Protection des renseignements personnels sur la santé

4^e conférence annuelle sur la protection de la vie privée en matière de santé

Le 17 janvier 2005
Toronto (Ontario)

Allocution prononcée par Patricia Kosseim
Avocate générale, Commissariat à la protection de la vie privée du Canada

Introduction

Je suis heureuse d'être ici aujourd'hui et, de fait, honorée d'avoir été invitée à participer à ce programme important. Il me fait plaisir de partager avec vous mon expérience à titre d'avocate générale au Commissariat à la protection de la vie privée. Cependant, j'ai bien peur que ce discours sera bref car je me suis jointe au Commissariat il y a seulement dix jours.

J'ai passé la plus grande partie de ma carrière professionnelle à réfléchir à la protection des renseignements personnels sur la santé du point de vue des chercheurs et des professionnels de la santé. On s'attendrait à ce que le point de vue du CPVP sur ces questions de principe soit passablement différent. Auriez-vous effectivement de telles attentes? À titre d'intervenants intéressés, si nous écoutons les points de vue d'autrui dans le cadre d'un débat d'orientation ouvert et universel visant à atteindre un équilibre raisonnable entre les valeurs sous-jacentes du public, peu importe le point de vue assumé au départ, les positions finales des organisations n'ont pas à être si différentes, après tout.

Au dixième jour de mon nouvel emploi, je n'entends pas représenter mon nouvel employeur en défendant une position juridique aguerrie portant sur les nombreuses questions complexes relatives à la vie privée qui sont soulevées dans le secteur de la santé. Plutôt que d'adopter rapidement une voie en particulier, je profite de cette période de transition comme une occasion exceptionnelle de réfléchir sur le plan théorique en sortant des sentiers battus, de soumettre de nouvelles idées et de joindre les expériences antérieures aux nouveaux défis. Comme me l'a enseigné un associé principal pendant mes stages, le bon avocat est celui qui peut aborder les problèmes de manière originale dans divers contextes et qui est en mesure de dresser des analogies et d'établir des distinctions s'il y a lieu.

C'est dans cet état d'esprit que j'aimerais adopter une méthode davantage conceptuelle et mettre chacun d'entre nous au défi d'aborder les problèmes de manière originale au cours des vingt prochaines minutes. J'aimerais m'attarder au sujet des faits nouveaux dans quatre secteurs différents pour mieux alimenter notre réflexion concernant la protection des données sur la santé : le « gouvernement en direct » (cybergouvernement), les dossiers de santé électroniques (DSÉ); les usages commerciaux des renseignements dans les listes personnelles et la recherche longitudinale en santé.

I. Le gouvernement en ligne et les dossiers de santé électroniques

Une décision récente de la Cour suprême, R. c. Tessling, se penchait sur la question de savoir si la technologie d'imagerie thermique utilisée par un avion pour détecter la chaleur émanant des maisons soupçonnées de faire pousser de la marijuana contrevenait au droit d'être exempt de fouilles, perquisitions et saisies déraisonnables en vertu de l'article 8 de la Charte. Le juge Binnie nous a rappelé l'importance fondamentale de protéger de l'État le droit individuel à la vie privée.

« L'arrivée des policiers en pleine nuit est la plus sombre illustration de l'État policier. C'est ainsi que, dans un discours célèbre prononcé en 1763 devant le Parlement britannique, William Pitt (le Premier Pitt) a prôné le droit de chacun d'interdire aux forces de Sa Majesté l'accès à son domaine privé :

[traduction] Dans sa chaumière, l'homme le plus pauvre peut défier toutes les forces de la Couronne. Sa chaumière peut bien être frêle, son toit peut branler, le vent peut souffler à travers, la tempête peut y entrer, la pluie peut y pénétrer, mais le roi d'Angleterre, lui, ne peut pas entrer! Toute sa force n'ose pas franchir le seuil du logement délabré. »¹

Nous avons beaucoup évolué depuis 1763, et bien que les Canadiennes et les Canadiens ne craignent généralement pas l'intrusion physique dans leur domicile par la Reine d'Angleterre contemporaine, nous demeurons vigilants et nous nous attendons à être protégés contre l'intrusion interdite de l'État dans nos vies. Simultanément, nous sommes également devenus plus exigeants à l'égard de l'État en lui demandant de protéger notre sécurité nationale, de nous offrir des services rapides, efficaces et de qualité, et de nous faire prendre une part plus active à titre de participants à notre société.

