Centre des médias

L’utilité de la technologie et la nécessité de protéger la vie privée

Conférence sur la façon de tirer profit des possibilités qu’offre l'information

Le 20 septembre 2006
St. John's (Terre-Neuve)

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(LE TEXTE PRONONCÉ FAIT FOI)

Le thème de cette conférence – tirer profit des possibilités qu’offre la technologie de l’information – est particulièrement bien choisi. L’utilité des renseignements contenus dans les dossiers de santé électroniques (DSE) pour les patients, les chercheurs, les fournisseurs de soins de santé et les gouvernements dépend largement de la façon dont ils sont utilisés et, notamment, de la façon dont les systèmes de DSE répondent aux préoccupations en matière de protection de la vie privée. La métaphore avec le dieu romain Janus, dont le nom est synonyme de transitions, que ce soit la transition du passé vers l’avenir ou le passage d’une vision à l’autre, est également pertinente. Les DSE représentent clairement un passage, à la manière de Janus, d’une vision du système de soins de santé à une autre.

Les systèmes de DSE sont certes prometteurs, mais ils rassemblent certains des renseignements personnels les plus confidentiels qui soit, et ce, sous forme numérique, ce qui peut causer des pertes de vie privée à très grande échelle. Dans un monde dominé par le papier, les violations de la confidentialité peuvent avoir de fâcheuses conséquences. Mais dans un monde numérique où il ne suffit que d’appuyer sur une touche ou d’égarer un ordinateur portatif non muni d’un dispositif de sécurité pour que soient communiqués les renseignements personnels de milliers de personnes, les violations de la confidentialité peuvent s’avérer désastreuses autant pour la personne directement concernée que pour le système de soins de santé fondé sur les DSE. Une fois communiqués, les renseignements médicaux d’une personne ne peuvent jamais recouvrer leur caractère confidentiel, et la confiance que cette personne accorde à l’établissement est irrémédiablement ébranlée.

Plusieurs examens du système de santé canadien réalisés récemment ont fait ressortir le rôle central que jouent les DSE dans une infostructure nationale de la santé. Les systèmes de DSE pancanadiens et compatibles offrent une excellente occasion d’accroître l’efficience et l’efficacité en vue de surmonter les défis liés au système de santé canadien. Les avantages potentiels sont encore plus intéressants à la lumière des débats actuels sur les contraintes financières auxquelles les gouvernements sont confrontés dans le domaine de la prestation des soins de santé.

Programme des contributions

Mais le progrès, notamment dans le monde numérique, peut avoir un prix en ce qui a trait à la vie privée. Depuis quelques années, le Commissariat se préoccupe de plus en plus de l’incidence des systèmes de DSE sur la protection de la vie privée. L’univers des DSE est complexe et fort technique. Il s’avère ardu de simplement comprendre l’architecture des systèmes de DSE, sans parler de leur incidence sur la protection de la vie privée. C’est pourquoi le Commissariat a investi d’importantes ressources dans ce domaine. Comme certains d’entre vous le savent peut‑être, le Commissariat finance un programme de contributions pour la recherche. Cette année, nous avons consacré plus d’un quart des fonds de ce programme à l’amélioration de la compréhension des questions liées à la protection des renseignements médicaux.

Comme bon nombre d’entre vous le savent, nous avons consenti 45 000 $ à l’Université Memorial pour examiner la question de la protection de la vie privée dans le secteur des soins de santé. Ces fonds permettront à l’Université d’observer l’incidence des choix technologiques sur l’élaboration de politiques, ainsi que l’incidence des choix en matière de politiques sur le développement technologique.

Ce projet débutera par une étude des technologies en matière de protection des renseignements personnels visant le secteur de la santé. Au cours de la deuxième phase, on examinera les lois et les règlements afin de déterminer les modèles et les hypothèses technologiques qui sont inhérentes aux structures réglementaires actuelles. Enfin, la dernière phase consistera à observer la mise en œuvre des technologies relatives à la protection des renseignements personnels dans le secteur de la santé.

