Politique de respect de la vie privée

Santé Ontario est un organisme provincial dont le mandat est établi en vertu de la Loi de 2019 pour des soins interconnectés (LSI). Pour s’acquitter de son mandat, Santé Ontario reçoit des renseignements personnels sur la santé (RPS) et des renseignements personnels (RP) concernant les soins de santé offerts en Ontario et aux résidents de l’Ontario. En ce qui a trait aux RPS et aux RP, Santé Ontario s’engage à faire ce qui suit :

• Se conformer à ses obligations en vertu des lois sur la protection de la vie privée applicables, y compris, sans toutefois s’y limiter, la Loi sur la protection des renseignements personnels sur la santé (LPRPS), laLoi sur l’accès à l’information et la protection de la vie privée (LAIPVP)¹ et les règlements connexes.
• Protéger la vie privée des particuliers et la confidentialité de leurs RPS et RP.

Santé Ontario s’acquitte de cet engagement au moyen de la présente politique et d’autres politiques et procédures à l’appui.

Remarque : ¹Cette politique ne s’applique pas : i) au traitement des demandes d’accès à l’information, ce qui est abordé par la Politique sur les demandes d’accès à l’information en vertu de la LAIPVP de Santé Ontario; ii) les RP conservés afin de créer un registre qui est disponible au grand public; ou iii) les RP qui sont exclus de l’application de la LAIPVP conformément aux paragraphes 65(1) à (9) de la LAIPVP.

La structure de la présente politique est fondée sur les dix principes relatifs à l’équité dans le traitement de l’information (PETI) du Code type sur la protection des renseignements personnels du Conseil canadien des normes (Code type du CCN).² Le Code type du CCN est reconnu comme une norme nationale pour la protection de la vie privée et est utilisé partout au Canada comme fondation pour les lois en matière de protection de la vie privée, y compris la LPRPS.

Cette politique aborde également les principes généraux suivants :

• La protection des RPS et des RP est critique pour les activités de Santé Ontario concernant les services qu’il fournit et ses mesures de soutien dans le système de santé élargi de l’Ontario.
• Santé Ontario se conforme à toutes les lois applicables en matière de protection des RPS et des RP.
• Santé Ontario se conforme à toutes les ordonnances et directives du commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP), ainsi qu’aux consignes suivantes du CIPVP :
  • Manual for the Review and Approval of Prescribed Persons and Prescribed Entities [Manuel pour l’examen et l’approbation des personnes et des entités prescrites];
  • Manual for the Review and Approval of Prescribed Organizations [Manuel pour l’examen et l’approbation des organisations prescrites].

Note: ²Conseil canadien des normes, « CAN/CSA – Q830-96, Code type sur la protection des renseignements personnels », mars 1996

Cette politique s’applique aux personnes suivantes : les employés non syndiqués, les cadres supérieurs, les membres du conseil, les employés syndiqués, les employés en détachement, les consultants et les autres personnes agissant pour le compte de Santé Ontario (« Agents de Santé Ontario »).

• La conformité avec cette politique dans son ensemble est obligatoire à moins qu’une exception à une section particulière soit approuvée par le directeur de la protection de la vie privée (DPVP) ou un délégué par écrit. Le défaut de se conformer aux exigences de cette politique, sans exception écrite, peut entraîner des mesures disciplinaires jusqu’à la révocation d’une nomination, la cessation d’emploi ou la résiliation d’un contrat sans préavis ou compensation, inclusivement.
• La conformité sera vérifiée conformément aux directives et à la fréquence établies dans la politique sur l’audit de la confidentialité et la conformité.
• Dès la première possibilité raisonnable subséquemment à la découverte d’une violation de la présente politique ou d’en être informé, le ou les employés et les autres agents de Santé Ontario doivent aviser le Bureau de la protection de la vie privée en signalant la violation auprès du centre de services organisationnel par téléphone : 1-866-250-1554; ou par courriel : OH-DS_servicedesk@ontariohealth.ca.
• Les violations seront gérées conformément à la politique et aux procédures de gestion des incidents de confidentialité.

• Les mots « comprenant » et « y compris », lorsqu’ils sont utilisés, ne visent pas à être exclusifs et signifient, respectivement, « comprenant, notamment » et « y compris, notamment ».
• Les mots et les termes utilisés dans la présente politique dont le sens diffère des définitions couramment acceptées sont définis dans la section Définitions et sigles (section 0).

En vertu de l’article 40 de la LSI et des ordonnances du ministre de la Santé, les organisations suivantes ont été transférées à Santé Ontario :

• Action Cancer Ontario
• cyberSanté Ontario
• Agence de promotion et de recrutement de ProfessionsSantéOntario
• Services communs pour la santé Ontario
• Qualité des services de santé Ontario
• Réseau Télémédecine Ontario
• Réseau Trillium pour le don de vie

chacune une « ancienne organisation » et ensemble les « anciennes organisations ».

Le transfert des actifs des anciennes organisations à Santé Ontario peut inclure des actifs de données, comme des RPS ou des RP, et des actifs numériques (comme des applications qui traitent ou stockent des RPS ou des RP).

En plus de la présente politique et des politiques et procédures en matière de protection de la vie privée de Santé Ontario à l’appui, les politiques et procédures en matière de protection de la vie privée de chaque ancienne organisation continueront de s’appliquer au traitement des RPS et des RP qui ont été transférés des anciennes organisations respectives à Santé Ontario et aux nouvelles collections de RPS et de RP associées aux activités d’une ancienne organisation, jusqu’à ce que les politiques et les procédures de l’ancienne organisation soient abrogées. La présente politique vise à compléter les politiques en matière de protection de la vie privée de chaque ancienne organisation et de faire valoir les principes de protection de la vie privée que Santé Ontario applique.

Santé Ontario est assujetti aux lois régissant la protection de la vie privée de l’Ontario, la LPRPS et la LAIPVP, comme il est indiqué ci-dessous.

2.2.1 LPRPS

La LPRPS est une loi provinciale sur la protection des renseignements personnels sur la santé. Elle établit les règles pour la gestion des RPS et la protection de la confidentialité de ces renseignements, tout en facilitant la prestation efficace des services de santé.

En traitant les RPS, Santé Ontario se conforme aux exigences qui sont propres aux rôles décrits dans la LPRPS et son règlement. Les exigences qui s’appliquent peuvent dépendre, par exemple, du but du traitement des RPS et de la nature de la relation de Santé Ontario avec les dépositaires de renseignements sur la santé (DRS) ou d’autres organisations, y compris celles qui sont prescrites en vertu de la LPRPS. Un DRS est une personne ou organisation qui offre des services de santé. Les médecins, les hôpitaux, les pharmacies, les laboratoires et le ministère de la Santé sont des exemples de DRS. Santé Ontario n’est pas un DRS. Santé Ontario a plusieurs désignations en vertu de la LPRPS, y compris les suivantes :

• organisation prescrite (OP) à l’égard des dossiers de santé électroniques (DSE);
• entité prescrite (EP);
• personne prescrite (PP) à l’égard de son répertoire prescrit (RP);
• fournisseur de réseau d’information sur la santé (FRIS);
• agent de la LPRPS;
• fournisseur de services électroniques (FSE).

