InfoDROIT: Risques juridiques liés à l’utilisation du courrier électronique – Première partie : Préoccupations relatives à la protection des renseignements personnels - Société de protection des infirmières et infirmiers du Canada

Veuillez noter que le contenu de cette page est en cours de révision. Veuillez nous contacter au 1-800-267-3390 si vous avez des questions liées à ce sujet.

Risques juridiques liés à l’utilisation du courrier électronique – Première partie : Préoccupations relatives à la protection des renseignements personnels

Préoccupations liées à la protection des renseignements personnels

Le courrier électronique (courriel) est largement utilisé par les organismes de soins de santé et les professionnels de la santé pour sa rapidité, sa fiabilité et sa commodité. Cependant, les mêmes caractéristiques qui font du courriel un outil avantageux sont aussi la source de risques juridiques, y compris de possibles atteintes à la vie privée. En étant conscients des risques inhérents à l’usage du courriel, les infirmières et infirmiers peuvent les gérer afin de réduire leur responsabilité civile et professionnelle.

Sécurité et protection des réseaux

Les renseignements personnels sur la santé du patient contenus dans les correspondances par courriel sont régis par les mêmes lois sur la gestion des renseignements personnels que ceux contenus dans les dossiers médicaux. Par conséquent, il est très important de respecter la confidentialité et la protection des renseignements personnels dans tout usage du courriel pour communiquer des informations sur la santé d’un patient à des destinataires qui ne font pas partie d’un réseau interne sécurisé. En général, les systèmes de courriel sur internet n’ont pas le niveau de sécurité adéquat pour assurer une transmission sécurisée d’informations sensibles. Au sein d’un même réseau interne sécurisé, en fonction du système utilisé, il pourrait être nécessaire d’installer des fonctionnalités de sécurité supplémentaires pour protéger le serveur ainsi que tous les périphériques qui sont connectés au réseau, y compris les ordinateurs de bureau, les ordinateurs portables, les téléphones intelligents, etc. Il serait plus prudent pour les infirmières et infirmiers d’obtenir la confirmation de la part de leur employeur que les mesures de protection nécessaires sont en place avant de transmettre tout renseignement personnel sur la santé d’un patient par courriel. Compte tenu de l’émergence constante de nouvelles menaces à la sécurité électronique, les infirmières et infirmiers qui exercent leur profession à leur compte ou qui agissent en tant que dépositaires des renseignements sur la santé seraient prudents de consulter un professionnel des technologies de l’information pour s’assurer de la sécurité de leurs systèmes de communication électronique.

En outre, les commissaires à la protection de la vie privée ont déjà publié des directives sur la question et ont rendu des décisions sur l’usage du courriel pour la transmission de renseignements personnels à des adresses électroniques qui ne font pas partie d’un réseau sécurisé. Dans les situations où le courrier électronique est choisi comme mode de transmission, les commissaires à la protection de la vie privée recommandent vivement de veiller à ce qu’ un chiffrement robuste soit en place, pour empêcher toute interception par des parties non autorisées. [1]

D’autres considérations relatives à la protection des renseignements personnels

Parmi d’autres facteurs à prendre en compte avant d’envoyer tout renseignement personnel sur la santé par courriel :

Le destinataire est-il autorisé à recevoir les informations ?
L’adresse courriel fournie est-elle correcte ? A-t-elle été transcrite avec exactitude ou a-t-elle été sélectionnée d’un menu ?
Le destinataire visé est-il le seul à avoir accès à l’adresse courriel ?
Le destinataire est-il tenu par la loi de mettre en place les mesures de protection nécessaires afin de protéger les informations de tout accès, usage ou divulgation non conforme?

Les infirmières et infirmiers qui comptent communiquer des renseignements personnels sur la santé par courriel en dehors d’un réseau interne sécurisé seraient également prudents d’informer leurs patients des risques inhérents à l’usage du courriel, de s’entretenir avec eux sur les avantages et les inconvénients de modes alternatifs de communication et d’obtenir leurs consentements écrits avant de transmettre tout renseignement personnel. La responsabilité de la protection des renseignements personnels n’incombe pas au patient. Elle n’est pas réduite non plus lorsque le patient a donné son consentement éclairé pour la communication par courriel. [2] Le commissaire à l’information et à la protection de la vie privée de l’Ontario ajoute que les fournisseurs de soins de santé ont toujours l’obligation de prendre les mesures nécessaires pour assurer la protection des informations médicales dont ils ont la garde et le contrôle, et cela même si les patients acceptent les risques associés à l’accès non autorisé ou la divulgation de leurs renseignements personnels. [3]

Étant donné les risques inhérents à la communication par courriel, lorsque le temps le permet, les infirmières et infirmiers peuvent voir si les modes d’échange d’informations plus traditionnels et sûrs (p. ex. le courrier recommandé) sont plus adéquats.

