Formation des employés

Formation en ligne sur la protection des renseignements personnels des Services de santé non assurés

Si vous avez besoin d'aide pour accéder aux formats de rechange, tels que Portable Document Format (PDF), Microsoft Word et PowerPoint (PPT), visitez la section d'aide sur les formats de rechange.

Bienvenue au Programme des services de santé non assurés (SSNA) de la Direction générale de la santé des Premières nations et des Inuits de Santé Canada et à ce module de formation en ligne sur la protection des renseignements personnels. Cette formation s'adresse à tous ceux et celles qui participent à la livraison des prestations des SSNA. Le module présente systématiquement les questions touchant la collecte, l'utilisation et la transmission sécuritaires des renseignements personnels de nos clients. Il comprend également à la fin de chaque section des scénarios (questions) conçus pour vérifier votre compréhension de ce que vous venez d'apprendre. Ces scénarios permettent de mettre en pratique dans votre milieu de travail quotidien les notions touchant la protection des renseignements personnels.

Au cours des prochaines 20 à 30 minutes, vous apprendrez :

• Quelles mesures existent pour protéger les renseignements personnels;
• Ce que vous pouvez faire pour assurer la protection des renseignements personnels des clients.

Une version audio accompagne le texte écrit. Pour l'écouter, cliquez sur le bouton «démarrer» du contrôleur audio, en haut de la page. Vous pouvez arrêter la narration pour faire une pause, revenir en arrière ou avancer rapidement.

Si vous ne voyez pas de bouton audio, il vous faut ajouter un module d'extension au lecteur multimédia de votre ordinateur. Si votre navigateur n'en comporte pas, vous pouvez en télécharger un gratuitement.

Pour vous déplacer d'un sujet à l'autre, utilisez les liens figurant en bas de page.

• Pour passer au sujet suivant, choisissez le lien « suivant »;
• Pour revenir au sujet précédent, choisissez le lien « précédent »;
• Pour sauter à un autre sujet, choisissez le lien « table des matières ».

Choisissez un sujet parmi les suivants :

Table des matières

• Que veut dire «protection des renseignements personnels» ?
• Protection des renseignements personnels : vous êtes le premier maillon
• Collecte des renseignements personnels
• Utilisation et partage des renseignements personnels
• Conservation et retrait des renseignements personnels
• Protection des renseignements personnels
• Responsabilisation des clients
• Résumé
• Hyperliens renseignements personnels
• Questions et réponses au sujet de la protection des renseignements personnels
• Renseignements personnels et accords de contribution
• Foire aux questions - renseignements personnels et accords de contribution

Que veut dire « protection des renseignements personnels »

La protection des renseignements personnels consiste à être libre de toute ingérence dans ses affaires personnelles et de savoir que ces dernières ne seront pas exposées à la vue de tous. C'est là un droit humain fondamental. Chacun a le droit de contrôler qui a accès aux renseignements personnels qui le concernent et comment ces renseignements seront utilisés.

La protection des renseignements personnels consiste à protéger la confidentialité du client en traitant de façon sécuritaire et responsable les renseignements personnels que l'on recueille à son sujet pour la livraison, l'administration et la gestion de programme.

Perspectives

Il est important d'aborder la question de la protection des renseignements personnels en adoptant la perspective du client. Vous pouvez facilement imaginer pourquoi un client voudrait que les renseignements médicaux le concernant restent confidentiels et connaître les conséquences si une personne occupant un poste de confiance devait divulguer des renseignements personnels.

