Dans un centre hospitalier, la protection des renseignements personnels est une affaire qui ne doit pas être prise à la légère! Me Stéphanie Dorion, responsable de ce dossier au CHU de Québec-Université Laval (CHU), nous parle de cet aspect de son travail.
Quel est votre rôle au sein de l’établissement?
Me Dorion : « À titre de responsable de la protection des renseignements personnels et des renseignements de santé et de services sociaux, mon rôle consiste à m’assurer que notre organisation ainsi que les personnes qui y œuvrent respectent les normes de protection des renseignements personnels des usagers et des intervenants. Je dois notamment veiller à ce que les pratiques de gestion des données soient conformes aux lois et règlements en vigueur, et à ce que l’organisation adopte les meilleures pratiques en matière d’accès, de conservation, de communication et de destruction des renseignements personnels qu’elle détient. »
Qui sont les intervenants qui font partie du comité sur l’accès à l’information et la protection des renseignements personnels? Quel est le rôle du comité?
Me Dorion : « Au CHU, nous avons choisi de constituer un comité élargi, et j’en suis fière! Notre comité réunit des acteurs clés de tous les secteurs impliqués dans le cycle de vie des renseignements personnels : ressources humaines, communications, affaires juridiques, affaires médicales, recherche, sécurité informationnelle, enseignement, gestion des risques, évacuations aéromédicales (EVAQ), archives, etc. Des intervenants impliqués et qui ont la fine compréhension de l’utilisation des renseignements dans leur secteur ont été sélectionnés afin de pouvoir discuter en comité de nos zones de risques et de nos points forts, et de mieux promouvoir les meilleures pratiques.
Le comité est obligatoire en vertu de la loi, mais voici comment nous percevons son rôle au CHU : le comité soutient l’organisation dans l’exercice de ses responsabilités et dans l’exécution de ses obligations en vertu des lois applicables. Ses membres sont des leaders en protection des renseignements personnels. Ils mettent de l’avant, par leur implication et par leurs actions, une culture organisationnelle qui renforce la protection des renseignements personnels et favorise la transparence, tout en étant conscients du caractère sensible des renseignements personnels détenus par l’organisation, notamment les renseignements de santé et de services sociaux, et ceux identifiant les professionnels et les employés qui y travaillent. »
Qu’est-ce la loi 251 change dans la gestion de vos responsabilités?
Me Dorion : « La loi 25, tout comme l’adoption de la Loi sur les renseignements de santé et de services sociaux, a amené des exigences accrues en matière de transparence et de responsabilité. Ça exige la revue du cadre normatif et nous oblige à revoir et à améliorer continuellement nos pratiques de gestion des renseignements personnels. »
Quel type d’incident de confidentialité voyez-vous encore trop souvent?
Me Dorion : « Des accès non autorisés au dossier de l’usager! Les personnes sont curieuses ou ignorent leurs obligations de confidentialité et vont consulter des dossiers sans y être autorisées. Cela est inacceptable et est considéré comme étant un incident de confidentialité pouvant mener à des mesures disciplinaires, peu importe les fonctions de la personne au sein de l’établissement. Autrement, les incidents les plus courants sont souvent liés à des erreurs humaines, comme l’envoi de courriels au mauvais destinataire. Ces incidents démontrent l’importance de la formation continue et de la sensibilisation à la protection des données. »
Selon vous, quelles seraient les trois meilleures pratiques à adopter afin d’assurer la confidentialité des renseignements personnels?
Me Dorion : « D’abord, susciter l’intérêt de tous sur la protection des renseignements personnels, pour que ça devienne un sujet qu’on prend au sérieux! Ensuite, comprendre le critère de nécessité : pour consulter les renseignements personnels d’un individu, incluant les renseignements de santé d’un usager, il faut absolument que ce soit nécessaire. Et enfin, effectuer régulièrement des vérifications pour identifier les bris de confidentialité potentiels. »
Pour terminer, qu’aimeriez-vous rappeler aux intervenants du CHU?
Me Dorion : « J’aimerais rappeler à tous les intervenants que la protection des renseignements personnels est une responsabilité qui nous concerne tous. Chaque intervenant joue un rôle crucial dans la sécurité des données. Il est important de rester vigilant, de respecter les lois ainsi que les normes applicables pour protéger les renseignements personnels hautement sensibles qui circulent dans notre organisation. Si vous êtes témoin d’un comportement inapproprié ou interdit concernant l’utilisation de renseignements personnels, n’hésitez pas à le dénoncer! »
Me Stéphanie Dorion, responsable de la protection des renseignements personnels au CHU de Québec-Université Laval.
Pour toute question en matière de protection des renseignements personnels ou pour signaler un incident lié à la confidentialité, veuillez faire parvenir un courriel à l’adresse suivante : protectionrenseignementspersonnels@chudequebec.ca.
1. Suivez ce lien pour en savoir plus sur la Loi 25.