En plus de financer des projets de recherche, nous avons suivi de très près l’élaboration de l’architecture de sécurité et de protection de la vie privée de l’Inforoute Santé du Canada. Nous avons formulé des commentaires sur les exigences de cette architecture en matière de protection de la vie privée, de même que sur la gestion générale de cette initiative.

Attitude à l’égard de la protection de la vie privée dans le domaine des soins de santé

Malgré tout l’enthousiasme que suscitent les avantages potentiels des systèmes de DSE, nous devons nous rappeler que la survie de ces systèmes dépendra de la façon dont ils répondent aux préoccupations en matière de protection de la vie privée. Le professeur Alan Westin, un chef de file dans le domaine de la protection de la vie privée aux États-Unis, œuvre dans le domaine des soins de santé, de la technologie et de la protection de la vie privée depuis plus de 40 ans. L’année dernière, lors d’une audience tenue à Washington sur la protection des renseignements médicaux, il a déclaré être convaincu que la façon dont le public perçoit les risques associés à tout système de DSE sur le plan de la protection de la vie privée et les mesures prises en conséquence seront absolument déterminantes pour le succès de ce programme – ou seront en grande partie responsables de son échec. Au cours de la même audience, il a présenté les conclusions de son étude de 2005 sur la protection de la vie privée dans le système de soins de santé aux États-Unis. Selon l’étude, pas moins des deux tiers du public américain actuel sont inquiets des conséquences négatives qu’auraient un système électronique de gestion de dossiers médicaux sur la sécurité des données et la protection de la vie privée. 

En 2005, le Commissariat a commandé un sondage national d’opinion publique pour avoir une idée de l’attitude des Canadiennes et des Canadiens à l’égard de la protection de la vie privée. Les deux tiers des personnes interrogées convenaient que la protection des renseignements personnels représentera l’un des principaux enjeux nationaux au cours des dix prochaines années. Dans ce sondage et dans un autre que nous avons commandé en 2001, environ 60 % des répondants estimaient qu’il existe peu de renseignements personnels qu'il convient davantage de protéger par les lois sur la protection des renseignements personnels que les renseignements médicaux personnels.

L’une des questions posées dans le sondage d’Alan Westin réalisé auprès du public américain est intéressante parce qu’elle témoigne de l’ambivalence du public à l’égard des DSE. On a demandé aux répondants s’ils croyaient que les avantages d’un système électronique de gestion de dossiers médicaux pour les patients et la société concernés l’emportent sur les risques potentiels d’entrave à la protection de la vie privée, ou s’ils croyaient que les risques d’entrave à la protection de la vie privée l’emportent sur les avantages escomptés. Le public américain était divisé en deux camps égaux sur cette question fondamentale – 48 % affirmaient que les avantages l’emportaient sur les risques et 47 % affirmaient le contraire. J’ignore comment la population canadienne répondrait à une question du même genre. Nous disposons au Canada d’un cadre de protection de la vie privée beaucoup plus efficace à bien des égards, ce qui contribue peut‑être à rassurer les Canadiennes et les Canadiens quant au traitement de leurs renseignements personnels. Cela dit, si l’attitude du public canadien au sujet des DSE est un tant soit peu comparable à celle des nos voisins du Sud, les partisans des DSE au Canada devront relever deux défis de taille : premièrement, s’assurer que les systèmes de DSE respectent une norme élevée en matière de protection de la vie privée  et, deuxièmement, communiquer ce message au public.

En résumé, tout système de DSE ne peut faire fi de la protection de la vie privée, ni même en minimiser l’importance. Si nous n’accordons pas l’attention voulue aux questions de protection de la vie privée en ce qui concerne les dossiers de santé électroniques, y compris assurer la sécurité de l’information contenue dans les dossiers et imposer des limites réelles aux utilisations secondaires, nous risquons de trahir les promesses que ces dossiers représentent pour le système de santé canadien et les usagers de ce système.