On peut aussi examiner la question dans la perspective des lois fédérales et provinciales ainsi que des politiques ministérielles portant sur la protection des renseignements personnels:

• La Loi sur la protection des renseignements personnels;
• La Charte canadienne des droits et libertés;
• La Loi sur l'accès à l'information;
• Les politiques et lignes directrices du Conseil du Trésor, notamment la Politique du gouvernement sur la sécurité émise par le Conseil du Trésor;
• La politique en matière de sécurité de Santé Canada;
• La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

Dans la section des « Hyperliens renseignements personnels », vous pouvez découvrir les détails des lois et des politiques qui s'appliquent à votre situation. Vous remarquerez la série standard de principes que l'on utilise au Canada en matière de protection des renseignements personnels. Les voici :

1. Responsabilité;
2. Détermination des fins de la collecte des renseignements;
3. Consentement/autorisation;
4. Limitation de la collecte;
5. Limitation de l'utilisation, de la communication et de la conservation;
6. Exactitude;
7. Mesures de sécurité;
8. Transparence concernant les politiques et pratiques;
9. Accès aux renseignements personnels;
10. Possibilité de porter plainte à l'égard du non-respect des principes.

Comme guide officiel, vous avez le Code de protection des renseignements personnels des Services de santé non assurés. Il s'agit d'un ensemble de lignes directrices à utiliser régulièrement en milieu de travail pour rehausser la sensibilisation à l'égard de la protection des renseignements personnels. Vous le trouverez sur le site Web de Santé Canada.

Protection des renseignements personnels : vous êtes le premier maillon

Tous ceux qui traitent des renseignements personnels ont la responsabilité de le faire de manière sécuritaire et confidentielle. Il s'agit de gagner la confiance de nos clients et de continuer à la mériter.

Nous sommes tous responsables.

• Les employés doivent suivre les procédures établies pour la protection des renseignements personnels par les Services de santé non assurés.
• On s'attend à ce que les gestionnaires donnent l'exemple pour ce qui est de se conformer aux politiques et procédures.
• Les entrepreneurs doivent respecter les clauses standard de leurs contrats en matière de confidentialité des renseignements personnels.
• Les professionnels de la santé doivent se conformer aux codes de protection des renseignements personnels établis par leurs organisations de réglementation professionnelle ou d'émission de permis d'exercer.

Toute infraction aux procédures sur la protection des renseignements personnels peut donner lieu à une mesure disciplinaire, y compris une suspension, un renvoi ou la résiliation d'un contrat.

 Scénario

Vous vous êtes entretenu avec un client au sujet de son ordonnance et des raisons le poussant à demander des services de santé mentale. Durant un repas dans la cafeteria, un de vos collègues qui ne s'occupe pas de la demande de prestations du client, vous demande pourquoi le client a appelé.

Que devriez-vous faire ?

1. Changer le sujet de la conversation.
2. Parler de l'ordonnance mais pas des raisons sous-tendant la demande de counseling.
3. Faire remarquer qu'on ne doit pas divulguer de renseignements personnels à moins que cela soit nécessaire pour la prestation de service.
4. Demander à votre collègue de passer vous voir dans votre alvéole après le repas car il n'est pas permis de discuter des renseignements personnels dans la cafétéria.

 Réponse du scénario

La bonne réponse est C.

Faire remarquer qu'on ne doit pas divulguer de renseignements personnels à moins que cela soit nécessaire pour la prestation de service. Du fait que votre collègue n'est pas impliqué dans la demande de prestations de ce client, ce serait une infraction que de lui communiquer des renseignements.

Une cafeteria pleine de monde n'est sûrement pas l'endroit voulu pour discuter des renseignements personnels d'un client. Même si vous vous trouviez dans un endroit sécuritaire, ce serait une infraction que de discuter des renseignements personnels du client. Cela constitue un abus de confiance qui va à l'encontre de la Loi sur la protection des renseignements personnels. C'est un délit grave ayant des conséquences pour le client, pour l'organisation et pour vous.

De changer le sujet n'est pas une bonne réponse, car cela n'aide pas votre collègue à comprendre qu'il s'agit d'une infraction en matière de protection des renseignements personnels du client.

Collecte des renseignements personnels

On ne doit recueillir de renseignements personnels que pour fournir des prestations de services de santé non assurés aux clients. La collecte doit se limiter au minimum nécessaire.

Quels renseignements personnels recueille-t-on ?

