Le projet de loi 188 apporte des changements importants à la Loi sur la protection des renseignements personnels sur la santé de l’Ontario

Download Télécharger

Le projet de loi 188, Loi de 2020 sur la mise à jour économique et financière de l’Ontario, a reçu la sanction royale le 25 mars 2020. Le projet de loi a apporté des changements importants à plusieurs lois en réponse à la pandémie de COVID-19, y compris la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS).

Le présent article vise à donner un aperçu des changements importants apportés à la LPRPS par la Loi de 2020 sur la mise à jour économique et financière.

 

Loi de 2004 sur la protection des renseignements personnels sur la santé

La LPRPS prévoit des règles régissant la collecte, l’utilisation et la divulgation des renseignements personnels sur la santé (RPS) afin de protéger le droit à la vie privée et la confidentialité des renseignements. De plus, sous réserve d’exceptions limitées et précises, la LPRPS donne aux personnes le droit d’accéder à leurs propres RPS et de les faire corriger.

La LPRPS réglemente principalement les « dépositaires de renseignements sur la santé » (DRS), qui sont définis comme des personnes ou des institutions qui ont la garde ou le contrôle de renseignements personnels sur la santé dans le cadre de leurs pouvoirs ou de leurs fonctions. La définition de DRS comprend donc les professionnels de la santé, les hôpitaux, les fournisseurs de services de soins de longue durée, les sociétés d’accès aux soins communautaires, les pharmacies et les laboratoires.

 

Principaux changements apportés à la LPRPS

Peines plus sévères en cas d’infraction à la LPRPS

Le projet de loi 188 a augmenté les peines en cas « d’infraction » à la LPRPS :

  • Les personnes physiques (c.-à-d. non organisationnelles) sont maintenant passibles d’une amende maximale de 200 000 $ (au lieu de 100 000 $) et d’une peine d’emprisonnement en cas d’infraction à la LPRPS.
  • Les personnes morales sont maintenant passibles d’une amende maximale de 1 000 000 $ (au lieu de 500 000 $) en cas d’infraction à la LPRPS.

 

Sanctions administratives prévues par la LPRPS

Le projet de loi 188 a également élargi la portée des pouvoirs d’application de la loi du commissaire à l’information et à la protection de la vie privée (CIPVP) à diverses situations qui ne sont pas expressément énumérées comme des « infractions » en vertu de la LPRPS. En particulier, le CIPVP peut maintenant imposer une pénalité administrative aux fins suivantes :

  • favoriser la conformité à la LPRPS ou à ses règlements ;
  • empêcher une personne de tirer, directement ou indirectement, un avantage économique d’une infraction à la LPRPS ou à ses règlements.

Le CIPVP peut, à sa discrétion et à la lumière des fins susmentionnées et conformément aux règlements pris en vertu de la LPRPS, déterminer le montant approprié d’une pénalité administrative pour une infraction.

Notamment, cette pénalité administrative est assujettie à un délai de prescription de deux ans à compter du jour où l’infraction est portée à la connaissance du CIPVP.

Mesures d’application de la loi

Le projet de loi 188 précise que le recours aux mesures d’application de la LPRPS n’interdit pas le recours à quelque autre mesure d’application de la loi ou recours juridique qui pourrait autrement être disponible à l’égard de la même infraction.

Il semble que cette clarification vise à confirmer qu’une personne ou une organisation visée par une pénalité ou une amende administrative en vertu de la LPRPS peut, relativement à la même infraction, être également tenue responsable d’avoir commis un délit relatif à la protection de la vie privée en common law.

 

Obligation de production

Les modifications apportées à la LPRPS établissent le pouvoir d’un agent des infractions provinciales (au sens de la Loi sur les infractions provinciales) de demander à un juge provincial ou à un juge de paix, sans préavis, une ordonnance de production obligeant une personne faisant l’objet d’une enquête à produire des documents ou des données.

Pour accorder une telle ordonnance, le juge provincial ou le juge de paix doit être convaincu, sur la foi des renseignements fournis sous serment ou par affirmation solennelle, qu’il existe des motifs raisonnables de croire que :

  • Une infraction à la LPRPS a été commise ou est en train de l’être ;
  • les documents ou les données fourniront des éléments de preuve concernant l’infraction ou l’infraction présumée ;
  • la personne visée par l’ordonnance a la possession ou le contrôle des documents ou des données.

Une copie des documents ou des données produites à la suite d’une ordonnance de production, sur preuve par affidavit qu’il s’agit d’une copie conforme, peut être admissible comme élément de preuve lors des procédures en vertu de la LPRPS et a la même force probante qu’auraient eu les documents ou données originaux s’ils avaient été produits selon la procédure ordinaire.

 

Registres électroniques des accès

Les DRS qui utilisent des moyens électroniques pour recueillir, utiliser, divulguer, modifier, conserver ou éliminer des renseignements personnels sur la santé sont maintenant assujettis à des exigences de tenue, de vérification et de surveillance de « registres électroniques des accès ».

