santé ou un agent du dépositaire des renseignements sur la santé.

Dépositaire de renseignements sur la santé

Selon la LPRPS, toute personne fournissant des services de santé et ayant la garde ou le contrôle des dossiers médicaux est considérée comme un dépositaire de renseignements sur la santé. Un dépositaire de renseignements sur la santé peut être un organisme comme un hôpital, un conseil scolaire ou une entreprise, ou un physiothérapeute individuel comme un propriétaire de clinique ou un praticien autonome dans sa propre pratique.

Agent du dépositaire de renseignements sur la santé

Si vous manipulez des renseignements personnels sur la santé au nom d’un dépositaire de renseignements sur la santé, alors vous êtes un agent dépositaire de renseignements sur la santé. Les agents peuvent être des bénévoles, des employés ou des travailleurs autonomes. Cela comprend les physiothérapeutes et le personnel administratif dans les hôpitaux ou les cliniques. Les dépositaires de renseignements sur la santé sont responsables des renseignements personnels sur la santé et des actions de leurs agents.

Pour en savoir plus : Lignes directrices 2020 mises à jour de la LPRPS – Commissaire à l’information et à la protection de la vie privée de l’Ontario

Conseils basés sur votre exercice

Responsabilités

Si vous êtes travailleur autonome ou si vous travaillez pour un petit organisme, vous pouvez élaborer une approche de confidentialité qui répond aux exigences de la LPRPS, protège les données et renforce la confiance envers chaque patient. Il pourrait être utile de penser aux exigences en matière de confidentialité de la façon suivante :

  • Responsabilité : La protection de la vie privée fait partie de votre devoir clinique; elle protège les patients et instaure la confiance.
  • Responsabilité : Nommer quelqu’un responsable de la protection de la vie privée, vous-même ou quelqu’un d’autre, le documenter bien, former votre équipe.
  • Procédures : Contrôler l’accès, sécuriser les données, planifier les violations et respecter les droits des patients.
  • Examen continu : Surveiller et améliorer régulièrement votre programme de protection de la vie privée.

Le Commissaire à l’information et à la protection de la vie privée de l’Ontario a un manuel de gestion de la protection de la vie privée à l’intention des petits organismes de soins de santé.  Ce document d’orientation offre des conseils pratiques pour aider les petits organismes à comprendre leurs exigences en matière de protection de la vie privée. Vos responsabilités spécifiques dépendront si vous êtes le dépositaire de renseignements sur la santé ou un agent.

Lisez le manuel de gestion de la protection de la vie privée

Responsabilités

  • Suivez les politiques sur la protection de la vie privée du dépositaire de renseignements sur la santé.
  • Collectez et utilisez des renseignements personnels sur la santé uniquement à des fins de soins.
  • Maintenez la confidentialité et signaler les violations.
  • Utilisez un moyen de communication sécurisé, comme les courriels chiffrés.
  • Suivez régulièrement une formation sur la protection de la vie privée par l’entremise de votre organisme ou par le Commissaire à l’information et à la protection de la vie privée.

Conseils pour les agents :

  • Verrouillez votre ordinateur si vous vous éloignez.
  • Partagez uniquement les renseignements personnels sur la santé nécessaires au traitement.
  • Utilisez uniquement des courriels ou portails patients sécurisés approuvés par la clinique. N’utilisez pas d’adresse courriel personnelle à moins qu’elle n’ait été approuvée par le dépositaire de renseignements sur la santé.
  • Confirmez l’identité du patient avant de commencer une séance de soins virtuels.
  • Si vous envoyez un courriel au mauvais patient, informez immédiatement le dépositaire de renseignements sur la santé.

Responsabilités

  • Soyez responsable de tous les renseignements personnels sur la santé sous votre contrôle.
  • Élaborez et documentez des politiques sur la protection de la vie privée.
  • Limitez l’accès aux renseignements personnels sur la santé selon les rôles.
  • Répondez aux demandes d’accès ou de correction des patients.
  • Établissez des politiques de rétention et d’élimination sécurisée. Ayez un plan pour répondre aux violations.
  • Assurez-vous que le logiciel d’enregistrement électronique est conforme à la LPRPS.
  • Formez le personnel et organisez des ententes de confidentialité.