(voir l’annexe A pour un résumé de ces rôles et des tâches et responsabilités connexes en vertu de la LPRPS).

LAIPVP

La LAIPVP a deux objectifs principaux :

1. fournir un droit à l’accès à l’information sous le contrôle des établissements;
2. protéger la vie privée des particuliers à l’égard des RP à leur sujet détenus par les établissements et fournir aux particuliers un droit à l’accès à leurs renseignements.

La LAIPVP s’applique à tous les ministères du gouvernement de l’Ontario et à tout organisme, conseil, commission, société ou autre organisme désigné comme une « institution » dans le règlement. Santé Ontario est désigné comme une institution de la LAIPVP en vertu du Règlement de l’Ontario 460 de la LAIPVP. Par conséquent, Santé Ontario se conforme aux exigences établies dans la LAIPVP à l’égard de la collecte, de l’utilisation, de la rétention, de la divulgation et de l’élimination des RP en possession de Santé Ontario ou sous son contrôler pour protéger le droit à la vie privée d’un particulier.

Le principe de responsabilisation signifie qu’une organisation est responsable des RPS et des RP en sa possession ou sous son contrôle et devra nommer une ou plusieurs personnes qui sont responsables de la conformité de l’organisation avec les principes de confidentialité.

Santé Ontario s’engage à ce qui suit :

• se conformer à ses obligations en vertu de la LPRPS, de la LAIPVP et des règlements connexes et d’autres lois applicables;
• protéger la vie privée des particuliers et la confidentialité de leurs RPS et RP qui sont recueillis, reçus, visionnés, utilisés, divulgués, traités ou autrement gérés par Santé Ontario.

Le président du conseil d’administration de Santé Ontario est en bout de compte responsable d’assurer la conformité de Santé Ontario avec la LAIPVP et le directeur général de Santé Ontario (DG) est en bout de compte responsable d’assurer la conformité de Santé Ontario avec la LPRPS et ses règlements, ainsi que d’assurer la conformité avec les politiques, procédures et pratiques de Santé Ontario qui ont été mises en œuvre pour protéger la vie privée des particuliers et la confidentialité de leurs renseignements (pratiques relatives aux renseignements). Le président et le DG ont délégué leur pouvoir quotidien pour gérer le programme de confidentialité au DPVP. Le DPVP relève de l’avocat général et directeur général, services juridiques, de la vie privée et de l’évaluation des risques.

Le DPVP supervise les responsabilités du programme de confidentialité et a une équipe dédiée à laquelle des obligations particulières peuvent être attribuées. Ces responsabilités comprennent la gestion des incidents relatifs à la vie privée, les risques pour la vie privée, les plaintes relatives à la vie privée, les demandes de renseignements au sujet de la vie privée, les demandes d’accès et de correction et les demandes pour mettre en œuvre des directives de consentement. Le DPVP assure également la supervision des évaluations des facteurs relatifs à la vie privée (EFVP), des contrôles de confidentialité, des politiques et procédures de confidentialité, des activités d’audit et de conformité de la confidentialité et du programme de formation et de sensibilisation en matière de confidentialité. Le DPVP est appuyé par le directeur d’Excellence numérique en santé, lequel a le pouvoir de gérer le programme de sécurité de Santé Ontario et assure la supervision de la sécurité de l’information à Santé Ontario. De plus amples renseignements sur le programme de sécurité de l’information de Santé Ontario, y compris la structure de gouvernance, sont fournis dans le document sur la gouvernance du programme de sécurité de l’information de Santé Ontario.

Le DPVP fournit à l’équipe de la haute direction (EHD), au DG et au conseil d’administration les renseignements pertinents sur les questions pertinentes en matière de confidentialité, y compris des mises à jour sur le statut du programme de confidentialité, les violations importantes ou à haut risque de la vie privée, les rapports d’audit de la confidentialité, les nouvelles lois, les nouveaux règlements et les nouveaux développements dans l’industrie concernant la confidentialité à noter, le statut de l’examen triennal du CIPVP et toute recommandation subséquente. Ces mises à jour peuvent être ponctuelles ou se produire au moyen de comités officiels du conseil. Le DPVP informe l’EHD au moyen du rapport annuel sur le respect de la vie privée ainsi que des mises à jour ponctuelles, au besoin. La gouvernance du programme de confidentialité est également établie dans le cadre de gouvernance et de responsabilisation en matière de confidentialité.

Santé Ontario est et demeure responsable pour la protection des RPS et des RP qui sont recueillis, reçus, visionnés, utilisés, divulgués, traités ou autrement gérés par les employés et d’autres agents de Santé Ontario, y compris des tiers fournisseurs de service qui ont l’autorisation de traiter les RPS ou les RP pour le compte de Santé Ontario. Santé Ontario utilise des moyens contractuels ou autres pour s’assurer qu’un niveau comparable de protection est appliqué lorsque les RPS ou les RP sont traités par des tiers fournisseurs de service.

Le principe de fin d’identification signifie que les fins pour lesquelles les RPS et les RP sont recueillis seront déterminées par l’organisation au moment de recueillir les renseignements ou avant.

Santé Ontario consigne les fins pour lesquelles il reçoit les RPS et les RP au moment de la réception ou avant. Santé Ontario acceptera seulement les RPS ou les RP comme le permet les lois applicables.

Le pouvoir de Santé Ontario pour la collecte et la réception de RPS et de RP découle en général de lois, y compris la LSI, la Loi sur le don de vie et la LPRPS, ainsi que les arrangements consignés avec le ministère de la Santé (MS) pour appuyer à la fois les objectifs du MS et de Santé Ontario. Pour en savoir plus sur le pouvoir de Santé Ontario pour recueillir et recevoir des RPS, voir l’annexe A.

Santé Ontario consulte les organisations, et a des ententes avec elles, qui fournissent des RPS et des RP à Santé Ontario à ces fins et encourage et appuie ces organisations pour divulguer les fins connues aux particuliers concernés par ces RPS et ces RP.

Le principe de connaissance et de consentement signifie que la connaissance et le consentement du particulier sont requis pour la collecte, l’utilisation ou la divulgation des RPS et des RP, excepté lorsque cela n’est pas approprié.

Lorsque les RPS et les RP sont recueillis par Santé Ontario ou pour son compte, Santé Ontario informera le particulier, assujetti aux exceptions établies dans les lois applicables, de ce qui suit :

• l’objet de la collecte;
• l’autorité pour la collecte;
• les coordonnées de quelqu’un qui peut répondre aux demandes de renseignements au sujet de la collecte.

Lorsque les lois applicables l’exigent, Santé Ontario sollicitera le consentement des particuliers pour la collecte, l’utilisation ou la divulgation de leurs RPS et RP. Le consentement :

• sera informé, transparent et significatif;
• concernera les renseignements recueillis, utilisés ou divulgués;
• sera obtenu sans tromperie ou coercition.