On ne recueille que le minimum de renseignements personnels pour pouvoir évaluer le besoin de fournir une prestation. Pour pouvoir identifier un client et lui fournir des prestations, il faut recueillir trois renseignements :

• Le nom;
• La date de naissance;
• Le numéro d'identification.

Il pourrait être nécessaire de recueillir d'autres renseignements dont les suivants :

• Diagnostic, traitement, renseignements sur les soins et la santé directement reliés à la demande de prestation.

Il peut être nécessaire d'obtenir des renseignements supplémentaires pour les demandes d'autorisation préalable et les exceptions.

Pourquoi recueille-t-on des renseignements personnels ?

Nos clients veulent souvent savoir pourquoi il faut fournir des renseignements personnels.

Le Programme des services de santé non assurés recueille des renseignements personnels pour deux raisons :

1. Pour examiner les demandes de prestations avant d'en assurer le financement;
2. Pour effectuer des revues des prestations et de l'administration du programme.

Comment s'effectue la collecte des renseignements ?

Les renseignements personnels sont recueillis soit directement auprès du client soit indirectement auprès d'un parent ou d'un tuteur ou encore d'un fournisseur autorisé par le Programme des SSNA.

Nous devons informer les clients de la manière dont le programme recueille, utilise, communique et protège les renseignements à leur sujet.

Nous n'avons pas besoin de la permission officielle (consentement explicite) de nos clients pour recueillir et utiliser des renseignements personnels à leur sujet pour ce qui est du traitement quotidien des demandes de prestations et de l'administration du programme. Nous devons obtenir leur consentement explicite lorsque nous devons communiquer des renseignements aux professionnels de la santé appropriés. Par exemple, dans le cas où il pourrait y avoir des inquiétudes au sujet de la sécurité du patient ou d'un abus du système. On peut fournir son consentement explicite verbalement ou par écrit.

Exactitude

La collecte de renseignements personnels doit être exacte si l'on veut fournir des prestations. Nous nous en assurons en :

• Mettant régulièrement à jour les listes d'admissibilité des clients;
• Exigeant des clients qu'ils s'identifient en fournissant nom, date de naissance et numéro d'identification;
• Incorporant dans nos systèmes informatiques des champs d'information obligatoires qu'il faut remplir de façon complète avant de traiter une demande.

Des renseignements inexacts peuvent provoquer des retards dans le traitement des demandes.

  Scénario

Une cliente vous appelle au bureau pour savoir si elle est admissible à des prestations. Vous recueillez son nom, sa date de naissance et son numéro d'identification. Elle vous donne aussi son numéro d'assurance sociale.

Pouvez-vous noter son numéro d'assurance sociale et le conserver dans les dossiers ?

  Réponse du scénario

Non.

Vous devriez signaler à la cliente qu'il n'est pas nécessaire de fournir son numéro d'assurance sociale pour demander des prestations des Services de santé non assurés. Vous commettriez une infraction en matière de protection des renseignements personnels si vous recueilliez ce renseignement.

Utilisation et partage des renseignements personnels

Tout comme pour la collecte, l'utilisation des renseignements personnels se limite aux fins d'administration, de livraison et de gestion du Programme des services de santé non assurés.

On limite aussi l'utilisation et la transmission des renseignements personnels en n'y donnant accès qu'à ceux qui doivent être informés (principe du «besoin de connaître»).

Vous n'êtes autorisé à utiliser et à partager des renseignements personnels que lorsque c'est nécessaire et avec les personnes suivantes :

• Le personnel et les entrepreneurs du Programme des services de santé non assurés;
• Les professionnels et fournisseurs de soins de santé. Cela comprend les médecins, les infirmiers, les pharmaciens, les optométristes/opticiens, les dentistes, les denturologistes, les psychologues autorisés, les travailleurs sociaux, les fournisseurs de fournitures médicales et d'équipement médical;
• Les organisations des Premières nations et des Inuits qui administrent les prestations des Services de santé non assurés dans le cadre d'accords de contribution;
• D'autres représentants de compagnies d'assurance médicale qui coordonnent ou augmentent la couverture.