Le gouvernement en direct, ou cybergouvernement, constitue une solution contemporaine et tient lieu de promesse possible permettant de combler les attentes de ces citoyens. Dans un article récent portant sur les avantages et les défis du cybergouvernement, le professeur Pierre Trudel, de l'Université de Montréal², décrit l'intérêt croissant du Québec à s'écarter d'un système de renseignements personnels contenus dans des silos isolés détenus par des organismes publics séparés par des frontières bureaucratiques, distinctes au niveau spatial et organisationnel l'une de l'autre. Il a parlé d'un mouvement vers un réseau gouvernemental électronique qui ferait la promotion d'une plus grande diffusion de renseignements personnels dans les organisations publiques et donnerait un accès autorisé à plusieurs intervenants en vue d'offrir des services plus intégrés à ses citoyens.

Les avantages du regroupement des renseignements personnels dans une administration publique fondée sur l'informatique sont décrits par Trudel de la façon suivante :

• une meilleure collaboration et une meilleure coopération entre les organismes publics et des spécialisations plus souples selon un échange et des interactions mutuels entre usagers;
• des services de meilleure qualité et plus opportuns;
• moins de redondances en évitant la collecte répétitive des mêmes renseignements personnels par différentes organisations, ce qui entraîne une plus grande efficacité et des gains de productivité accrus;
• la possibilité, pour les citoyens, d'interagir de manière plus significative avec l'État et de recevoir des services plus personnalisés, qui correspondent à leurs besoins individuels, d'après des renseignements pertinents et exacts à leur sujet, accessibles en temps réel.

Fait intéressant, ces avantages du cybergouvernement ne diffèrent pas de ceux que vous vous attendriez à trouver dans l'analyse de rentabilisation portant sur les dossiers de santé électroniques. De fait, des avantages semblables ont été relevés dans le document visionnaire élaboré par le Conseil consultatif sur l'infostructure de la santé en 1999. Ce document a mené à un accord des premiers ministres en 2000, à la création de l'Inforoute Santé du Canada en 2001, et à des investissements additionnels de la part du gouvernement fédéral en 2003 et en 2004, pour un total de plus de 1 milliard de dollars pour la mise en place de systèmes de dossiers de santé électroniques (DSÉ) pancanadiens et interopérables. Ces avantages des DSÉ pour le secteur de la santé englobaient :

• des décisions plus éclairées prises par les fournisseurs de soins de santé, les administrateurs et les décideurs qui sont en mesure d'échanger des renseignements entre eux et de déterminer la meilleure preuve possible;
• une meilleure qualité, accessibilité, portabilité et efficience des services de santé dans tout le champ d'activité des soins intégrés;
• des membres du grand public davantage habilités à faire de meilleurs choix concernant leur propre santé, leurs soins de santé et la politique en matière de santé.

La vision et les avantages possibles du cybergouvernement et des DSÉ sont semblables, tout comme les défis connexes en matière de protection de la vie privée. De fait, Trudel étudie certains des enjeux inhérents au régime juridique actuel, dont les principes en matière de protection des renseignements personnels se fondent sur le concept traditionnel des réserves de données. Les réserves de données ont longtemps été considérées comme une façon importante de se protéger contre la mauvaise utilisation de renseignements personnels. La compartimentation des renseignements rend plus difficile, pour les usagers, d'accéder aux renseignements en question. Il convient de mettre cette situation en contraste avec les bases de données électroniques interopérables qui regroupent plus de renseignements, accroissent la possibilité d'établir des liens et rendent les renseignements accessibles à un plus grand nombre d'usagers.

Pour élaborer en détail, j'aimerais mettre l'accent sur les notions d'« ouverture », d'« objet » et d'« imputabilité » telles qu'elles sont énoncées dans les principes de protection de la vie privée du régime juridique actuel et proposer comment elles pourraient être étudiées de nouveau et mieux adaptées pour prendre en compte les nouveaux enjeux liés au concept de cybergouvernement, et, de même, aux DSÉ.