Conseils pour les dépositaires de renseignements sur la santé :

  • Les réceptionnistes devraient pouvoir voir les détails des rendez-vous, mais pas les notes cliniques.
  • Conservez les dossiers pour la période requise (par exemple, 10 ans après la dernière visite, ou 10 ans après que le patient ait 18 ans) et déchiquetez-les de manière sécurisée avant de les jeter.
  • Maintenez un guide étape par étape pour aviser les patients ainsi que le Commissaire à l’information et à la protection de la vie privée en cas de violation.
  • Assurez-vous que les contrats avec les fournisseurs incluent le chiffrement et sont conformes à la LPRPS.
  • Organisez une formation annuelle sur la protection de la vie privée pour tout le personnel.

Responsabilités

  • Être légalement responsable des renseignements personnels sur la santé dans votre clinique.
  • Nommer un responsable de protection de la vie privée.
  • Mettre en œuvre des politiques et procédures.
  • Surveiller et vérifier la conformité.
  • Gérer les obligations en matière de protection de la vie privée des fournisseurs.
  • Offrir de la formation au personnel.

Conseils pour les propriétaires de cliniques :

  • Nommez un gestionnaire ou un membre du personnel pour superviser la conformité en matière de protection de la vie privée et les évaluations des risques.
  • Examinez chaque mois les journaux d’accès du logiciel de dossiers électroniques de votre clinique pour détecter des accès non autorisés.
  • Utilisez un service certifié de déchiquetage pour les dossiers papier.
  • Demandez aux fournisseurs de logiciels de dossiers électroniques leurs normes de chiffrement et leurs protocoles en cas de violation.
  • Affichez un avis de protection de la vie privée dans la salle d’attente et sur votre site Web.
Comment rédiger une déclaration publique de protection de la vie privée

Violations de la vie privée

Qu’est-ce qu’une violation de la vie privée?

Une violation de la vie privée survient lorsque des renseignements personnels sur la santé sont volés, perdus, diffusés ou consultés sans autorisation.

En tant qu’agent ou dépositaire de renseignements sur la santé, si vous suspectez ou confirmez une violation, vous devriez faire ce qui suit :

  1. Contenez-la immédiatement. Coupez l’accès ou sécurisez le dossier.
  2. Informez immédiatement le responsable de la protection de la vie privée de votre organisme ou votre dépositaire de renseignements sur la santé. Si vous êtes le dépositaire de renseignements sur la santé, consultez les étapes de votre politique sur la protection de la vie privée.
  3. Enquêtez sur la cause et évaluez l’incidence.
  4. Documentez tout ce qui concerne la violation et la façon dont elle a été gérée.
  5. Informez les personnes concernées selon l’exigence de la LPRPS.
  6. Signalez la violation au Commissaire à l’information et à la protection de la vie privée si elle relève des sept catégories énumérées ci-dessous.

Signaler une violation

Signaler au Commissaire à l’information et à la protection de la vie privée

Selon la LPRPS, les dépositaires de renseignements sur la santé doivent signaler les sept types suivants de violations au Commissaire à l’information et à la protection de la vie privée de l’Ontario dès que possible :

  1. Utilisation ou divulgation sans autorité — accéder ou partager des renseignements personnels sur la santé sans consentement ni permission légale. Par exemple, consulter le dossier de quelqu’un par curiosité ou envoyer des renseignements personnels sur la santé à la mauvaise personne.
  2. Renseignements volés – perte ou vol de dossiers ou d’appareils contenant des renseignements personnels sur la santé. Par exemple, des ordinateurs volés dans une clinique.
  3. Utilisation ou divulgation non autorisée supplémentaire — après une violation initiale.
  4. Répétition de violations semblables — plusieurs incidents indiquant des problèmes systémiques.
  5. Mesures disciplinaires contre une personne inscrite de l’Ordre — si vous, en tant que dépositaire de renseignements sur la santé, prenez des mesures disciplinaires en raison de la violation. Par exemple, un physiothérapeute doit suivre une formation supplémentaire sur la protection de la vie privée ou est suspendu ou licencié parce qu’il n’a pas respecté la politique sur la protection de la vie privée de votre organisme.
  6. Mesures disciplinaires contre un fournisseur de soins de santé ou un membre du personnel non réglementé — les mêmes obligations de signalement s’appliquent aux autres agents.
  7. Violation importante — incidents qui ont une ampleur ou une incidence graves. Par exemple, de nombreux dossiers de patients affectés parce qu’une clinique a été abandonnée.
Visitez le site Web du Commissaire à l’information et à la protection de la vie privée pour signaler une violation