Avant de transmettre à qui que ce soit des renseignements personnels sur un client, vous devriez vous demander :

• D'où vient le besoin d'avoir ces renseignements ?
• Cette personne a-t-elle besoin d'être mise au courant ?

  Scénario

Un fournisseur appelle les Services de santé non assurés avec tous les renseignements requis pour identifier un client. Les éléments d'identification correspondent à ceux qui figurent au dossier du client dans la base de données, exception faite de la date de naissance qui dans notre système est différente de celle que donne le fournisseur.

Pouvez-vous donner au fournisseur la date de naissance exacte pour qu'il puisse mettre ses dossiers à jour ?

 Réponse du scénario

Non.

On commet une infraction en matière de protection des renseignements personnels si l'on donne au fournisseur la date de naissance exacte. Le fournisseur peut demander au client de confirmer sa date de naissance et par la suite soumettre la demande.

Conservation et retrait des renseignements personnels

On doit conserver les dossiers pendant au moins sept ans. Cela comprend les renseignements personnels, qu'ils soient dans des classeurs ou dans les bases de données de nos systèmes informatiques. Après sept ans, on peut retirer les renseignements de façon sécuritaire. Certains dossiers doivent cependant être conservés pendant plus de sept ans. Pour vous renseigner davantage sur la conservation et le retrait des renseignements personnels, consultez la section « Hyperliens renseignements personnels ».

Protection des renseignements personnels

Tous les employés du programme ont la responsabilité de préserver la sécurité et la confidentialité des renseignements personnels. Les bonnes habitudes sont bien utiles!

• Laissez-vous vos mots de passe bien en vue, sur un petit papier collant placé sur votre écran d'ordinateur ou alors inscrits sur votre calendrier ou sur un bloc-notes sur votre bureau ?
• Verrouillez-vous votre poste de travail lorsque vous vous absentez de votre bureau ?
• Vérifiez-vous deux fois les numéros de télécopieur et les adresses électroniques avant d'expédier vos documents ?
• Déchiquetez-vous les rebuts qui contiennent des renseignements personnels ?

Il est probable que vous pourrez vous fier à votre bon sens. Sachez qu'il existe pour vous aider toute une série de procédures et de normes régissant la protection des renseignements personnels dont il vous faut être au courant.

À Santé Canada

Pour contribuer à la protection des renseignements personnels, Santé Canada a établi un certain nombre de procédures et de politiques, qui couvrent également les autorisations d'accès aux systèmes informatiques et les mesures de sécurité s'appliquant aux dossiers.

Les renseignements personnels recueillis par le programme tombent dans la catégorie «renseignements désignés».

• Vous devez les marquer comme «PROTÉGÉ»;
• Vous devez conserver séparément les REBUTS désignés;
• Vous devez déchiqueter, réduire en pâte ou brûler les REBUTS désignés.

Au bureau

Vous devez toujours utiliser des ordinateurs et télécopieurs sécuritaires.

Vous êtes responsable des clés, cadenas et combinaisons de coffre-fort.

Vous devez signaler la perte ou le vol de renseignements personnels.

Vous devez porter votre badge d'identification en tout temps.

Si vous allez travailler ailleurs, on vous retirera votre accès aux édifices.

Les inspections de sécurité à l'improviste rappellent à tous les procédures de sécurité.

Dans nos systèmes informatiques

On ne donne de mots de passe d'accès aux systèmes informatiques qu'à ceux qui ont besoin de les utiliser.

Nous nous assurons que les champs des bases de données ne sont accessibles qu'à ceux qui doivent être au courant.

Seuls les gestionnaires des SSNA peuvent demander des mots de passe pour leurs employés et autoriser l'accès à des bases de données sur les prestations précises.

Si vous changez de poste, on vous retirera votre autorisation d'accès aux systèmes informatiques.