Ouverture
Le principe de l'« ouverture », tel qu'il a été conceptualisé à l'origine, exige que l'organisation soit ouverte et transparente au sujet de ses pratiques et de ses politiques de protection des renseignements personnels. Toutefois, dans le contexte du cybergouvernement ou des DSÉ, le principe de l'ouverture semblerait beaucoup plus pointilleux. Comme le dit Trudel, le succès dépend essentiellement de « l'impératif de la confiance ». Pour obtenir de la légitimité aux yeux du public, les avantages sociaux plus généraux , les risques du cybergouvernement et les DSÉ doivent être évalués et débattus ouvertement et de façon transparente. Le public doit obtenir des réponses à ses questions et obtenir une occasion significative de participer à un débat éclairé au sujet des avantages et des risques du regroupement de données avant que nous puissions présumer l'acceptation, par le public, de ce que sont, essentiellement, les changements fondamentaux à notre contrat social actuel — avec le secteur public, dans le cas du cybergouvernement, - et avec le secteur de la santé, dans le cas des DSÉ.

Objet
La notion centrale d'« objet », cruciale pour limiter la collecte, l'utilisation et la conservation, peut être comprise comme une notion couvrant des transactions particulières. Cependant, dans le contexte du cybergouvernement ou des DSÉ, l'« objet » doit être repensé de manière à englober la multiplicité des objets pour lesquels ces sources de données regroupées peuvent être utilisées. Les personnes que ces renseignements touchent doivent être informées de toute la gamme des objets possibles et compatibles. En ce sens, l'objet limite la collecte et la conservation de façon moins déterminante, car les renseignements personnels cumulatifs qui sont accumulés et conservés dans le gouvernement en direct ou dans un DSÉ s'étendent nécessairement au-delà des renseignements personnels requis à un moment donné pour une transaction en particulier. L'objet revêt maintenant une importance plus cruciale. Toutefois, il permet de contrôler de manière plus rigoureuse l'accès à des renseignements personnels par des utilisateurs autorisés du réseau partagé dans des circonstances très particulières et conformément à leur statut reconnu et à leur rôle d'utilisateur.

Imputabilité
Tandis que l'imputabilité dans un monde formé de réserves de données est attribuée à chaque organisation responsable de cette seule réserve, l'imputabilité dans un monde où les données sont regroupées efficacement repose sur l'ensemble des organisations qui participent au réseau partagé. Le professeur Trudel fait valoir que chaque organisation qui peut avoir accès aux renseignements regroupés devrait être considérée comme titulaire légal de l'information. Par conséquent, ces organisations devraient être solidairement responsables de protéger la confidentialité de l'information afin d'éviter que de multiples utilisateurs se soustraient à la responsabilité. Les obligations et les droits respectifs de chaque organisation qui participe à un réseau partagé doivent être établis dans le contexte d'un régime réglementé avec soin qui régit l'accès commun à des données regroupées. Il sera ainsi plus facile de s'assurer que l'information circule sans obstacles, tel que souhaité, et que la responsabilité soit attribuée à juste titre parmi les organisations participantes, et (ou) parmi des administrateurs agissant en leur nom, suivant les modalités convenues clairement au préalable.

Dans la même veine de réflexion que j'ai proposée plus tôt, je suggère que nos réflexions et nos expériences de mise à l'essai des concepts et de tentative de relever les défis de protection des renseignements personnels dans le contexte du cybergouvernement puissent contribuer à éclairer notre méthode dans le contexte des DSÉ, et inversement.

II. Contexte commercial c. Recherche en santé

Cela m'amène au deuxième parallèle que j'aimerais établir pour vous aujourd'hui, c'est-à-dire celui qui est dressé entre les utilisations commerciales des listes de renseignements personnels et les études de recherche longitudinales en santé. Dans ce cas, je postulerai que les expériences tirées d'un lieu ne sont pas facilement transférables à l'autre, et je mets les intéressés en garde contre l'application facile d'un raisonnement commun et de conclusions conjointes.

