Page d'accueilEnglishPour rejoindre de l'ombudsman
à propos du BureauDivision de LAIPVPDivision de l'ombudsman
LAIPVPLRMP
Foire aux questionsRapports et publications

Législation
Liens d'hypertexte
Quoi de neuf?Carte du site
ChercherPolitique de site



Division de l'accès à l'information et de la proection de la vie privée



Communiqué de presse
Pour diffusion le 21 avril 1999


La Manitoba X-ray Clinic entreprend une vérification de sécurité d'après les recommandations du Bureau de l'ombudsman

Winnipeg - Le Bureau de l'ombudsman du Manitoba a terminé une enquête qui avait été entreprise après qu'on ait signalé que des dossiers médicaux de patients avaient été laissés dans une benne à ordures derrière l'un des locaux de la Manitoba X-ray Clinic, où on en avait disposé. L'ombudsman du Manitoba, Barry Tuckett, a reconnu que la Clinique a négligé de se conformer au paragraphe 17(3) de la Loi sur les renseignements médicaux personnels, selon lequel un dépositaire de renseignements médicaux personnels doit faire en sorte que « les renseignements médicaux personnels soient détruits d'une manière qui protège la vie privée du particulier qu'ils concernent. »

L'enquête a été entreprise sur l'initiative de l'ombudsman quand, le 5 mars 1999, les médias ont rapporté qu'à la suite de l'appel téléphonique d'un citoyen, des dossiers de patients avaient été trouvés exposés à la vue. Il avait alors été établi que la Manitoba X-ray Clinic avait disposé des dossiers en question.
 

 



Dans son rapport du 12 mars 1999 à la Clinique, l'ombudsman a formulé les six recommandations suivantes :

  1. Que la Manitoba X-ray Clinic (la « Clinique ») cesse immédiatement toute destruction de renseignements médicaux personnels contraire à la Loi sur les renseignements médicaux personnels.

  2. Que la Clinique adopte des mesures afin que les renseignements personnels envoyés depuis quelques mois à des sites d'enfouissement ne soient pas susceptibles de faire l'objet d'une divulgation ou d'un accès non autorisé, et que ces mesures soient signalées au Bureau de l'ombudsman dans le cadre de la réponse de la Clinique aux recommandations de l'ombudsman.

  3. Que la Clinique entreprenne sans délai de vérifier sa conformité aux dispositions des articles 17, 18 et 19 de la Loi sur les renseignements médicaux personnels et à celles de son règlement.

  4. Que la Clinique précise des mesures en vue de corriger les carences mises en évidence par l'exercice de vérification, de manière prioritaire et urgente.

  5. Que la Clinique fournisse au Bureau de l'ombudsman une copie de cette vérification et de l'échéancier proposé en vue de rectifier les carences précisées en ce qui concerne la conformité aux articles 17, 18 et 19 de la Loi sur les renseignements médicaux personnels et à son règlement.

  6. Que la Clinique prenne des mesures pour informer ses directeurs et ses employés quant au sens et aux implications de la Loi sur les renseignements médicaux personnels.

Conformément à la Loi sur les renseignements médicaux personnels, la Clinique s'est vue accorder 14 jours pour répondre aux recommandations de l'ombudsman.

« La Clinique a respecté l'échéance, a expliqué M. Tuckett, et a indiqué sa volonté de se plier à la Loi le plus rapidement possible. Je suis satisfait du sérieux et de la sincérité qui ont été manifestés pendant notre enquête, et du fait que la Clinique a répondu à chacune de nos recommandations de manière satisfaisante ».

La Clinique a expliqué que sa vérification portait sur sept points et que les mesures correctrices comprennent ce qui suit :

  • Un manuel de politiques et de méthodes est en cours de rédaction et sera terminé d'ici le 30 avril 1999.
  • La Clinique négocie présentement l'achat de broyeurs de documents, ainsi qu'un contrat de service de déchiquetage. Aucune destruction de renseignements médicaux personnels n'aura lieu avant que ces services ne soient mis en place. On prévoit que ces achats seront finalisés d'ici le 30 avril 1999.
  • Le manuel de politiques et de méthodes abordera les questions suivantes : document faisant état de la destruction, politiques et directives écrites, restrictions d'accès et autres précautions; il servira en outre de base à l'orientation et à la formation des employés.
  • Une promesse de confidentialité a été mise au point et sera présentée avec le manuel.