Signaler à l’Ordre des physiothérapeutes de l’Ontario

L’Ordre exige également que les physiothérapeutes et leurs employeurs signalent certains événements dans les 30 jours.

Résumé du signalement

Événement déclencheurSignaler au Commissaire à l’information et à la protection de la vie privéeSignaler à l’Ordre des physiothérapeutes de l’Ontario
Utilisation ou divulgation non autorisée (catégorie de la LPRPS)❌ (seulement en cas de mesure disciplinaire au travail)
Vol ou perte de renseignements personnels sur la santé❌ (seulement en cas de mesure disciplinaire au travail)
Violations répétées ou tendance❌ (seulement en cas de mesure disciplinaire au travail)
Violation importante❌ (seulement en cas de mesure disciplinaire au travail)
Accès non autorisé au DSE❌ (seulement en cas de mesure disciplinaire au travail)
Mesures disciplinaires pour violation✔ dans les 30 jours
Démission sous l’objet d’une enquête✔ dans les 30 jours
Obligations de déclaration (en anglais)
Guide : Quoi faire en cas de violation de la vie privée – Commissionnaire à l’information et à la protection de la vie privée de l’Ontario

Communiquer avec les patients par courriel ou message de texte

Les physiothérapeutes doivent respecter les exigences de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS) lorsqu’ils utilisent des courriels ou des messages de texte pour communiquer avec les patients. Voici comment protéger les renseignements et protéger la vie privée :

  1. Utilisez des méthodes sécurisées.
    • Dans la mesure du possible, utilisez des plateformes de courriel chiffrées ou de messagerie sécurisée.
    • Si le chiffrement n’est pas disponible, évitez de partager des détails de santé sensibles. Limitez-vous à des mesures simples comme les rappels de rendez-vous.
  2. Obtenez le consentement du patient.
    • Avant d’utiliser un courriel ou un message de texte pour autre chose que la planification de base, demandez l’autorisation du patient.
    • Expliquez :
      • Le type de messages que vous enverrez
      • Les risques liés à l’utilisation du courriel ou des messages de texte
      • La façon dont ses renseignements seront stockés et protégés
  3. Gardez les renseignements au minimum.
    • Ne partagez que ce qui est nécessaire.
    • N’incluez jamais de renseignements sur la santé détaillés dans des messages non chiffrés.
  4. Protégez vos appareils.
    • Utilisez des mots de passe forts et une authentification à deux facteurs.
    • Gardez les logiciels à jour.
    • Verrouillez l Ne partagez que ce qui est nécessaire.
  5. Ayez une politique établie.
    • Élaborez une politique écrite pour la communication par courriel et messages de texte.
    • Formez le personnel pour que tout le monde comprenne les règles sur la protection de la vie privée.
  6. Enregistrez et conservez correctement.
    • Ajoutez tout ce qui est cliniquement pertinent, comme les messages et la communication, au dossier officiel du patient.
    • Supprimez les messages en toute sécurité quand ils ne sont plus nécessaires.
  7. Signalez les violations.
    • Si des renseignements sont perdus, volés ou envoyés à la mauvaise personne, signalez-les immédiatement au Commissaire à l’information et à la protection de la vie privée de l’Ontario.

Considérations en matière de protection de la vie privée lors du démarrage ou du départ d’une pratique

Avant de commencer à travailler pour un organisme, demandez à consulter sa politique sur la protection de la vie privée.  Assurez-vous de vous inscrire à une formation sur la protection de la vie privée lorsqu’elle est disponible par l’Ordre ou par le Commissaire à l’information et à la protection de la vie privée.