Laissez-moi vous donner un exemple récent qui illustre l'importance du contexte et la nécessité d'établir des distinctions claires. Dans l'arrêt Englander c. Telus Communications Inc., tranché il y a un peu plus de deux mois, la Cour d'appel fédérale devait déterminer si le consentement obtenu par TELUS de ses nouveaux clients était assez éclairé pour permettre non seulement l'inclusion de leurs renseignements personnels dans les répertoires téléphoniques (« les pages blanches »), mais également, tous les usages secondaires faits par la suite par TELUS et d'autres tiers utilisateurs.

Premièrement, il convient de signaler qu'en interprétant les dispositions pertinentes de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ), et en particulier l'Annexe 1, la Cour d'appel a statué que la « souplesse, le bon sens et le pragmatisme » l'emporteront.

Dans le contexte particulier de cette affaire, la Cour d'appel fédérale a statué que TELUS avait omis de s'acquitter de ses obligations complètes de déterminer, de préciser et d'expliquer à ses nouveaux clients tous les usages principaux et secondaires qui seront faits de leurs renseignements personnels au moment de ou avant la collecte. Dans cette affaire, le moment choisi par TELUS pour donner des explications à ses clients était crucial. Malgré tous les efforts déployés par TELUS pour fournir des renseignements aux nouveaux clients qui se sont dit préoccupés par la protection des renseignements personnels (sous forme de lettre de bienvenue et de brochure d'accompagnement qui explique tous les motifs pour lesquels la société recueille, utilise et communique des renseignements personnels, informe les clients de leur droit à faire rayer leur nom de la liste, leur fournit un numéro 1-800 pour plus de renseignements et un site Internet qui décrit les pratiques de la société en matière de protection de la vie privée, la disponibilité et l'accès au responsable de la protection de la vie privée de la société, etc.), la société ne s'est pas acquittée de son obligation d'informer ses nouveaux clients, au moment de leur inscription, des motifs principaux et secondaires pour lesquels leurs renseignements personnels ont été recueillis. Tous les outils de la société utilisés pour respecter le principe de protection des renseignements personnels rattaché à l'ouverture sont généralement venus trop tard pour qu'il soit possible d'observer le principe du consentement éclairé.

Cette interprétation restrictive de l'exigence du consentement par la Cour peut convenir en contexte commercial. Les diverses fins de commercialisation auxquelles les renseignements personnels du client seront consacrés sont habituellement connues au moment de la collecte et le dossier progresse dans la mesure où l'organisation prend des mesures honnêtes et raisonnables pour communiquer ces fins à ses clients d'une manière significative tout en les inscrivant à un service ou à un programme. Toutefois, ce raisonnement est très difficile à appliquer dans le contexte de la recherche sur la santé, en particulier des études de recherche longitudinales. Avec de telles études, toutes les fins éventuelles en recherche ne peuvent pas raisonnablement être connues, voire prévues au moment de la collecte. D'une part, nous pourrions établir des fins très générales, qui permettraient à une vaste gamme de recherches d'utiliser ces renseignements personnels, mais qui édulcoreraient considérablement le principe de la finalité. D'autre part, nous pourrions décrire de manière trop pointilleuse les fins pour lesquelles l'information est appelée à être utilisée, et ainsi faire échouer des initiatives de recherches éventuelles importantes qui n'auraient pas pu être envisagées à l'époque où les renseignements personnels ont d'abord été recueillis.

Dans le contexte d'une étude longitudinale, les efforts continus déployés en vue d'éclairer les participants à la recherche au sujet des divers usages de la recherche consacrés à leurs renseignements personnels au fur et à mesure que ceux-ci deviennent connus au fil du temps, au moyen des genres d'outils utilisés par TELUS dans Englander, devraient peut-être être considérés comme des éléments d'un mécanisme de consentement valide et continu, pourvu que certaines conditions soient respectées, dont les suivantes :

• les participants se font communiquer autant de renseignements qu'ils peuvent raisonnablement absorber de manière franche et transparente et connaissent les limites de ces renseignements; ils ont une occasion significative de retirer leurs renseignements en tout temps;
• un régime de gouvernance efficace est en place (comités d'éthique de la recherche (CÉR) et organismes nationaux de surveillance) pour protéger l'intérêt des personnes;
• ils sont informés régulièrement grâce aux conclusions des études de recherche rendues publiques, qui proposent d'utiliser leurs renseignements personnels et disposent d'une période raisonnable pour s'opposer à cette utilisation;
• ces études de recherche sont généralement cohérentes avec la fin initiale pour laquelle l'information a initialement été recueillie dans la banque de données; dans d'autres cas, un consentement nouveau et exprès doit être demandé avant qu'une recherche non conforme à l'explication originale puisse débuter.