Considérations légales et règlementaires

Les infirmières et infirmiers doivent prendre en compte toutes les exigences légales (p. ex. les lois sur la protection des renseignements personnels) ainsi que toute autre exigence émanant de l’organisme de règlementation de leur juridiction concernant l’usage du courriel à des fins cliniques. Par exemple, la loi de l’Alberta qui régit les renseignements sur la santé, intitulée Health Information Act, exige que les organismes de soins de santé qui comptent apporter des changements à la manière dont ils collectent, utilisent ou divulguent des renseignements personnels sur la santé des patients (p. ex. la transmission d’informations par courriel) soumettent leurs propositions et leurs évaluations des répercussions sur la vie privée à l’approbation du commissaire à la protection de la vie privée. [4]

Politiques de l’employeur

Les infirmières et infirmiers qui travaillent à titre d’employés doivent aussi prendre en considération les politiques mises en place par leur employeur relativement à l’utilisation du courriel à des fins cliniques. L’employeur est généralement le dépositaire des renseignements personnels sur la santé du patient et conséquemment mandaté par la loi pour veiller à la conformité aux exigences légales au sein de l’établissement. Si les politiques sur la question sont insuffisantes, voire inexistantes, il serait prudent de demander conseil à son employeur ou à toute personne autorisée avant de communiquer des renseignements personnels sur la santé par courriel.

Gestion des risques

Les stratégies de gestion des risques suivantes pourraient vous permettre de réduire les risques liés à la communication par courriel :

confirmer l’adresse courriel correcte du destinataire visé avant de transmettre tout renseignement personnel sur la santé;
utiliser un logiciel de chiffrement pour envoyer un courriel à un destinataire externe;
demander aux patients qui souhaitent communiquer par courriel de remplir un formulaire de consentement signé confirmant qu’ils ont pris connaissance et accepté les risques associés à la communication des renseignements personnels par courriel;
si aucun formulaire de consentement n’est utilisé, consigner le consentement explicite du patient à la communication par courriel dans son dossier médical;
pour les infirmiers et infirmières qui sont dépositaires des renseignements personnels sur la santé, obtenir l’assurance écrite de professionnels des technologies de l’information que le système de courriel est sécurisé pour toute transmission de renseignements personnels sur la santé; et
pour les infirmiers et infirmières responsables des contrats informatiques, veiller à ce que les ententes précisent que le système sera utilisé pour transmettre des renseignements personnels, que leur conditions satisfont aux exigences règlementaires en vigueur, et qu’elles renferment les assurances requises quant à la sécurité du système.

Les bénéficiaires de la SPIIC peuvent communiquer avec la SPIIC au 1-800-267-3390 pour parler avec un conseiller juridique de la SPIIC. Tous les appels sont confidentiels.

[1] Ann Cavoukian et Peter G. Rossos, « Personal Health Information: A Practical Tool for Physicians Transitioning from Paper-Based Records to Electronic Health Records », Commissaire à l’information et à la protection de la vie privée de l’Ontario, 21 mai 2009. Ann Cavoukian et Ross Fraser, « Fact Sheet : Health-Care Requirement for Strong Encryption », Commissaire à l’information et à la protection de la vie privée de l’Ontario, juillet 2010; Société de protection des infirmières et infirmiers du Canada, Appareils mobiles au travail, infoDROIT 21(1), novembre 2013.

[2] Office of the Information and Privacy Commissioner of Alberta, « Email Communication FAQs », Edmonton, Alberta, août 2012.

[3] Cavoukian et Rossos, op. cit.

[4] Health Information Act, RSA 2000, c H-5, article 64.

N.B. Dans ce bulletin, le genre féminin englobe le masculin, et inversement, quand le contexte s’y prête.

novembre 2014

LA PRÉSENTE PUBLICATION SERT STRICTEMENT À DES FINS D’INFORMATION. RIEN DANS CETTE PUBLICATION NE DEVRAIT ÊTRE CONSIDÉRÉ COMME L’AVIS JURIDIQUE D’UN AVOCAT, D’UN COLLABORATEUR À LA RÉDACTION DU PRÉSENT BULLETIN OU DE LA SPIIC. LES LECTEURS DEVRAIENT CONSULTER UN CONSEILLER JURIDIQUE POUR OBTENIR DES CONSEILS SPÉCIFIQUES.