Si vous démarrez votre propre pratique, en tant que praticien individuel ou dans le but d’embaucher d’autres personnes, vous êtes probablement le dépositaire des renseignements sur la santé et vous devez élaborer votre propre politique sur la protection de la vie privée.

  • Créez une politique officielle sur la protection de la vie privée couvrant la collecte, l’accès, la rétention, l’élimination des renseignements personnels sur la santé, la gestion des violations et les devoirs des agents.
  • Rédigez une déclaration publique sur la protection de la vie privée que les patients peuvent consulter.
  • Formez le personnel à l’égard de la conformité avec la LPRPS et mettez à jour les politiques au fil du temps.
  • Ayez des contrôles administratifs, techniques et physiques (p. ex., mots de passe, registres de vérification, stockage verrouillable).
  • Conservez des registres de vérification de l’accès aux dossiers de santé électroniques selon l’exigence de la LPRPS.
  • Mettez en place des systèmes pour conserver les renseignements personnels sur la santé pendant la période obligatoire de conservation et pour les éliminer de façon sécuritaire lorsque c’est approprié.
  • Assurez-vous que les physiothérapeutes dans votre organisme conservent des notes complètes, rédigées en temps opportun et datées telles que définies dans la Norme de documentation.
  • Fournissez de l’accès aux dossiers des patients dans les 30 jours.
  • Répondez aux demandes des patients pour corriger leurs dossiers dans les 30 jours.

Si vous quittez une pratique, il est important de comprendre vos responsabilités pendant la transition.

  • En tant qu’agent, vous devez respecter les politiques et procédures en matière de protection de la vie privée du dépositaire de renseignements sur la santé.
  • Vous êtes responsable de protéger les renseignements des patients tant que vous y avez accès. Confirmez qui sera responsable des dossiers des patients après votre départ.
  • Assurez-vous que les patients peuvent toujours accéder à leurs dossiers après votre départ.
  • Remplissez votre dossier de physiothérapie pour que les dossiers soient complets et précis avant de les transférer.
  • Coordonnez avec le dépositaire de renseignements sur la santé pour transférer les patients actifs vers un autre fournisseur.
  • Si vous ne pouvez pas transférer vos soins, offrez des plans de sortie pour que les patients ne restent pas sans soutien.
  • N’emportez aucun dossier ou coordonnées d’un patient avec vous à moins d’être autorisé par le dépositaire de renseignements sur la santé.
  • Suivez les instructions du dépositaire de renseignements sur la santé pour la manipulation et l’élimination sécuritaires de tout renseignement personnel sur la santé.

Divulgation de renseignements personnels sur la santé sans consentement

En vertu de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS), le consentement du patient est généralement requis avant de partager des renseignements personnels sur la santé. Cependant, il y a des situations où la divulgation est permise ou requise sans consentement. Voici ce que vous devez savoir.

La plupart du temps, vous avez besoin d’un consentement pour partager des renseignements sur la santé. Cependant, la LPRPS fait des exceptions dans certains cas :

  • Divulgation pour fournir des soins
    Les renseignements sur la santé peuvent être partagés entre les professionnels de la santé impliqués dans les soins d’un patient sans demander de consentement. C’est ce qu’on appelle le consentement implicite et s’applique lorsque les renseignements sont nécessaires pour fournir un traitement, et que le patient n’a pas dit « non ».
  • Lorsque la loi l’exige
    Parfois, il faut partager des renseignements parce que la loi l’exige. Des exemples incluent les ordonnances judiciaires, les assignations à comparaître ou les rapports réglementaires ou de santé publique obligatoires.
  • Prévenir les dommages graves
    Si vous croyez que quelqu’un est à risque de blessures corporelles graves, vous pouvez partager des renseignements pour prévenir ou réduire ce risque. Cela comprend les appels au 911.
  • Santé publique et urgences
    Les renseignements peuvent être partagés sans consentement pour gérer des questions urgentes de santé publique ou répondre à des situations d’urgence menaçant la sécurité.
  • Recherche et planification du système de santé
    La LPRPS permet la divulgation pour la recherche ou la planification du système de santé, mais seulement sous des conditions strictes, telles que l’obtention d’une approbation éthique et avec des garanties en matière de protection de la vie privée.
  • Procédures judiciaires et application de la loi
    Les renseignements peuvent être partagés pour des procédures judiciaires ou avec la police si la loi l’exige, ou dans des situations comme la prévention des préjudices. Communiquez avec un avocat si vous avez des questions.