L'ombudsman a déclaré que cet incident avait un aspect positif puisque la publicité qu'il a attirée a contribué à sensibiliser d'autres dépositaires de renseignements médicaux personnels et gestionnaires de l'information aux exigences de la Loi sur les renseignements médicaux personnels. « J'avoue néanmoins être préoccupé par le fait qu'il pourrait y avoir d'autres dépositaires qui ne respectent pas encore la Loi », a-t-il expliqué.

Le Bureau de l'ombudsman fera un suivi auprès de la Clinique quant à la mise en œuvre des recommandations et des mesures de conformité établies dans le cadre de la vérification de sécurité de la Clinique.


 

 

HISTORIQUE

La Loi sur les renseignements médicaux personnels a été adoptée le 11 décembre 1997 par le gouvernement du Manitoba dans le but de :

  • donner aux particuliers le droit d'examiner et de recevoir une copie des renseignements médicaux personnels qui les concernent et que maintient un dépositaire de renseignements médicaux personnels, sous réserve des exceptions limitées et précises qu'elle prévoit;
  • donner aux particuliers le droit de demander la correction des renseignements médicaux personnels qui les concernent et que maintient un dépositaire;
  • régir le mode selon lequel les dépositaires peuvent recueillir des renseignements médicaux personnels;
  • protéger les particuliers contre l'utilisation, la communication ou la destruction non autorisée de renseignements médicaux personnels par les dépositaires;
  • régir la collecte, l'utilisation et la communication du numéro d'identification médical personnel des particuliers;
  • prévoir l'exercice de recours indépendants à l'égard des décisions prises par les dépositaires sous son régime.

La Loi concerne la presque totalité des personnes et des organismes qui maintiennent des renseignements médicaux au Manitoba, y compris tous les réseaux de renseignements médicaux. Conformément à la Loi, un « dépositaire » est défini comme un professionnel de la santé, un établissement de soins de santé, un organisme public ou un organisme de services de santé qui recueille ou maintient des renseignements médicaux personnels.

La Loi prévoyait que les dépositaires de renseignements médicaux personnels avaient jusqu'au 11 décembre 1998 pour se conformer aux dispositions du Règlement quant à la sécurité et la confidentialité, et deux années supplémentaires étant accordées en ce qui a trait aux renseignements médicaux personnels électroniques.

Cette loi est la première au Canada qui traite spécifiquement de renseignements médicaux personnels.

EXTRAIT DU RAPPORT ET DES RECOMMANDATIONS DE L'OMBUDSMAN

L'enquête reposait sur une plainte déposée par l'ombudsman conformément à la Partie 5 de la Loi sur les renseignements médicaux personnels, qui cite :

Plainte émanant de l'ombudsman
39(4) L'ombudsman peut lui-même prendre l'initiative d'une plainte s'il a des motifs raisonnables de croire qu'une enquête devrait être menée relativement à une question sous régime de la présente loi.

L'enquête portait sur deux questions fondamentales : 1) les manquements présumés immédiats et les mesures correctrices et 2) les questions reliées aux politiques de maintien et de destruction de renseignements et aux garanties de sécurité, conformément aux articles 17, 18 et 19 de la Loi sur les renseignements médicaux personnels (LRMP) et au Règlement sur les renseignements médicaux personnels 245/97 (le « Règlement »).

Le rapport et les recommandations suivants ont été formulés, d'après l'analyse du Bureau de l'ombudsman.

LOI ET HISTORIQUE

En vertu de la Loi sur les renseignements médicaux personnels, un texte de loi de l'Assemblée législative du Manitoba, la Manitoba X-ray Clinic (la « Clinique ») est un dépositaire. En plus d'effectuer des enquêtes sur l'accès aux renseignements médicaux personnels et de répondre aux plaintes concernant la confidentialité conformément à la Loi, le Bureau de l'ombudsman de la province peut procéder à des enquêtes et à des vérifications et faire des recommandations pour surveiller et garantir l'observation de la Loi, il peut renseigner le public au sujet de la Loi et il peut commenter quant aux répercussions des programmes et pratiques des dépositaires sur l'accès aux renseignements médicaux personnels et sur la confidentialité.

De manière plus précise, l'article 17 de la LRMP stipule ce qui suit :

Directives en matière de conservation et de destruction
17(1) Le dépositaire observe les directives, qu'il établit par écrit, concernant la conservation et la destruction des renseignements médicaux personnels.

Observation des règlements
17(2) Les directives respectent les exigences réglementaires.