Utilisations secondaires

Nous devons notamment aborder la question des utilisations secondaires des renseignements médicaux personnels. L’information utilisée au départ pour la prestation des soins individuels aux patients peut être utile à la société en général, y compris dans les domaines de la surveillance médicale, de la recherche en santé et de la gestion du système de santé. Cela dit, ces utilisations secondaires doivent être signalées au moment de la collecte des données si l’on veut maintenir la confiance du public dans notre système. Certains d’entre vous ont peut-être entendu parler d’une étude ontarienne sur le consentement des patients, réalisée il y a quelques années par M. Donald Willison et ses collègues de l’Université McMaster. Selon les conclusions de cette étude sur les omnipraticiens qui se servent des dossiers de santé électroniques, les patients sont disposés à ce que leurs renseignements soient utilisés à des fins de recherche, mais la plupart souhaitent être consultés d’abord.

Signaler à l’avance les utilisations secondaires possibles et éviter de demander simplement un consentement général pour toute utilisation future des renseignements pose de grandes difficultés, difficultés que les partisans des DSE ne peuvent ignorer. Agir autrement équivaudrait à tourner en dérision un principe fondamental de la protection de la vie privée, soit de permettre aux personnes de donner un consentement libre et éclairé à l'égard de ce qu'on fera des renseignements qui les concernent. Le principe du consentement est altéré si on essaie de l’« adapter » pour permettre des utilisations secondaires imprévues ou si on essaie d’esquiver la question en sollicitant dès le début un consentement général.

Il importe également que nous fassions preuve d’une plus grande transparence en ce qui a trait aux avantages des DSE et des intérêts qu’ils servent. Les gouvernements préconisent ce système en grande partie en raison de ses présumés avantages pour  les patients. Mais il se peut que les principaux avantages des DSE ne résident pas autant dans leur capacité d’influer sur les soins directs que dans leurs possibilités d’utilisations secondaires des données à des fins de recherche et d’analyse du système de soins de santé dans son ensemble.

Anonymisation

Il nous plairait peut-être de penser que l’anonymisation est la réponse à certaines de nos préoccupations en matière de protection de la vie privée, particulièrement en ce qui concerne les utilisations secondaires. Souvent, pourtant, ce n’est pas le cas. L’information est‑elle jamais vraiment anonyme? L’information de base contenue dans les annuaires téléphoniques, les données de Statistique Canada et les codes postaux peuvent parfois servir à repersonnaliser les renseignements soi-disant « anonymes ». De plus en plus de recherches démontrent que la repersonnalisation est techniquement possible et relativement facile à réaliser si l’on dispose des outils appropriés. Nous devons également accepter cette évidence toute simple : l’anonymisation enlève aux renseignements médicaux la majeure partie de leur potentiel de recherche. Il peut s’avérer nécessaire de personnaliser l’information pour effectuer une recherche épidémiologique utile, comme par exemple un sondage sur la qualité de vie dans le cadre d’un programme de recherche sur les avantages d’un type particulier de chirurgies cardiaques.  

Quand l’anonymisation n’est pas pratique ou possible, il est d’autant plus important de signaler les utilisations secondaires dès le départ.

Limites de la collecte

Les renseignements médicaux personnels suscitent parfois chez les fournisseurs de soins de santé, les organismes commerciaux et les gouvernements la même convoitise que le contenu d’une vitrine de confiserie pour un enfant. Les possibilités semblent infinies sur le coup, et les conséquences négatives n’apparaissent que plus tard. Cependant, tous les intervenants du domaine de la santé devraient observer le précepte fondamental selon lequel il ne faut recueillir que les renseignements personnels requis à des fins appropriées et raisonnables. L’existence d’un système compatible de DSE ne justifie par la collecte massive de renseignements médicaux personnels, ou autres, pouvant présenter un intérêt. 

Sécurité

Nous sommes tous conscients de la nécessité de munir les systèmes de DSE de mécanismes de sécurité. La technologie est importante, mais nous devons également tenir compte de la façon dont la nature humaine peut contourner les dispositifs de sécurité. Une plainte récemment déposée en Ontario en vertu de la Loi de 2004 sur la protection des renseignements personnels sur la santé illustre bien cette réalité. 