Dans tous les autres cas, vous avez besoin du consentement du patient avant de partager ses renseignements sur la santé. Si vous avez des doutes, vérifiez la LPRPS ou parlez à votre agent de protection de la vie privée.

Comment utiliser le coffret de sécurité

Parfois, un patient partage avec son physiothérapeute des renseignements qu’il préférerait ne pas voir partagés avec quelqu’un d’autre. Si le physiothérapeute détermine que les renseignements sont pertinents dans le contexte clinique (c’est-à-dire qu’ils pourraient influencer le plan de traitement à l’avenir), il doit enregistrer les renseignements dans le dossier du patient. Cependant, il peut limiter qui peut accéder aux renseignements à l’aide du coffret de sécurité. Ceci est aussi connu sous le nom de directive de consentement en vertu de la LPRPS.

Le coffret de sécurité permet aux patients de contrôler qui voit la totalité ou une partie de leur dossier de santé, même lorsque vous fournissez des soins.

Un patient peut vous demander de ne pas utiliser ni partager :

  • des renseignements précis (comme un diagnostic ou un incident particulier);
  • son dossier complet;
  • des dossiers avec certains fournisseurs (comme l’absence d’accès pour un médecin ou un thérapeute en particulier).

Exemple clinique : un coffret de sécurité en physiothérapie à domicile

Un physiothérapeute offre une thérapie à domicile à un patient en convalescence après une chirurgie de la hanche. Lors de la première visite, le patient dit :

« Je ne veux pas que mon médecin de famille connaisse mon récent diagnostic de santé mentale. Veuillez garder cette partie de mon dossier privée. »

Selon la disposition sur le coffret de sécurité de la LPRPS, le physiothérapeute doit :

  • Documenter l’instruction du patient dans ses notes cliniques et le dossier de santé électronique :
    « Le patient a demandé que les renseignements sur la santé mentale ne soient pas partagés avec le Dr Smith (médecin de famille). »
  • Limiter l’accès : Lors de l’envoi de rapports d’avancement ou de mises à jour au médecin de famille, le physiothérapeute exclut toute mention du diagnostic de santé mentale.
  • Continuer les soins en toute sécurité : Le physiothérapeute peut toujours offrir une réadaptation de la hanche sans partager les renseignements verrouillés.
    • Expliquer la raison pour laquelle le partage pourrait être nécessaire pour des soins sécuritaires.
    • Obtenir à nouveau le consentement du patient avant de le divulguer.
    • Si le patient refuse et qu’il y a un risque sérieux de préjudice, la LPRPS permet la divulgation en vertu de l’exception du « risque de préjudice grave ».

Ressources et liens

Liste de vérification de la protection de la vie privée — Testez vos connaissances Consulter

Vue

Comment rédiger une déclaration publique de protection de la vie privée pour votre pratique

Vue

Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS)

Consulter

Commissaire à l’information et à la protection de la vie privée de l’Ontario

Consulter

Ordre des physiothérapeutes de l’Ontario – Un guide de la LPRPS 

Consulter

Mise à jour de la LPRPS 2020 – Résumé des modifications clés (PDF)

Consulter

Manuel de gestion de la protection de la vie privée à l’intention des petits organismes de soins de santé

Consulter

Des questions ou des préoccupations?

Si vous avez des questions sur vos responsabilités, communiquez avec les conseillers sur la pratique de l’Ordre, le responsable de la protection de la vie privée de votre organisme ou le Commissaire à l’information et à la protection de la vie privée.

Si vous êtes un patient ayant des préoccupations concernant votre vie privée, communiquez directement avec le fournisseur de soins de santé ou déposez une plainte auprès de l’Ordre ou du Commissaire à l’information et à la protection de la vie privée de l’Ontario.

Conseils sur la pratique
Commissaire à l’information et à la protection de la vie privée
Retour en haut de la page