3.3.1 Gestion du consentement à l’égard des DSE

Santé Ontario fournit, par l’entremise de son site Web, des renseignements quant à la façon dont un particulier peut refuser ou retirer son consentement à la collecte, l’utilisation et la divulgation complètes ou partielles de ses RPS divulgués par l’entremise du DSE. Sur le site Web de santé Ontario, le Formulaire de demande de directive sur le consentement au DSE fournit des instructions pour les particuliers pour gérer leur consentement, y compris les coordonnées (courriel, adresse postale, téléphone, personne responsable) pour soumettre le formulaire et des renseignements sur le degré de précision auquel les RPS peuvent être assujettis à une directive sur le consentement, y compris les collectes, utilisations et divulgations de RPS qui peuvent être limitées.

De plus amples renseignements sur la gestion du consentement à l’égard du DSE sont disponibles dans la politique sur la directive sur le consentement au DSE et la modification du consentement. Cette politique précise les éléments de données qu’un DRS peut recueillir, utiliser ou divulguer aux fins d’identifier de façon unique un particulier en vue de recueillir des RPS au moyen du DSE. Ces éléments de données particuliers ne sont peut-être pas assujettis à une directive sur le consentement fournie par un particulier.

3.3.2 Gestion du consentement en tant que fournisseur de services de TI

Santé Ontario, au moment d’offrir des services ou des systèmes de TI aux DRS, par exemple à titre de FRIS ou de FSE, peut aider les DRS à respecter leurs obligations en matière de consentement en vertu de la LPRPS. Par exemple, selon le système de TI et l’entente de Santé Ontario avec les DRS pertinents, Santé Ontario peut fournir des mécanismes pour permettre aux DRS de mettre en œuvre une demande de consentement ou supprimer le dossier d’un patient du système de TI.

Le principe de limitation de la collecte signifie que la collecte des RPS et des RP se limitera à ce qui est nécessaire pour les fins cernées par l’organisation. Les RPS et les RP seront recueillis à l’aide de moyens équitables et légaux.

Santé Ontario limite la collecte et la réception de RPS et de RP à ceux qui sont autorisés par les lois applicables. Santé Ontario ne recueille et ne reçoit pas les RPS ou les RP si d’autres renseignements comme des données anonymisées ou des données regroupées combleront les fins prévues et il s’engage à prendre des démarches raisonnables pour limiter les RPS et les RP qu’il recueille et reçoit à ceux qui sont raisonnablement nécessaires pour les fins autorisées. Ces démarches comprennent la mise en œuvre de pratiques en matière d’information à l’égard de ce qui suit :

• La conclusion d’ententes avec des contributeurs de données pour établir les éléments minimaux de RPS et de RP requis pour les fins déterminées, y compris comme il est établi dans la politique du DSE pour la réception de RPS.
• L’exécution d’EFVP pour examiner les RPS et les RP à recueillir ou à recevoir par rapport aux fins déterminées conformément à la norme sur les EFVP.
• L’examen de la liste des éléments de données avec le contributeur de données afin de déterminer les éléments de RPS et de RP qui sont requis pour combler les fins déterminées.
• L’entreprise d’activités d’assurance des données pour confirmer que les RPS et les RP recueillis et reçus par Santé Ontario correspondent aux au transfert de données prévu établi dans les ententes pertinentes.

Le principe de limitation de l’utilisation, de la divulgation et de la rétention signifie que les RPS et les RP ne devront pas être utilisés ou divulgués pour d’autres fins que pour lesquelles ils ont été recueillis, excepté avec le consentement du particulier ou comme l’exige la loi. Les RPS et les RP seront conservés seulement pour la durée nécessaire pour combler ces fins.

3.5.1 Limitation de l’utilisation et de la divulgation

Santé Ontario utilise ou divulgue les RPS et les RP seulement lorsque cela est permis par les lois applicables, y compris la LAIPVP, la LPRPS, la Loi sur le don de vie et la LIS. Santé Ontario n’utilise pas et ne divulgue pas les RPS ou les RP si d’autres renseignements, comme des données anonymisées ou des données regroupées combleront les fins prévues et il n’utilise et ne divulgue pas plus de RPS ou de RP qu’il est raisonnablement nécessaire pour combler les fins prévues.

Par exemple, Santé Ontario peut utiliser et divulguer des RPS ou des RP aux fins suivantes³ :

• Santé Ontario peut utiliser les RPS recueillis par Santé Ontario en tant qu’entité prescrite aux fins de la planification, de la gestion et de l’analyse du système de santé.
• Santé Ontario peut utiliser et divulguer les RPS recueillis par Santé Ontario en tant que personne prescrite pour maintenir les registres du Registre de dépistage du cancer de l’Ontario aux fins de faciliter ou d’améliorer la prestation des soins de santé.
• Santé Ontario peut utiliser les RPS reçus en tant qu’organisation prescrite aux fins de l’élaboration et du maintien du DSE.
• Santé Ontario divulguera les RPS en vertu d’une directive du ministre de la Santé (ministre) :
• exigeant que Santé Ontario fournisse au ministre des RPS qui sont accessibles au moyen du DSE que le ministre a le droit de recueillir en vertu du paragraphe 55.9(1) de la LPRPS; Santé Ontario doit se conformer à une telle directive⁴ ;
• demandant la divulgation de RPS en vertu de l’article 55.10 de la LPRPS qui sont accessibles au moyen du DSE, comme si le ministre avait la possession et le contrôle des renseignements, conformément aux paragraphes 39(1) ou 39(2) ou aux articles 44 ou 45 de la LPRPS. Santé Ontario doit se conformer à une telle directive. Une directive du ministre peut préciser la forme, la manière et l’échéance à respecter pour les RPS assujettis à la directive pour les fournir au ministre ou les divulguer.
• Santé Ontario peut utiliser les RPS qu’il reçoit à titre de FRIS ou de FSE pour fournir des services d’information électronique à un DRS.

Santé Ontario a en place des contrôles pour limiter l’utilisation et la divulgation des RPS et des RP. Ces contrôles comprennent les suivants :

• La destruction sécurisée des RPS et des RP qui ne sont plus requis par Santé Ontario.
• La limitation de l’accès des employés ou d’autres agents de Santé Ontario aux RPS, aux RP et aux systèmes de TI (p. ex., le DSE) à seulement ceux qui ont un besoin d’un accès autorisé.
• La mise en œuvre de contrôles de l’accès fondés sur les rôles en fonction des responsabilités requises par les employés et les autres agents de Santé Ontario pour s’acquitter des exigences de leur travail.
• Conformément à la politique sur l’utilisation et la divulgation de renseignements personnels, les employés et les autres agents de Santé Ontario n’ont pas l’autorisation de visionner, de consulter, d’utiliser, de traiter, de divulguer ou d’autrement gérer les RPS ou les RP tant qu’ils n’ont pas accepté de sec conformer aux restrictions qui s’appliquent à Santé Ontario et qu’ils n’ont pas accepté de ne pas utiliser ou divulguer les RPS ou les RP si des données anonymisées ou des données regroupées combleront cette fin.
• Conformément à la politique sur les ententes de confidentialité, Santé Ontario exige que tous les employés et autres agents de Santé Ontario signent une entente de confidentialité qui oblige la personne à respecter les limitations énoncées avant d’avoir accès aux RPS ou aux RP et de le faire annuellement par après.