Mode de destruction
17(3) En conformité avec les exigences réglementaires, le dépositaire fait en sorte que les renseignements médicaux personnels soient détruits d'une manière qui protège la vie privée du particulier qu'ils concernent.

Document faisant état de la destruction
17(4) S'il détruit des renseignements médicaux personnels, le dépositaire conserve un document mentionnant :

  1. le particulier dont les renseignements sont détruits et la période à laquelle ceux-ci se rapportent;
  2. le mode de destruction et la personne chargée de superviser la destruction.

Le Règlement prévoit les détails supplémentaires suivants :

Directives écrites
2 Le dépositaire établit des directives écrites qu'il observe et qui contiennent :

  1. des dispositions pour la sécurité des renseignements médicaux personnels au cours de leur collecte, de leur utilisation, de leur communication, de leur stockage et de leur destruction, notamment des mesures :
    1. garantissant la sécurité des renseignements si un document les contenant est retiré d'un lieu désigné d'accès réservé,
    2. garantissant la sécurité des renseignements sous forme électronique si le matériel informatique ou les supports électroniques amovibles servant à leur consignation sont utilisés à une autre fin ou qu'il en soit disposé;
  2. des dispositions prévoyant la consignation des atteintes à la sécurité des renseignements;
  3. des mesures correctrices visant à remédier aux atteintes à la sécurité des renseignements.

Restrictions d'accès et autres précautions
3 Le dépositaire :

  1. fait en sorte que les renseignements médicaux personnels soient maintenus dans un ou des lieux désignés et fassent l'objet de mesures de protection appropriées;
  2. limite l'accès aux lieux désignés où se trouvent des renseignements médicaux personnels aux personnes autorisées;
  3. prend les précautions voulues pour protéger les renseignements médicaux personnels contre le feu, le vol, le vandalisme, la détérioration, la destruction ou la perte accidentelle et d'autres dangers;
  4. fait en sorte que les supports électroniques amovibles servant à consigner les renseignements médicaux soient gardés en lieu sûr lorsqu'ils ne sont pas utilisés.

Le Règlement, adopté le 11 décembre 1997, donnait aux dépositaires un délai d'un an pour se conformer à ses dispositions, à l'exception de l'article 4 (Protection des renseignements électroniques) auquel, selon le paragraphe 9(3), les dépositaires doivent se conformer au plus tard le 11 décembre 2000.

L'importance accordée aux exigences législatives conformément à la LRMP est appuyée par les sanctions qui sont prévues dans la Loi, notamment :

Infractions par les dépositaires et les gestionnaires de l'information
63(3) Commet une infraction le dépositaire ou le gestionnaire de l'information qui :

  1. omet de protéger de façon sûre des renseignements médicaux personnels contrairement aux prescriptions de la présente loi;

Infraction continue
63(5) Il est compté une infraction distincte à la présente loi pour chacun des jours au cours desquels se continue l'infraction.

Prescription
63(6) Les poursuites visant une infraction à la présente loi se prescrivent par deux ans à compter de la date à laquelle elle aurait été perpétrée.

Peine
64(1) La personne qui commet une des infractions prévues à l'article 63 encourt, sur déclaration de culpabilité par procédure sommaire, une amende maximale de 50 000 $.

Administrateurs et dirigeants de personnes morales
64(2) En cas de perpétration par une personne morale d'une infraction, ceux de ses administrateurs ou dirigeants qui l'ont autorisée ou qui y ont consenti commettent également une infraction et encourent, sur déclaration de culpabilité par procédure sommaire, une amende maximale de 50 000 $.

QUESTION IMMÉDIATE ET MESURES CORRECTRICES

La question à régler dans l'immédiat et l'objet de la plainte examinée par le Bureau est l'infraction au paragraphe 17(3) de la LRMP qui stipule que « les renseignements personnels soient détruits d'une manière qui protège la vie privée du particulier qu'ils concernent. »

Le 5 mars 1999, le Bureau a appris que des renseignements médicaux personnels apparemment conservés par la Clinique et sous son contrôle, avaient été trouvés dans une benne à ordures prête pour la collecte et la mise au rebut dans une décharge locale. Un enquêteur chargé des vérifications de conformité de la Division de l'accès à l'information et de la protection de la vie privée s'est immédiatement mis en rapport avec le directeur de la Clinique qui a confirmé que des renseignements médicaux personnels en la possession de la Clinique avaient été placés dans la benne à ordures et expliqué qu'ils avaient alors été recueillis pour être acheminés à la décharge. L'inspecteur a examiné la benne et confirmé que les dossiers n'y étaient plus visibles. Le directeur a remis au Bureau une déclaration concernant les directives en vigueur pour la destruction de certains dossiers contenant des renseignements médicaux. Il est alors apparu clairement que la Clinique ne disposait ni d'une politique écrite sur la conservation et la destruction de renseignements médicaux personnels, ni d'un document faisant état de la destruction, conformément aux exigences de la LRMP.