J'espère que ce deuxième parallèle montre que des règles strictes de communication des objets peuvent être adéquates dans un contexte commercial comportant des intérêts à but lucratif limités versés à un petit groupe d'actionnaires. Toutefois, ces règles ne s'appliquent pas si facilement dans le contexte de la recherche longitudinale ayant des intérêts en santé plus généraux dont l'ensemble de la société profite. Les deux contextes doivent être examinés avec soin et distingués au besoin, eu égard aux éléments particuliers propres à chacun.

Pour illustrer mon argument, en Australie, le Sydney Morning Herald rapportait le 8 janvier dernier que les chercheurs dans le domaine du cancer n'ont pas accès à des renseignements cruciaux détenus par le gouvernement pour des études sur le cancer et le lieu de travail en raison de craintes selon lesquelles la communication de données enfreindra les lois sur la protection des renseignements personnels. Toutefois, le même rapport laisse croire que ces lois ne semblent pas empêcher des organismes peu scrupuleux de tirer des noms de société de registres sur les actions de sociétés dans leur quête de cibles potentielles.

Bien qu'il importe d'aborder une question de manière indirecte et créative et d'apprendre des expériences dans un secteur de la protection de la vie privée pour en éclairer un autre (comme dans le cas du cybergouvernement et des DSÉ, par exemple), nous devons également être conscients de la nécessité d'adopter une approche contextuelle. Nous devons reconnaître les valeurs sociales et les intérêts divers qui sont en jeu (comme dans le cas d'un contexte commercial à des fins de commercialisation, par opposition à la recherche longitudinale en santé à des fins de santé plus générales).

La Cour suprême du Canada réclamait une méthode contextuelle dans l'arrêt R. c. Plant³, concluant que le contexte dans lequel l'information est demandée et utilisée contribue à déterminer les mesures de protection des renseignements personnels qui seront accordées à cette information. Bref, tandis que les règles de protection de la vie privée appliquées dans un contexte peuvent suggérer comment elles pourraient s'appliquer dans un autre contexte, on ne peut pas transposer sans réserves des méthodes de protection des renseignements personnels sans tenir compte du contexte. C'est la raison pour laquelle les consultations publiques et l'engagement des intervenants sont si essentiels à l'analyse et à la compréhension de ce qu'une « personne raisonnable jugerait adéquat dans les circonstances ».

Conclusion

J'aimerais finalement vous communiquer quelques messages importants au nom du CPVP. Premièrement, les questions de protection des renseignements sur la santé sont d'intérêt hautement prioritaires pour le Commissariat. Deuxièmement, le Commissariat demeure engagé à travailler avec de nombreux intervenants, y compris les ministères de la Santé, les organismes du domaine de la santé, les professionnels et les groupes de recherche en santé. Nous désirons prendre part à des discussions significatives visant à établir ce qu'une personne raisonnable juge adéquat dans divers contextes. Troisièmement, le Commissariat tient à travailler avec ses homologues provinciaux et territoriaux et à partager ses connaissances avec eux dans le cadre de l'harmonisation de la mise en oeuvre des régimes de protection des renseignements personnels dans l'ensemble des secteurs et des gouvernements. Enfin, j'aimerais souligner la volonté du Commissariat et ma propre détermination à prendre connaissance de vos points de vue sur la façon dont nous pouvons améliorer nos efforts pour appliquer un régime de surveillance de la protection de la vie privée visant les intérêts légitimes de toutes les parties parmi les complexités du secteur de la santé contemporain.

¹ R. c. Tessling, [ 2004] C.S.C. 67, par. 14.
² Pierre Trudel, « Renforcer la protection de la vie privée dans l'État en réseau : l'aire de partage de données personelles, » Revue française d'administration publique n° 110, 2004, pp. 257-266.
³ [1993] 3 R.C.S. 281.