3.5.2 Limitation de la rétention

Santé Ontario conserve les RPS et les RP seulement aussi longtemps que nécessaire pour combler les fins déterminées pour lesquelles ils ont été recueillis ou reçus par Santé Ontario.

• À titre d’organisation prescrite, le calendrier de rétention des RPS qui sont accessibles au moyen du DSE est établi dans la politique de rétention du DSE, ce qui comprend des renseignements quant à savoir si les dossiers sont conservés sous un format permettant l’identification, la durée de la rétention et la manière sécurisée de rétention.
• En tant que fournisseur de service de TI (FRIS ou FSE), Santé Ontario peut conserver les RPS conformément aux directives des DRS et comme il est établi en vertu des ententes applicables.
• À titre d’entité prescrite, les RPS peuvent être conservés pour appuyer l’analyse rétrospective aux fins de la planification et de la gestion du système de santé provincial.
• À titre de personne prescrite, les RPS peuvent être conservés afin d’appuyer le Programme ontarien de dépistage du cancer et d’autres registres prescrits comme cela s’applique à Santé Ontario.

Notes:

³Des utilisations permises supplémentaires sont établies dans la LPRPS et son règlement. Pour de plus amples renseignements, voir l’énoncé sur les pratiques relatives aux renseignements des entités prescrites et des personnes prescrites de Santé Ontario et l’énoncé sur les pratiques relatives aux renseignements du DSE de Santé Ontario.

⁴Le ministre peut seulement recueillir des RPS du DSE conformément au paragraphe 55.9(1) de la LPRPS.

Le principe de précision signifie que les RPS et les RP devront être aussi précis, complets et à jour que nécessaire pour les fins pour lesquelles ils doivent être utilisés.

Santé Ontario met en place des contrôles raisonnables qui permettent de s’assurer que les RPS et les RP seront aussi précis, complets et à jour que nécessaire pour les fins pour lesquelles ils doivent être utilisés.

Cela est réalisé, par exemple, en faisant ce qui suit :

• Fournir des mécanismes aux organisations et aux particuliers pour appuyer la saisie exacte des RPS ou des RP dans les systèmes de Santé Ontario (comme des contrôles de validation des données).
• Valider les renseignements qui ont été fournis ou divulgués à Santé Ontario conformément aux normes et aux spécifications sur les données.
• Mettre en œuvre des mesures de sécurité pour maintenir l’intégrité des RPS et des RP une fois que les renseignements ont été recueillis ou reçus. L’intégrité signifie que les RPS ou les RP n’ont pas été modifiés par inadvertance ou de façon inappropriée et qu’ils sont fiables pour les fins pour lesquelles ils ont été recueillis ou reçus.

Le principe de mesures de sécurité signifie que les RPS et les RP seront protégés au moyen de mesures de sécurité appropriées en fonction du caractère sensible des renseignements.

Santé Ontario a en place des mesures de sécurité administratives, techniques et physiques pour protéger la vie privée des particuliers dont les RPS et les RP sont reçus par Santé Ontario et la confidentialité de ces renseignements. Ces mesures de sécurité protègent les RPS et les RP contre le vol, la perte, ainsi que l’accès, la divulgation, la copie, l’utilisation, la modification, la rétention ou l’élimination non autorisés et elles correspondent au caractère sensible, à la quantité et à la nature des RPS et des RP recueillis ou reçus. Voici une liste de certaines de ces mesures de sécurité.

3.7.1 Mesures de sécurité administratives

• Santé Ontario utilise des ententes de confidentialité pour renforcer la compréhension de la responsabilité de protéger les RPS et les des agents de Santé Ontario.
• Les tiers fournisseurs de service doivent signer et respecter une entente avant d’avoir accès aux RPS et aux RP. Ces ententes établissent les exigences pour le transfert sécurisé des RPS et des RP au tiers fournisseur de service comme il est requis pour le service, ainsi que le transfert et l’élimination sécurisés des RPS et des RP une fois que l’entente est résiliée ou à la demande de Santé Ontario.
• Santé Ontario, au moment de fournir des services à titre de FRIS, conclue une entente écrite avec chaque DRS qui établit les mesures de sécurité requises ainsi que les restrictions associées à l’accès et à l’utilisation de Santé Ontario par rapport aux RPS.
• Santé Ontario avise les fournisseurs de données applicables (y compris les DRS) dès la première occasion raisonnable de toute violation de la confidentialité associée aux RPS que Santé Ontario reçoit en tant qu’agent de la LPRPS, FRIS, FSE, OP, PP ou EP.
• Santé Ontario effectue des EFVP et des évaluations des menaces et des risques (EMR), par exemple, lorsque d’importants changements sont apportés à la façon dont les RP et les RPS sont traités par Santé Ontario.

3.7.2 Mesures de sécurité techniques

• Santé Ontario adopte des normes de l’industrie et met à l’essai ses systèmes afin de s’assurer que les RPS et les RP détenus par Santé Ontario sont sécurisés.
• Santé Ontario maintient des registres électroniques des accès et des transferts de RPS.
• Les registres de RPS et de RP qui ne sont plus requis pour combler les fins déterminées sont détruits de manière sécurisée.
• Santé Ontario utilise le chiffrement, par exemple, pour protéger les RPS et les RP au cours du stockage et de la transmission.

De plus amples renseignements sur les mesures de sécurité techniques mises en place par Santé Ontario, y compris la façon dont les dossiers recueillies ou reçus par Santé Ontario sont conservés, transférés ou éliminés de façon sécurisée, sont disponibles dans les politiques en matière de sécurité de Santé Ontario, y compris la norme sur la destruction, l’effacement et l’élimination des médias, la norme sur le traitement des renseignements personnels sur la santé et la norme sur le transfert sécurisé de renseignements à caractère sensible.

3.7.3 Mesures de sécurité physiques

• Santé Ontario fournit un environnement physique sécurisé pour l’équipement sur lequel les RPS ou les RP sont stockés et pour les employés et agents de Santé Ontario qui utilisent les RPS ou les RP.
• Santé Ontario met en place des contrôles raisonnables en place pour faire ce qui suit :
  • sécuriser les locaux;
  • accorder un accès contrôlé aux bureaux de Santé Ontario;
  • fournir aux employés et aux autres agents de Santé Ontario l’identification appropriée;
  • contrôler les visiteurs et vérifier qu’ils ont l’autorisation d’être dans les locaux;
  • mettre en œuvre la surveillance vidéo à des fins judiciaires.
• Certains secteurs opérationnels qui traitent les RPS ou les RP peuvent nécessiter un accès limité avec un niveau secondaire de contrôles d’accès.

De plus amples renseignements sur les mesures de sécurité de Santé Ontario sont fournis dans les politiques et procédures de sécurité de Santé Ontario.

Le principe d’ouverture signifie qu’une organisation doit être ouverte au sujet de ses politiques et pratiques relatives aux RP et aux RPS. Les particuliers devraient avoir un accès relativement convivial aux politiques et aux pratiques d’une organisation.