L’auteure de la plainte a reçu des soins dans un hôpital d’Ottawa. Elle s’est plainte que ses renseignements médicaux personnels ont été illégalement consultés à dix reprises au moins, avant et après ses traitements. Certains de ces renseignements ont été communiqués à son mari, duquel elle s’apprêtait à divorcer. Et cet incident qui témoigne d’une mauvaise gestion de l’information s’est produit malgré le fait que la patiente ait averti le personnel hospitalier dès son arrivée à l’hôpital qu’elle ne voulait pas que son mari, dont elle était séparée et qui travaillait à l’hôpital, ou sa petite amie, une infirmière également à l’emploi de l’hôpital, apprennent qu’elle avait été admise. 

Son mari a néanmoins découvert qu’elle avait été admise et il a également appris les détails de ses traitements. Elle a porté plainte au personnel de l’hôpital, qui a déterminé que la petite amie de son mari avait obtenu un accès non autorisé à son dossier. Pourtant, l’hôpital n’a pas pris de mesures immédiates pour empêcher l’infirmière de consulter à nouveau ses renseignements personnels. L’infirmière a accédé inadéquatement au DSE de la patiente à trois autres reprises après qu’elle se soit plainte auprès du personnel de l’hôpital.

C’est certainement le genre d’histoires qu’on entend à l’émission d’Oprah, mais ce n’est pas une fiction. Cela donne la chair de poule aux patients, et cela devrait donner la chair de poule aux administrateurs d’hôpital et aux partisans des DSE. Dans le cas en question, la commissaire à l’information et à la protection de la vie privée de l’Ontario n’a pas laissé l’hôpital s’en tirer impunément. Elle a découvert que l’infirmière agissait comme représentante de l’hôpital et elle a conclu en faveur de la plaignante. L’hôpital a dû examiner et revoir ses pratiques et ses procédures de façon à se conformer à la Loi de 2004 sur la protection des renseignements personnels sur la santé. L’hôpital a également dû mettre en œuvre un protocole l’obligeant à prendre des mesures immédiates et raisonnables après avoir été informé d’une violation de la vie privée réelle ou possible, dans le but de prévenir toute future utilisation ou communication non autorisées des renseignements médicaux d’une personne.

Si nous prenons les DSE au sérieux, nous devons également avoir à cœur de protéger les renseignements qu’ils contiennent. Les incidents comme celui mentionné précédemment démontrent comment des lacunes dans les procédures des établissements peuvent aisément donner lieu à des usages abusifs des DSE. Comme la commissaire à l’information et à la protection de la vie privée de l’Ontario l’a souligné, les établissements de santé doivent promouvoir le respect de la protection des renseignements personnels. Autrement, il devient trop facile de déjouer les technologies de protection des renseignements personnels parmi les mieux intentionnées.

Le rôle des professionnels de la santé

C’est ici que les professionnels de la santé interviennent. Les commissaires à la protection de la vie privée du Canada auront beau nous mettre en garde contre tout manquement à la protection de la vie privée et les législateurs, mettre en place des normes, nous savons que ce n’est pas suffisant. Les professionnels de la santé prônent depuis longtemps le respect de la confidentialité. Ils doivent insuffler ce respect aux personnes assujetties à leurs règles de façon à ce qu’ils en soient profondément imprégnés. La protection de la vie privée ne concerne pas uniquement la mise en place de mesures de sécurité intelligentes et la détermination d’utilisations secondaires. Si l’on veut marquer des progrès dans le domaine de la protection de la vie privée, il importe que cette question demeure une préoccupation constante pour les professionnels de la santé dans le cadre de leurs activités. Les responsables de chaque profession doivent faire en sorte que la protection de la vie privée soit abordée dans leurs programmes de formation et d’éducation permanente, et dans leur code d’éthique. Et ils doivent trouver une façon de faire observer leurs normes. Si vous adoptez des règlements efficaces, vous ne serez pas dans le collimateur des commissaires à la protection de la vie privée et des ombudsmans. Et vous éviterez le genre de désastres qui peuvent discréditer les mesures légitimes mises en œuvre pour améliorer les soins de santé au moyen des DSE, en plus d’épargner à vos patients les traumatismes et les séquelles associés à la perte de la protection des renseignements médicaux.