Une enquête plus approfondie et une réunion avec le président de la Clinique ont ensuite permis à l'ombudsman de rapporter ce qui suit :

Je suis persuadé que la Clinique a agi avec une promptitude raisonnable afin qu'aucun dossier ne soit laissé sans être ficelé dans la benne à ordures, et que la benne a été vidée tel que prévu le soir du 5 mars. Néanmoins, je dois signaler à la Clinique qu'à mon avis, la méthode qui consiste à faire des liasses de documents médicaux personnels qui sont transportés à des décharges ne respecte pas les exigences de la Loi. La mise au rebut de renseignements médicaux personnels dans des poubelles extérieures ne garantit pas une sécurité adéquate des renseignements personnels; il ne s'agit pas d'un lieu désigné approprié; cette pratique ne limite pas l'accès aux personnes autorisées; et elle ne prévoit pas de précautions raisonnables visant à protéger les renseignements médicaux personnels contre le vol, le furetage, le vandalisme et autres risques.

L'ombudsman a également signalé qu'à son avis, le fait de disposer de renseignements médicaux personnels dans des décharges ne garantit pas ni la destruction des dossiers, ni la mise au rebut des renseignements, et ne protège pas la vie privée des particuliers qu'ils concernent. On sait que les documents peuvent rester intacts et lisibles pendant des années, même dans des conditions néfastes, et que dans les décharges, d'autres personnes peuvent y avoir accès. Il existe des moyens et des mesures normalisés permettant d'assurer la destruction complète de renseignements consignés sur papier comme sur d'autres supports.

L'ombudsman a également dit être préoccupé par le fait que les dossiers apparemment transportés à la décharge le soir du 5 mars pourraient être encore intacts à l'heure actuelle et donc sujets à des inspections inopportunes et non autorisées.

AUTRES QUESTIONS CONCERNANT LA GARANTIE DE SÉCURITÉ

Pendant l'enquête, il s'est également avéré que la Clinique ne respectait pas, dans une large mesure, les dispositions du Règlement sur les renseignements médicaux personnels. Les titres des articles de ce dernier suffisent à identifier les éléments sur lesquels la Clinique doit se pencher : (2) Directives écrites, (3) Restriction d'accès et autres précautions, (4) Protection des renseignements électroniques, (5) Accès autorisé, (6) Orientation et formation des employés, (7) Confidentialité, (8) Vérification.

Les dispositions du Règlement quant à la vérification stipulent ce qui suit :

Vérification
8(1) Le dépositaire vérifie les mesures de protection qu'il a prises au moins une fois tous les deux ans.
8(2) Le dépositaire corrige dès que possible les carences que la vérification lui permet, le cas échéant, de déceler dans les mesures de protection qu'il a prises.

RECOMMANDATIONS DE L'OMBUDSMAN

La Loi sur les renseignements médicaux personnels prévoit les mesures d'établissement d'un rapport par l'ombudsman :

Rapport
47(1) Dès la fin de son enquête, l'ombudsman établit un rapport contenant ses conclusions et les recommandations qu'il estime appropriées au sujet de la plainte.

Recommandations concernant la confidentialité
47(3) Si son rapport a trait à une plainte concernant la confidentialité, l'ombudsman :

  1. indique si, selon lui, la plainte est bien fondée;
  2. peut, pourvu que le dépositaire ait eu la possibilité de lui présenter des observations, recommander que celui-ci :
    1. cesse ou modifie une pratique déterminée concernant la collecte, l'utilisation, la communication, la conservation ou la destruction de renseignements médicaux en contravention avec la présente loi…

D'après les dispositions de la LRMP et les renseignements obtenus dans le cadre de l'examen du Bureau, l'ombudsman a conclu que la Manitoba X-ray Clinic a négligé de se conformer au paragraphe 17(3) de la LRMP en vertu duquel le dépositaire doit faire en sorte « que les renseignements médicaux personnels soient détruits d'une manière qui protège la vie privée du particulier qu'ils concernent. »

Par conséquent, les recommandations suivantes ont été formulées :

  1. Que la Manitoba X-ray Clinic (la « Clinique ») cesse immédiatement toute destruction de renseignements médicaux personnels contraire à la Loi sur les renseignements médicaux personnels.