Santé Ontario a la responsabilité d’être ouvert et transparent quant à la façon dont il gère et protège les RPS et les RP et d’informer les particuliers de leurs droits en matière de respect de vie privée. Au moyen de son site Web, Santé Ontario offre les renseignements suivants au public et à d’autres intervenants (y compris les DRS qui fournissent des RPS au DSE), dans la mesure que ceux-ci ne dévoilent pas des secrets commerciaux ou des renseignements confidentiels scientifiques, techniques, commerciaux ou sur les relations de travail :

• Des renseignements sur ses politiques et ses pratiques concernant la gestion et le traitement des RPS et des RP.
• Une description en langage simple et clair du DSE, y compris une description générale des mesures de sécurité en place, les pratiques en matière d’information qui s’appliquent aux RPS qui sont accessibles au moyen du DSE et une liste des types de RPS qui sont accessibles au moyen du DSE.
• Pour chaque système qui récupère, traite ou intègre des RPS qui sont accessibles au moyen du DSE et pour les services que Santé Ontario offre en tant que FRIS :
  • une copie écrite des résultats de l’évaluation à l’égard des menaces, des vulnérabilités et des risques pour la sécurité et l’intégrité des RPS qui sont accessibles au moyen du DSE ou du service;
  • la façon dont chaque système, le DSE ou le service peut avoir une incidence sur la vie privée des particuliers qui sont concernés par les renseignements.
• Les adresses de courriel et postale à utiliser pour obtenir d’autres renseignements concernant les pratiques en matière d’information de Santé Ontario.

Sur demande, une personne peut être informée de l’existence, de l’utilisation et de la divulgation de ses RPS et RP et aura accès à ces renseignements. Un particulier sera en mesure de contester l’exactitude et l’exhaustivité des renseignements et de demander qu’ils soient modifiés le cas échéant.

En vertu de la LAIPVP, un particulier peut demander l’accès et la correction des dossiers de ses RP qui sont en possession ou sous le contrôle de Santé Ontario (y compris les RPS recueillis par Santé Ontario à titre de personne prescrite et d’entité prescrite). Santé Ontario fournit au public les coordonnées et les instructions pour faire une demande en vertu de la LAIPVP sur le site Web public de Santé Ontario. Santé Ontario recevra et traitera de telles demandes conformément aux exigences établies dans la LAIPVP.

3.9.1 Gestion des demandes d’accès et de correction à l’égard du DSE

À titre d’organisation prescrite, Santé Ontario a mis en place des processus approuvés par le MS afin d’aider les DRS à répondre à une demande faite par un particulier à un DRS en vertu de la partie V de la LPRPS pour consulter ou corriger un dossier des RPS du particulier qui sont accessibles au moyen du DSE. Pour en savoir plus sur ces processus, consultez la politique et procédure de demande d’accès aux RPS du Dossier de santé électronique et la politique et procédure pour la correction des renseignements personnels sur la santé du Dossier de santé électronique de Santé Ontario.

3.9.2 Gestion des demandes d’accès et de correction en tant que fournisseur de service

Santé Ontario, lorsqu’il fournit des services ou des systèmes aux DRS ou à d’autres particuliers (c.-à-d., des services directs aux consommateurs), peut accepter et gérer les demandes d’accès et de correction des particuliers comme le permet la LPRPS, y compris, par exemple, pour le compte des DRS. De plus amples renseignements sur les processus d’accès et de correction de Santé Ontario sont disponibles sur le site Web sur la confidentialité de Santé Ontario ou en joignant l’administrateur du DRS à l’égard ‘un système d’information en particulier.

Le principe de contestation de la conformité signifie qu’un particulier sera en mesure de présenter une contestation concernant la conformité aux principes ci-dessus auprès de la personne ou des personnes désignées pour la conformité de l’organisation.

Les particuliers peuvent soumettre une demande de renseignements, une préoccupation ou une plainte concernant les pratiques en matière d’information de Santé Ontario, sa conformité avec les LPRPS ou LAIPVP, les types de RPS ou de RP recueillis ou reçus par Santé Ontario ou les fins pour lesquelles les RPS ou les RPS sont recueillis, reçus, utilisés, divulgués, traités ou autrement gérés par Santé Ontario. Les particuliers peuvent également présenter des demandes de renseignements, des préoccupations et des plaintes concernant les pratiques en matière d’information d’un DRS et la conformité d’un DRS avec la LPRPS à l’égard du DSE.

Ils peuvent le faire par écrit à l’adresse suivante :

Directeur de la protection de la vie privée
Services juridiques, de la vie privée et de l’évaluation des risques, Santé Ontario
525, avenue University, 5^e étage
Toronto (Ont.) M5G 2L7
privacy@ontariohealth.ca

S’il est préférable qu’une demande soit traitée par un DRS (par exemple, les demandes associées aux pratiques en matière d’information d’un DRS), Santé Ontario réacheminera la demande de la personne aux DRS appropriés et informera le particulier d’une telle action.

Une personne peut également soumettre une préoccupation ou une plainte concernant : i) la conformité de Santé Ontario ou d’un DRS avec la LPRPS ou la LAIPVP et leurs règlements; ou ii) les demandes d’accès et de correction pour les RPS et les RP, au CIPVP. Elle peut le faire par écrit à l’adresse suivante :

Commissaire à l’information et à la protection de la vie privée de l’Ontario
2, rue Bloor-Est, Bureau 1400
Toronto (Ont.), M4W 1a8
Courriel : info@ipc.on.ca
Région de Toronto : 416-326-3333
Longue distance : 1-800-387-0073
ATS/TTY : 416-325-7539

Le conseil d’administration est responsable d’approuver la présente politique.

Le président du conseil d’administration est responsable de la conformité de Santé Ontario avec la LAIPVP et, assujetti à toute délégation, est responsable de s’assurer que des mécanismes et des contrôles de gouvernance appropriés sont en place pour assurer la conformité avec cette politique.

Le DG est responsable de la conformité de Santé Ontario avec la LPRPS et, assujetti à toute délégation, est responsable de s’assurer que des mécanismes et des contrôles appropriés sont en place pour assurer la conformité avec cette politique.

Le DPVP est responsable de ce qui suit :

• Maintenir cette politique et s’assurer que les employés et autres agents de Santé Ontario sont conscients de ses exigences.
• Superviser la conformité avec toute partie de cette politique et les pratiques en matière d’information qui l’appuient.
• Superviser la gestion quotidienne du programme de confidentialité et surveiller la la conformité avec cette politique et les pratiques en matière d’information qui l’appuient.

Les gestionnaires et superviseurs sont responsables de s’assurer que, à l’intérieur de leur domaine de responsabilité, tous les employés et autres agents de Santé Ontario sont conscients de cette politique et des pratiques en matière d’information qui l’appuient et s’y conforment.

Les employés sont responsables de se conformer à cette politique et aux pratiques en matière d’information qui l’appuient.

