InfoDROIT: Appareils mobiles au travail

De plus en plus d’infirmières utilisent des téléphones intelligents et autres appareils mobiles pour communiquer avec leurs collègues et patients. Elles leur téléphonent, envoient des messages texte et des courriels et photographient même les conditions dermatologiques. Comprendre les risques liés à l’utilisation des appareils mobiles aidera à éviter des conséquences défavorables sur les plans personnel et professionnel.

Considérations en matière de gestion des risques

Atteinte à la vie privée

Normalement, les appareils mobiles stockent et conservent leurs données. Leur utilisation présente donc le risque de divulgation non autorisée de renseignements personnels sur la santé (RPS).  D’autre part, les appareils mobiles, étant petits et portables, peuvent être perdus ou volés.

Les infirmières sont tenues de protéger la confidentialité des RPS de leurs patients dans le cadre de leurs obligations professionnelles et juridiques. Les appareils mobiles sont généralement sécurisés au moyen de mots de passe forts et de chiffrement afin de prévenir la divulgation non-autorisée des RPS qu’ils contiennent. Il s’agit d’une exigence qu’on retrouve communément dans les politiques et procédures de l’employeur1. Sans chiffrement, les courriels, messages vocaux, photos ou messages texte qui contiennent des RPS peuvent être faire l’objet d’un accès non-autorisé si l’appareil mobile est perdu, volé ou lu par inadvertance par une personne non autorisée.  La divulgation de renseignements personnels non-autorisée peut aussi se produire durant la transmission sans fil2.

Au Canada, plusieurs cas d’atteinte à la vie privée impliquant des appareils mobiles ont été rapportés dans le secteur des soins de santé. Dernièrement, une infirmière a perdu une clé USB  contenant les RPS d’environ 83 500 patients qui venaient d’être vaccinés contre la grippe H1N1. Les données n’étaient pas chiffrées. Le Bureau du commissaire à l’information et à la protection de la vie privée a mené l’enquête et cet incident a donné lieu à un recours collectif. D’autre part, un ordinateur portable a été volé de la voiture d’une infirmière qui travaillait dans un hôpital universitaire. Cet ordinateur contenait les dossiers d’environ 20 000 patients. On a découvert depuis que les dossiers n’étaient pas chiffrés, contrairement à la politique de l’hôpital3. Ces deux cas font donc ressortir l’importance de chiffrer le contenu des appareils mobiles pour protéger les données3.

Intégration au milieu de travail

Certains employeurs interdisent à leurs employés d’utiliser leurs appareils mobiles personnels au travail ou dans certaines zones du lieu de travail, tandis que d’autres fournissent à leur personnel infirmier des appareils mobiles (dont les employeurs restent propriétaires) pour usage clinique.   Par ailleurs, de plus en plus d’employeurs du secteur des soins de santé adoptent des programmes Apportez votre équipement personnel de communication (AVEC) selon lesquels leurs employés sont autorisés, voire même invités, à utiliser leurs appareils mobiles personnels au travail. Les employeurs qui ont établi un programme AVEC adoptent généralement des politiques, protocoles et systèmes complémentaires qui facilitent l’usage d’ appareils mobiles pour interagir avec d’autres professionnels de la santé et pour accéder aux dossiers des patients de manière sécuritaire4. Toutefois, l’utilisation d’appareils mobiles personnels au travail sans intégration sécuritaire ou sans support adéquat (notamment par l’adoption de modalités de chiffrement appropriées), peut aggraver le risque d’atteinte à la vie privée et entraîner d’autres conséquences défavorables.

Gestion des attentes

Parfois, les infirmières, y compris les infirmières praticiennes, utilisent leur appareil mobile pour communiquer directement avec leurs patients, durant et après les heures de travail. En plus de gérer la confidentialité et la sécurité des RPS des patients durant ces communications, il y aurait également lieu de bien gérer les attentes des patients quant aux circonstances et périodes dans lesquelles ce mode de communication est permis, quant au délai de réponse et quant aux mesures à prendre s’il n’y a pas de réponse.