  2. Que la Clinique adopte des mesures afin que les renseignements personnels envoyés depuis quelques mois à des sites d'enfouissement ne soient pas susceptibles de faire l'objet d'une divulgation ou d'un accès non autorisé, et que ces mesures soient signalées au Bureau de l'ombudsman dans le cadre de la réponse de la Clinique aux recommandations de l'ombudsman.

  3. Que la Clinique entreprenne sans délai de vérifier sa conformité aux articles 17, 18 et 19 de la Loi sur les renseignements médicaux personnels et à celles de son règlement.

  4. Que la Clinique précise des mesures en vue de corriger les carences mises en évidence par l'exercice de vérification, de manière prioritaire et urgente.

  5. Que la Clinique fournisse au Bureau de l'ombudsman une copie de cette vérification et de l'échéancier proposé en vue de rectifier les carences précisées en ce qui concerne la conformité aux articles 17, 18 et 19 de la Loi sur les renseignements médicaux personnels et à son règlement.

  6. Que la Clinique prenne des mesures pour informer ses directeurs et ses employés quant au sens et aux implications de la Loi sur les renseignements médicaux personnels.

En formulant ces recommandations, on a reconnu que la Clinique pourrait avoir besoin d'aide pour s'assurer que ses politiques et ses pratiques sont conformes à la Loi. Le Bureau croit que Santé Manitoba apportera son aide à la compréhension du sens et de l'intention des dispositions de la Loi, sans pouvoir cependant être considéré comme une source d'interprétation légale ou de conseil juridique. On a conseillé à la Clinique de consulter ses propres avocats en ce qui concerne les questions de conformité. Le Bureau de l'ombudsman est un bureau de recours indépendant qui peut, de temps à autre, donner des conseils à la Clinique, mais sous réserve de toute activité de vérification qui pourrait être entreprise à une date ultérieure par le Bureau de l'ombudsman.

L'ombudsman a également observé que si les recommandations visaient en fait l'obtention d'un plan d'action global et d'un dossier sur les mesures de conformité adoptées sans délai par la Clinique, on aurait avantage, dans l'intérêt des patients et de la Clinique, à veiller à l'adoption prompte de mesures en vue de rendre les politiques et pratiques de traitement de l'information de la Clinique conformes aux exigences de la LRMP.


Réponse de la Manitoba X-ray Clinic

Quand l'ombudsman formule des recommandations en réponse à une plainte, la LRMP prévoit ce qui suit :

Réponse du dépositaire
48(4) Si le rapport contient des recommandations, le dépositaire envoie à l'ombudsman, dans les 14 jours suivant la réception du rapport, une réponse écrite indiquant :

  1. qu'il accepte les recommandations et faisant état des mesures qu'il a prises ou qu'il envisage de prendre pour leur mise en œuvre;
  2. les motifs invoqués pour ne pas donner suite aux recommandations.

Observation des recommandations
48(6) S'il accepte les recommandations que contient le rapport, le dépositaire y donne suite dans les 15 jours suivant leur acceptation ou dans le délai supplémentaire que l'ombudsman estime raisonnable.

Le rapport et les recommandations ont été envoyés à la Manitoba X-ray Clinic le 12 mars 1999 et la réponse de la Clinique a été reçue le 25 mars 1999.

La Clinique signalait que sa vérification avait porté sur sept points : les politiques de conservation et de destruction de renseignements personnels; la méthode de destruction de renseignements personnels qui respecte la vie privée des particuliers, le document faisant état de la destruction, les directives écrites, la restriction d'accès et autres précautions, l'orientation et la formation des employés et la promesse de confidentialité. Les mesures correctrices incluent ce qui suit :

  • Un manuel de politiques et de méthodes est en cours de rédaction et sera terminé d'ici le 30 avril 1999.
  • La Clinique négocie présentement l'achat de broyeurs de documents, ainsi qu'un contrat de service de déchiquetage. Aucune destruction de renseignements médicaux personnels n'aura lieu avant que ces services ne soient mis en place. On prévoit que ces achats seront finalisés d'ici le 30 avril 1999.
  • Le manuel de politiques et de méthodes abordera les questions suivantes : document faisant état de la destruction, politiques et directives écrites, restrictions d'accès et autres précautions; il servira en outre de base à l'orientation et à la formation des employés.
  • Une promesse de confidentialité a été mise au point et sera présentée avec le manuel.