Données regroupées : Des données qui sont résumées ou catégorisées de manière à prévenir la capacité de dévoiler l’identité d’une personne (les dossiers individuels ne peuvent pas être reconstruits). Les données regroupées n’incluent pas les RPS ou les RP.

LSI : Loi de 2019 sur les soins interconnectés et les règlements connexes, dans sa version modifiée ou remplacée d’un temps à l’autre.

DG : Directeur général

Recueillir : A la signification établie à l’article 2 de la LPRPS à l’égard des RPS; a la même signification à l’égard des RP. « Recueillir » signifier rassembler, d’acquérir, de recevoir ou d’obtenir des renseignements par un quelconque moyen d’une quelconque source; « collecte » et « recueilli » ont une signification correspondante.

Directive en matière de : Signifie une directive faite conformément à l’article 55.6 de la LPRPS qui refuse ou retire, en tout ou en partie, le consentement d’un particulier à la collecte, l’utilisation et la divulgation, par un DRS au moyen du DSE, de ses RPS en vue de la fourniture ou d’aide à la fourniture des soins de santé qui lui sont destinés.

DPVP : Directeur de la protection de la vie privée

Anonymisation : A la signification établie à l’article 47(1) de la LPRPS à l’égard des RPS; a la même signification à l’égard des RP.

« Anonymisation » s’entend du fait d’en retirer les renseignements qui permettent d’identifier un particulier ou à l’égard desquels il est raisonnable de prévoir, dans les circonstances, qu’ils pourraient servir, seuls ou avec d’autres renseignements, à identifier un particulier.

Données anonymisées : Des données dont tous les renseignements qui peuvent identifier le particulier ont été supprimés. Il n’est pas raisonnable de prévoir, dans les circonstances, que les données pourraient servir, seules ou avec d’autres renseignements, à identifier un particulier.

Divulgation : A la signification établie à l’article 2 de la LPRPS à l’égard des RPS sous le contrôle d’un DRS ou d’une personne; a la même signification à l’égard des RP.

« Divulguer » s’entend du fait de mettre les renseignements à la disposition d’un autre DRS ou d’une autre personne ou de les lui communiquer, mais non de les utiliser; « Divulgation » a une signification correspondante.

DSE ou dossier de santé électronique : A la signification établie à l’article 55.1 de la LPRPS et signifie en général les systèmes électroniques développés et maintenus par Santé Ontario en vertu de la partie V.1 de la LPRPS permettant aux DRS de recueillir, d’utiliser et de divulguer des RPS au moyen des systèmes.

Employé : Une personne employée et rémunérée par Santé Ontario à titre d’employé et qui est classée comme permanent à temps plein, permanent à temps partiel, temporaire à temps plein, temporaire à temps partiel, stagiaire rémunéré ou occasionnel, comme il est établi dans les lignes directrices sur la classification des employés. Un consultant ou un entrepreneur n’est pas un employé.

FSE ou fournisseur de services électroniques : Un tiers fournisseur de services sous contrat ou autrement engagé pour fournir des services afin d’habiliter l’utilisation des moyens électroniques de collecte, d’utilisation, de modification, de divulgation, de conservation ou d’élimination des dossiers de RPS.

LAIPVP ou Loi de 1990 sur l’accès à l’information et la protection de la vie privée : Loi de l’Ontario avec deux objectifs principaux : 1) rendre les institutions du gouvernement provincial plus ouvertes et responsables en accordant au public un droit d’accès aux dossiers; et 2) protéger la vie privée des particuliers à l’égard de leurs renseignements personnels détenus par les organisations du gouvernement provincial. Les références à la LAIPVP comprennent le règlement connexe, dans sa version modifiée ou remplacée d’un temps à l’autre.

PETI : Les principes relatifs à l’équité dans le traitement de l’information qui ont été établis à partir du Code type sur la protection des renseignements personnels du Conseil canadien des normes.

DRS ou dépositaire de renseignements sur la santé : A la signification établie à l’article 3 de la LPRPS et signifie en général une personne ou une organisation qui possède ou qui contrôle des renseignements personnels sur la santé aux fins des soins de santé ou d’autres tâches associées à la santé. Cela comprend, par exemple, des médecins, des hôpitaux, des pharmacies, des laboratoires et le MS, mais exclut Santé Ontario.

FRIS ou fournisseur de réseau d’information sur la santé : A la signification établie au paragraphe 6(1) du Règlement de l’Ontario 329/04 et signifie une personne qui offre des services à deux DRS ou plus où les services sont fournis principalement aux DRS pour leur permettre d’utiliser des moyens électroniques pour divulguer des RPS à l’un et l’autre, que la personne soit ou non un agent de l’un des DRS.

Pratiques en matière d’information : Les politiques, les procédures et les pratiques de Santé Ontario mises en place pour protéger la vie privée des particuliers et la confidentialité de leurs renseignements.

CIPVP : Commissaire à l’information et à la protection de la vie privée

Ministre : Ministre de la Santé

MS : Ministère de la Santé de l’Ontario

Règl. Ont. 329/04 : Règlement de l’Ontario 329/04 fait en vertu de la LPRPS

Santé Ontario : Santé Ontario, l’organisme du gouvernement de l’Ontario visé par la présente politique.

Agent de Santé Ontario : Une personne qui agit pour le compte de Santé Ontario aux fins de Santé Ontario et pas pour ses propres fins, que l’agent ait ou non le pouvoir de lier Santé Ontario, que l’agent soit ou non employé par Santé Ontario et que l’agent soit ou non rémunéré.

RPS ou renseignements personnels sur la santé : A la signification établie à l’article 4 de la LPRPS. Plus particulièrement, ce sont les « renseignements identificatoires » concernant un particulier qui :

• ont trait à la santé physique ou mentale du particulier; ont trait à la fourniture de soins de santé au particulier;
• un programme qui énonce les services en vertu de la Loi de 1994 sur les services de soins à domicile et les services communautaires;
• ont trait aux paiements relatifs aux soins de santé fournis au particulier ou à son admissibilité à ces soins ou à cette assurance;
• ont trait au don, par le particulier, d’une partie de son corps ou d’une de ses substances corporelles ou découlent de l’analyse ou de l’examen d’une telle partie ou substance;
• sont le numéro de la carte Santé du particulier;
• permettent d’identifier le mandataire spécial d’un particulier.

Les RPS comprennent également les renseignements identificatoires concernant un particulier qui ne sont pas des RPS énumérés ci-dessus, mais qui sont contenus dans un dossier qui comprend des RPS énumérés ci-dessus. Les renseignements sont « identificatoires » lorsqu’ils permettent d’identifier un particulier ou lorsqu’il est raisonnable de prévoir, dans les circonstances, qu’ils pourraient servir, seuls ou avec d’autres renseignements, à identifier un particulier.

LPRPS ou Loi de 2004 sur la protection des renseignements personnels sur la santé : La loi de l’Ontario sur la protection des renseignements personnels sur la santé. Elle établit les règles pour la gestion des RPS et la protection de la confidentialité de ces renseignements, tout en facilitant la prestation efficace des services de santé. Les références à la LPRPS comprennent le règlement connexe, dans sa version modifiée ou remplacée d’un temps à l’autre.