Les registres électroniques des accès doivent comprendre, dans tous les cas de consultation, d’emploi, de modification ou de traitement d’une autre façon de la totalité ou d’une partie d’un dossier de renseignements personnels sur la santé qui est accessible par des moyens électroniques :

  • le type de renseignements qui ont été consultés, employés, modifiés ou traités d’une autre façon ;
  • la date et l’heure à laquelle les renseignements ont été consultés, employés, modifiés ou traités d’une autre façon ;
  • l’identité de toutes les personnes qui ont consulté, employé, modifié ou traité d’une autre façon les renseignements personnels sur la santé ;
  • l’identité du particulier que les renseignements personnels sur la santé concernent ;
  • tout autre renseignement prescrit.

Les registres électroniques des accès doivent être fournis au CIPVP sur demande.

Ces dispositions n’ont pas encore été proclamées en vigueur par la lieutenante-gouverneure.

 

Fournisseurs de services électroniques aux consommateurs

Le projet de loi 188 établit et réglemente une nouvelle catégorie d’entités, les « fournisseurs de services électroniques aux consommateurs » (FSEC). Les FSEC sont les entités qui fournissent des services électroniques à des particuliers, à la demande de ces derniers, principalement dans le but de permettre à ces particuliers d’avoir accès à leurs dossiers de renseignements personnels sur la santé, de les utiliser, de les divulguer, de les modifier, de les tenir ou de les gérer d’une autre façon.

Les dispositions relatives aux FSEC entreront en vigueur à une date qui sera fixée par la lieutenante-gouverneure.

Autres modifications subséquentes

Voici d’autres modifications subséquentes à la LPRPS :

  • Les personnes désignées par règlement et les DRS qui fournissent des soins de santé à un particulier peuvent recueillir ou utiliser son numéro de carte santé, avec le consentement de la personne, à certaines fins de vérification et d’établissement de liens.
  • La LPRPS permet maintenant aux DRS de divulguer des RPS à certaines fins liées à la Loi sur l’immunisation des élèves.
  • Parallèlement à ses modifications à la LPRPS, le projet de loi 188 a établi des « services extraministériels d’intégration des données » en vertu de la partie III.1 de la Loi sur l’accès à l’information et la protection de la vie privée. En vertu de la LPRPS, les DRS sont autorisés à divulguer les RPS aux services extraministériels d’intégration des données aux fins de la compilation de renseignements statistiques afin de permettre une analyse relativement à (1) la gestion ou l’affectation des ressources ; (2) la planification de la prestation des programmes de services ; (3) l’évaluation de ces programmes ou services.
  • Les DRS peuvent divulguer des RPS au ministre de la Santé et des Soins de longue durée, ou à d’autres ministres désignés par règlement, à certaines fins de paiement des soins de santé.
  • Le droit d’accès aux dossiers contenant des RPS en vertu de la LPRPS a été élargi pour inclure le droit d’accéder aux dossiers en format électronique.
  • Le CIPVP est maintenant autorisé à inspecter les dossiers des RPS, sans consentement, lorsqu’elle conclut ou a des motifs raisonnables de soupçonner que le dossier des RPS a été abandonné.
  • La définition de l’anonymisation des renseignements a été modifiée, en vertu du projet de loi 188, comme suit : « d’en retirer, conformément aux exigences, le cas échéant, prescrites, les renseignements qui permettent de l’identifier ou à l’égard desquels il est raisonnable de prévoir, dans les circonstances, qu’ils pourraient servir, seuls ou avec d’autres renseignements, à l’identifier. »

Bon nombre des changements susmentionnés ne sont pas encore en vigueur et sont en attente d’une proclamation par la lieutenante-gouverneure.

 

À notre avis

Les modifications apportées par le projet de loi 188 à la LPRPS sont particulièrement notables pour leur expansion importante de la responsabilité des DRS en vertu de la LPRPS.

Auparavant, les DRS pouvaient seulement faire l’objet de sanctions pécuniaires en vertu de la LPRPS pour avoir commis une « infraction », ce qui exige généralement une violation « délibérée » de la LPRPS, de sorte qu’une infraction « par négligence » à la LPRPS ne constituait habituellement pas une infraction. De plus, seuls le procureur général ou son agent pouvaient déclarer un DRS coupable d’une infraction en vertu de la LPRPS, ce qui, historiquement, ne s’est produit qu’à de rares occasions – par exemple, au cours des dix premières années de la LPRPS, un seul DRS a été reconnu coupable d’une infraction.

Toutefois, avec l’introduction d’amendes administratives, les DRS peuvent être tenus responsables d’infractions à la LPRPS qui découlent de l’omission de mettre en œuvre et de suivre de bonnes pratiques de protection des RPS, même lorsque l’élément « délibéré » de l’infraction est absent. Étant donné que les amendes administratives peuvent être imposées par le CIPVP, il y a également une plus grande probabilité qu’elles soient utilisées sur une base régulière, dans le cadre des ordonnances rendues par le CIPVP.

De plus, le projet de loi 188 modifie la LPRPS afin de préciser que les particuliers peuvent, en plus des mesures d’application prises en vertu de la LPRPS, avoir recours à d’autres moyens d’indemnisation en cas de violation des RPS, comme des poursuites civiles (y compris des recours collectifs) pour les délits relatifs à la protection de la vie privée en common law.

Nous recommandons aux DRS de réévaluer leurs pratiques de protection des renseignements personnels à la lumière de la responsabilité élargie qui leur est imposée, afin d’assurer la conformité à la LPRPS et à ses règlements.

Pour de plus amples renseignements, veuillez communiquer avec Sarah Lapointe au 613-940-2738.