L’Inforoute

Joan Roch fera une présentation importante aujourd’hui dans le cadre de son exposé sur le livre blanc de l’Inforoute sur la gouvernance des DSE. L’une des valeurs fondamentales de l’Inforoute est le respect de la vie privée – une douce musique pour tout commissaire à la protection de la vie privée et toute personne préoccupée par la protection des renseignements personnels des particuliers. Les responsables de l’Inforoute se sont montrés sensibles aux préoccupations émises par les commissaires provinciaux et le CPVP en ce qui a trait aux normes et à la gouvernance associées aux questions de protection des renseignements personnels. Voilà une attitude institutionnelle qui mérite d’être imitée.

Nous n’y sommes pas encore

Nous n’avons pas encore fait le tour de toutes les questions en matière de protection de la vie privée associées aux DSE. Les initiatives de DSE entreprises jusqu’à ce jour se sont limitées à certaines régions. Ce n’est qu’une fois que les systèmes compatibles seront déployés à grande échelle que nous pourrons constater les problèmes techniques et juridictionnels qu’ils posent. Un système de DSE pancanadien compatible comporte de plus grands risques sur le plan de la protection de la vie privée. Les erreurs auront des conséquences beaucoup plus vastes vu l’ampleur du système. Il importe que nous comprenions ces conséquences associées aux DSE. Pour sa part, le Commissariat examine plusieurs scénarios possibles concernant le cheminement de l’information contenue dans les DSE afin de mieux comprendre les conséquences éventuelles sur le plan de la protection de la vie privée. Ces travaux sont réalisés en partenariat avec d’autres juridictions.

Un système de DSE véritablement compatible pourrait ne plus relever des lois d’une seule juridiction en matière de protection des renseignements personnels. Comme dans d’autres secteurs d’activités, la solution la plus efficace au problème juridictionnel est d’opter pour le plus grand dénominateur commun. En d’autres mots, le système devrait respecter les normes en matière de protection de la vie privée de la juridiction dotée des normes les plus sévères. Cela permettra d’assurer l’uniformité dans tout le pays en ce qui a trait à la protection de la vie privée tout en évitant un nivellement par le bas en matière de normes. Il n’y a aucune raison pour qu’un résidant d’une province dont les renseignements médicaux personnels sont conservés dans un système pancanadien compatible jouisse d’une protection de la vie privée moins grande qu’un résidant d’une autre province. 

Les exigences juridiques sont parfois cohérentes et compatibles entre elles. Il existe toutefois, par exemple, d’importantes différences autour des concepts du consentement et de l’usage secondaire. Et si une plainte concernant la protection des renseignements médicaux est adressée aux agents provinciaux et fédéraux des bureaux de surveillance en ce qui a trait à la même transaction, les agents s’efforceront de collaborer pour la tenue de l’enquête et la formulation des conclusions.

Conclusion

Je vous encourage à ne pas considérer la protection des renseignements personnels comme un obstacle aux DSE. Loin de représenter une impasse technique ou juridique, le respect sincère de la vie privée contribuera à renforcer la confiance du public dans les DSE. En définitive, nous souhaitons tous trouver une façon d’utiliser l’information qui soit judicieuse pour les soins de santé, la recherche, la répartition des ressources limitées dans l’ensemble du système de santé, la santé des patients et leur droit à la vie privée. 

J’aimerais que nous arrivions à nous conformer à la définition des DSE proposée dans le rapport annuel d’Inforoute de 2005. Selon ce rapport, les DSE offrent à chaque personne, pour la durée de sa vie, un registre sécuritaire et privé de ses principaux antécédents de santé et des soins qu'elle a reçus du système de santé. Les systèmes de DSE offrent aux professionnels de la santé autorisés un accès rapide aux renseignements complets et exacts des patients, ce qui facilite la prise de décisions judicieuses relatives aux traitements et aux diagnostics. Résultat : un système de santé durable et efficace capable d’offrir des services d’une qualité et d’une accessibilité accrues.