Agent de la LPRPS : Par rapport à un DRS, signifie une personne qui, avec l’autorisation du DRS, agit pour le compte du dépositaire à l’égard des RPS aux fins du DRS et pas pour ses propres fins, que l’agent ait ou non le pouvoir de lier le DRS, que l’agent soit ou non employé par le DRS et que l’agent soit ou non rémunéré.

RP ou renseignements personnels : A la signification établie à l’article 2 de la LAIPVP. Plus particulièrement, s’entend comme les renseignements consignés ayant trait à un particulier qui peut être identifié. S’entend notamment :

• des renseignements concernant la race, l’origine nationale ou ethnique, la couleur, la religion, l’âge, le sexe, l’orientation sexuelle, l’état matrimonial ou familial de celui-ci;
• des renseignements concernant l’éducation, les antécédents médicaux, psychiatriques, psychologiques, criminels ou professionnels de ce particulier ou des renseignements reliés à sa participation à une opération financière;
• d’un numéro d’identification, d’un symbole ou d’un autre signe individuel qui lui est attribué;
• de l’adresse, du numéro de téléphone, des empreintes digitales ou du groupe sanguin de ce particulier;
• de ses opinions ou de ses points de vue personnels, sauf s’ils se rapportent à un autre particulier;
• de la correspondance ayant explicitement ou implicitement un caractère personnel et confidentiel, adressée par le particulier à une institution, ainsi que des réponses à cette correspondance originale susceptibles d’en révéler le contenu;
• des opinions et des points de vue d’une autre personne au sujet de ce particulier;

du nom du particulier, s’il figure parmi d’autres renseignements personnels qui le concernent, ou si sa divulgation risque de révéler d’autres renseignements personnels au sujet du particulier.

EFVP : Évaluation des facteurs relatifs à la vie privée

Entité prescrite ou PE : Une entité qui est prescrite dans le Règlement de l’Ontario 329/04 aux fins de l’article 45 de la LPRPS, à laquelle un DRS a le droit de divulguer des RPS, sans le consentement du particulier concerné par les renseignements, aux fins de l’analyse ou du rassemblement de renseignements statistiques pour la gestion, l’évaluation ou la surveillance de la répartition des ressources au système de santé, en tout ou en partie, ou sa planification, y compris la prestation de services.

Organisation prescrite ou OP : L’organisation prescrite dans le Règlement de l’Ontario 329/04 à titre d’organisation aux fins de la partie V.1 de la LPRPS. L’organisation prescrite a le pouvoir et l’obligation de développer et de maintenir le DSE conformément à la partie V.1 de la LPRPS et à son règlement.

Personne prescrite ou PP : Une personne qui est prescrite dans le règlement aux fins de l’alinéa 39(1)c) de la LPRPS, à laquelle un DRS a le droit de divulguer des RPS, sans le consentement du particulier concerné par les renseignements, à une telle personne qui maintient un registre de RPS aux fins de la facilitation ou de l’amélioration de la prestation de soins de santé ou qui concerne l’entreposage ou le don de parties de corps ou de substances corporelles.

Registre prescrit ou RP : Un registre de RPS qui est prescrit dans le Règlement de l’Ontario 329/04 maintenu aux fins de la facilitation ou de l’amélioration de la prestation de soins de santé ou qui concerne l’entreposage ou le don de parties de corps ou de substances corporelles.

Violation de la vie privée : Un événement ou une série d’événements où une ou plusieurs des situations suivantes se produit :

• la collecte, l’utilisation ou la divulgation de RPS ou de RP n’est pas conforme à la LPRPS ou à son règlement ou à la LAIPVP ou à son règlement (c.-à-d. sans autorité juridique);
• il y a une violation des politiques, des procédures ou des pratiques de protection de la vie privée de Santé Ontario;
• il y a une violation des ententes d’échange de données, des ententes de recherche, des ententes de confidentialité ou des ententes avec des tiers fournisseurs de service engagés par Santé Ontario, y compris les confirmations écrites reconnaissant et acceptant de ne pas utiliser les RPS ou les RP qui ont été anonymisés ou regroupés pour identifier un particulier;

où des RP ou des PS sont volés, perdus ou assujettis à une collecte, une utilisation ou une divulgation non autorisées ou lorsque des dossiers de RPS ou de RP font l’objet d’une copie, d’une modification ou d’une élimination non autorisée.

Plainte en matière de confidentialité : Les préoccupations ou les plaintes concernant :

• Les politiques, procédures et pratiques en matière de confidentialité mises en œuvre par Santé Ontario et la conformité de Santé Ontario en vertu de la LPRPS, de la LAIPVP et des règlements connexes.

La conformité d’un DRS avec la LPRPS et son règlement à l’égard des RPS qui sont accessibles au moyen du DSE développé ou maintenu par Santé Ontario.

Incident de la vie privée : Une violation réelle ou soupçonnée de la vie privée.

Demande de renseignements relative à la vie : Les demandes de renseignements concernant :

• Les politiques, procédures et pratiques en matière de confidentialité mises en œuvre par Santé Ontario et la conformité de Santé Ontario en vertu de la LPRPS, de la LAIPVP et des règlements connexes.

Les demandes de renseignements concernant les politiques, procédures et pratiques en matière de confidentialité d’un DRS ou la conformité d’un DRS avec la LPRPS et son règlement à l’égard des RPS qui sont accessibles au moyen du DSE développé ou maintenu par Santé Ontario.

EHD : Équipe de la haute direction

Tiers fournisseur de service : Un tiers sous contrat ou autrement engagé pour fournir des services à Santé Ontario, y compris les fournisseurs de services électroniques.

EMR : Évaluation des menaces et des risques

Utiliser : Par rapport aux RPS ou aux RPS sous la possession ou le contrôle d’un DRS ou d’une personne, « utiliser » signifie consulter, traiter ou autrement gérer les renseignements, mais ne comprend pas la divulgation des renseignements; et « utilisation », comme nom, a une signification correspondante. Aux fins de la LPRPS, la communication de RPS entre un DRS et un agent du DRS constitue une utilisation par le DRS, et non une divulgation par la personne qui communique les renseignements ni une collecte par celle à qui ils sont communiqués.