Lutte contre les infections

Des études ont révélé que les appareils mobiles peuvent être fortement contaminés par des bactéries (y compris SARM) possiblement transmises par les travailleurs de la santé5. Vu que les appareils mobiles sont souvent transportés dans maintes chambres de patients, il est important que les infirmières les désinfectent souvent.

Précautions suggérées pour sécuriser les appareils mobiles

• Utiliser les appareils mobiles de l’employeur, s’ils sont fournis, au lieu de son propre appareil.
• Éviter l’enregistrement, la transmission ou le stockage de RPS des patients dans son appareil, sauf si des politiques organisationnelles claires l’autorisent.
• En cas d’usage d’appareil personnel mobile au travail, collaborer avec le service des technologies de l’information de l’employeur afin de s’assurer que la fonctionnalité et les logiciels de son appareil mobile répondent aux normes AVEC de son employeur.
• Respecter les politiques de son employeur et utiliser uniquement un appareil mobile fourni par l’employeur pour prendre des photos ou faire des vidéos de patients à des fins cliniques6.
• Choisir des mots de passe forts et chiffrer toutes les données.
• Limiter le volume de RPS stocké dans votre son appareil ou les anonymiser.
• Fermer ou ne pas valider la technologie WiFi et Bluetooth de tout appareil qui contient ou permet l’accès aux RPS de patients, sans confirmer que la connexion est bien sécurisée.
• Transférer les RPS enregistrés dans son appareil mobile aux dossiers de ses patients dès que possible, et faire ensuite usage d’un logiciel qui efface ces renseignements de façon permanente de son appareil.
• Utiliser la fonctionnalité de temporisation de son appareil pour qu’il se verrouille automatiquement quand il n’est pas utilisé.
• Entreposer son appareil mobile dans un endroit sécurisé et éviter de le laisser sans surveillance ou d’autoriser d’autres personnes à s’en servir.
• Vérifier que son appareil mobile puisse effacer à distance les données qu’il contient au cas où il serait volé.

Les bénéficiaires de la SPIIC peuvent communiquer avec la SPIIC au 1-800-267-3390 pour parler avec un conseiller juridique de la SPIIC. Tous les appels sont confidentiels.

1. Ordonnance HO-004, Bureau du commissaire à l’information et à la protection de la vie privée/Ontario;  2007; « Safeguarding Privacy in a Mobile Workplace », 2007.
2. Ordonnance HO-007 et Ordonnance HO-008,  Bureau du commissaire à l’information et à la protection de la vie privée de l’Ontario.
3. « Investigation Report F12-02 », Office of the Information and Privacy Commissioner for B.C.
4. Jerry Zeidenberg, « Massive acceptance of BYOD at MUHC », Canadian Healthcare Technology 18, 3, avril 2013.
5. Fatma Ulger et al, « Are we aware how contaminated our mobile phones with nosocomial pathogens? », Annals of Clinical Microbiology and Antimicrobials 8, 7, mars 2009.
6. Association des infirmières et infirmiers du Nouveau-Brunswick, « Directive professionnelle : Utilisation éthique et responsable des médias sociaux, » 2012.

N.B. Dans ce bulletin, le genre féminin englobe le masculin et inversement, quand le contexte s’y prête.

Novembre 2013

LA PRÉSENTE PUBLICATION SERT STRICTEMENT À DES FINS D’INFORMATION. RIEN DANS CETTE PUBLICATION NE DEVRAIT ÊTRE CONSIDÉRÉ COMME L’AVIS JURIDIQUE D’UN AVOCAT, D’UN COLLABORATEUR À LA RÉDACTION DU PRÉSENT BULLETIN OU DE LA SPIIC. LES LECTEURS DEVRAIENT CONSULTER UN CONSEILLER JURIDIQUE POUR OBTENIR DES CONSEILS SPÉCIFIQUES.