• LPRPS, LAIPVP, LSI et Loi sur le don de la vie
• Manuel pour l’examen et l’approbation des personnes et des entités prescrites
• Manuel pour l’examen et l’approbation des organisations prescrites
• Politique d’audit et de conformité en matière de confidentialité
• Politique et procédure de gestion des incidents de confidentialité
• Politique d’utilisation et de divulgation des renseignements personnels
• Politique d’entente de confidentialité
• Norme sur les EFVP
• Gouvernance du programme de sécurité de l’information
• Politique de sécurité de l’information
• Cadre de gouvernance et de responsabilisation en matière de confidentialité
• Formulaire de directive en matière de consentement du DSE
• Politique sur la directive sur le consentement au DSE et la modification du consentement
• Politique de rétention du DSE
• Énoncé sur les pratiques relatives aux renseignements du DSE
• Politiques et procédures de demande d’accès aux RPS du DSE
• Politiques et procédures de demande de corrections des renseignements personnels sur la santé du DSE
• Politique du DSE pour recevoir des RPS

• Avocat général et directeur général, services juridiques, de la vie privée et de l’évaluation des risques
• Les employés du Bureau de la protection de la vie privée d’autres agents de Santé Ontario, y compris le DPVP et les employés et entrepreneurs responsables de la rédaction, du maintien ou de la révision des politiques en matière de confidentialité en référence aux exigences en matière de confidentialité de Santé Ontario.
• Membres du groupe de travail du Comité consultatif sur les programmes de confidentialité

Santé Ontario a le statut « d’organisation prescrite » en vertu de l’article 18.1 du Règl. Ont. 329/04 aux fins de la partie V.1 de la LPRPS. En vertu du paragraphe 55.2 (1) de la LPRPS, l’organisation prescrite :

• a le pouvoir et l’obligation de développer et de maintenir le DSE conformément à la partie V.1 de la LPRPS et à son règlement dans le Règl. Ont. 329/04 fait dans le cadre de la partie V.1;
• a le pouvoir de recevoir des RPS des DRS aux fins de l’élaboration et du maintien du DSE.

À titre d’organisation prescrite, Santé Ontario effectuera les fonctions suivantes :

• gérer et intégrer les RPS qu’il reçoit des DRS;
• assurer le fonctionnement approprié du DSE en entretenant les systèmes électroniques qui appuient le DSE;
• assurer l’exactitude et la qualité des RPS qui sont accessibles au moyen du DSE en menant des activités d’assurance de la qualité des données sur les RPS qu’il reçoit des DRS;
• réaliser des analyses des RPS accessibles au moyen du DSE afin d’envoyer des alertes et des rappels aux DRS pour qu’ils les utilisent lors de la fourniture de soins de santé aux particuliers.

En plus de s’acquitter des pouvoirs, des obligations et des fonctions décrits dans ces parties V.1 et V, Santé Ontario s’acquittera de tout pouvoir, obligation ou fonction prescrits en vertu de la LPRPS et du Règl. Ont. 329/04.

Pour une description et une liste des types de RPS reçus par Santé Ontario aux fins du développement et du maintien du DSE, voir la description en langage clair et simple du DSE et la liste des répertoires du DSE.

Entité prescrite

Santé Ontario a le statut « d’entité prescrite » en vertu du paragraphe 18(1) du Règl. Ont. 329/04 aux fins de l’article 45 de la LPRPS. À titre d’entité prescrite, Santé Ontario peut recueillir des RPS sans le consentement des particuliers auprès des DRS et utiliser ces renseignements aux fins de l’analyse et du rassemblement à l’égard de la gestion, l’évaluation ou la surveillance de la répartition des ressources au système de santé, en tout ou en partie, ou sa planification, y compris la prestation de services. Les autres utilisations et divulgations permises sont décrites à la partie IV de la LPRPS et de son règlement.

Pour une liste des types de RPS que Santé Ontario recueille à titre de personne prescrite ou d’entité prescrite, voir la liste des actifs de données de l’entité prescrite et de la personne prescrite de Santé Ontario.

Personne prescrite

Santé Ontario a également le statut de « personne prescrite » en vertu de la LPRPS à l’égard du rôle de Santé Ontario pour compiler et maintenir le registre prescrit : le Registre de dépistage du cancer de l’Ontario (RDCO)dans le cadre du Programme ontarien de dépistage du cancer (PODC)⁵ . Cette désignation accorde à Santé Ontario le pouvoir de recueillir, d’utiliser et de divulguer des RPS, sans consentement, aux fins de faciliter ou d’améliorer la prestation des soins de santé en vertu de l’alinéa 39(1)c) de la LPRPS.Les autres utilisations et divulgations permises sont décrites à la partie IV de la LPRPS et de son règlement.

Pour une liste des types de RPS que Santé Ontario recueille à titre de personne prescrite ou d’entité prescrite, voir la liste des actifs de données de l’entité prescrite et de la personne prescrite de Santé Ontario.

Pratiques en matière d’information mises en œuvre à titre d’entité prescrite, de personne prescrite et d’organisation prescrite

À titre d’entité prescrite, de personne prescrite et d’organisation prescrite, Santé Ontario a mis en place des pratiques et des procédures pour protéger la vie privée des particuliers dont il reçoit les RPS en vertu de ces désignations et pour maintenir la confidentialité des renseignements. Ces pratiques en matière d’information sont conçues pour être conformes avec le Manuel pour l’examen et l’approbation des organisations prescrites du CIPVP (lequel s’applique seulement au rôle de Santé Ontario à titre d’organisation prescrite, puisque cette expression est définie à l’article 2 de la LPRPS), ainsi que le Manuel pour l’examen et l’approbation des personnes et des entités prescrites du CIPVP (lequel s’applique au rôle de Santé Ontario à titre de personne prescrite et d’entité prescrite). Ces pratiques en matière d’information font l’objet d’une révision par le CIPVP tous les trois ans.

Lorsque Santé Ontario entreprend des activités ou des rôles qui sont autrement réglementés par la LPRPS, il a des politiques et des procédures appropriées en place qui abordent les exigences pour ces autres activités et rôles.

Remarque : ⁵Il est escompté que CorHealth sera transféré à Santé Ontario, moment auquel Santé Ontario sera également une personne prescrite à l’égard de son registre des services cardiaques et vasculaires.

Santé Ontario administre un programme de recherche afin d’acquérir de nouvelles connaissances par le biais de la recherche épidémiologique, la recherche sur les interventions, les services de santé, la surveillance et les politiques, ainsi que la synthèse et la transmission de connaissances. À titre d’entité prescrite ou de personne prescrite, Santé Ontario peut recueillir, utiliser ou divulguer des RPS comme s’il était un DRS aux fins de la recherche.

Santé Ontario fournit des systèmes d’information aux DRS pour leur permettre d’échanger des RPS les uns avec les autres. En offrant de tels services, Santé Ontario agit comme FRIS et est assujetti à des exigences supplémentaires en matière de confidentialité en vertu du Règle. Ont. 329/04.

Un agent en vertu de la LPRP est une personne qui, avec l’autorisation du DRS, agit pour le compte du DRS à l’égard des RPS aux fins du DRS et pas pour ses propres fins, que l’agent ait ou non le pouvoir de lier le DRS, que l’agent soit ou non employé par le DRS et que l’agent soit ou non rémunéré. Santé Ontario peut agir comme agent de la LPRPS si Santé Ontario a l’autorisation de le faire par les DRS à des fins, par exemple, de répondre aux demandes d’accès et de correction.

Santé Ontario fournit des services de technologie de l’information aux fournisseurs de soins de santé afin de leur permettre de recueillir, d’utiliser, de modifier, de divulguer, de conserver ou d’éliminer des RPS ou d’échanger des RPS les uns avec les autres. En offrant ces services, Services Ontario agit comme FSE en vertu du règlement de la LPRPS. Ce rôle de FSE limite strictement l’utilisation de Santé Ontario des RPS à seulement ceux qui appuient les fournisseurs de soins de santé.