Entrepreneurs et consultants

Les entrepreneurs et les consultants sont régis par les clauses sur la confidentialité contenues dans leurs contrats et ont un accès limité aux renseignements personnels.

 Scénario

Vous vous préparez à partir pour assister à une réunion. Quelles mesures devriez-vous prendre avant de vous absenter de votre poste de travail ?

1. Organiser les documents sur votre bureau afin de pouvoir terminer le traitement des dossiers les plus urgents après la réunion.
2. Verrouiller votre ordinateur et enlever tous les dossiers des clients qui se trouvent sur votre bureau.
3. Pour en cacher le texte et ainsi en empêcher la lecture, retourner sur votre bureau tous les documents touchant les clients.

  Réponse du scénario

B.

Vous devez enlever de votre bureau tous les dossiers de clients et verrouiller votre ordinateur avant de partir. Les dossiers doivent être placés dans un classeur ou dans un tiroir fermé à clé. Vous pouvez verrouiller votre ordinateur en quittant le réseau. Vous pouvez également utiliser un économiseur d'écran protégé par un mot de passe.

  Scénario

On vous a demandé d'envoyer des renseignements marqués «Désigné - PROTÉGÉ» à un autre ministère.

Pouvez-vous les envoyer par courriel ?

  Réponse du scénario

Oui.

Vous pouvez envoyer des renseignements marqués «Désigné - PROTÉGÉ» par courriel si vous faites ce qui suit:

• Inscrire « Désigné - PROTÉGÉ » dans la ligne « sujet »;
• Indiquer dans le message que les renseignements sont à l'usage exclusif du destinataire et que toute utilisation ou retransmission non autorisée est interdite;
• Inscrire dans le bloc de signature du message tous les renseignements pour contacter l'expéditeur;
• Vérifier que l'adresse électronique du destinataire est exacte;
• Utiliser dans le programme de courriel l'option demandant confirmation de réception de message;
• Téléphoner au destinataire avant d'envoyer le message afin qu'il l'attende et après avoir envoyé le message pour vérifier qu'il a été reçu.

  Scénario

On vous a donné des documents comportant des renseignements marqués «Désigné - PROTÉGÉ» à photocopier pour une réunion prévue pour le lendemain. Quelle est la meilleure façon de vous acquitter de cette tâche ?

1. Attendre jusqu'au dernier moment avant la réunion pour que les photocopies n'existent pas plus longtemps qu'il faut.
2. Envoyer tout de suite le dossier à un service d'imprimerie par messager.
3. Ne pas faire de copie puisque de photocopier des documents marqués «Désigné - PROTÉGÉ» serait commettre une infraction en matière de protection des renseignements personnels.
4. Vous assurer que l'original et les photocopies sont marqués «PROTÉGÉ» et les conserver de manière sécuritaire jusqu'au moment de la réunion.

  Réponse du scénario

D.

Vous devez faire les photocopies vous-même et prévoir suffisamment de temps pour prendre les précautions suivantes :

• Vérifier que les documents sont marqués « PROTÉGÉ »;
• Enlever les identificateurs personnels si possible;
• Faire le nombre minimum de copies;
• Inscrire « PROTÉGÉ » sur les copies;
• Déchiqueter toute copie défectueuse;
• Conserver les originaux et les copies dans un endroit sécuritaire ou dans un classeur fermé à clé jusqu'à la réunion.

Responsabilisation des clients

En parlant ouvertement de nos politiques et pratiques, nous sensibilisons nos clients à la protection des renseignements personnels.

Cela présente deux avantages :

• Cela renforce la responsabilité de notre personnel de programme;
• Cela établit un lien de confiance entre notre personnel et les clients qui ont confiance que leurs renseignements personnels sont traités de manière sécuritaire.

Toute personne qui fournit ou reçoit des prestations de services de santé non assurés peut se renseigner sur les politiques et procédures concernant les renseignements personnels. Le site Web de Santé Canada contient les informations les plus récentes.

Les clients ont le droit de demander quels renseignements personnels figurent dans les dossiers du programme. Ils ont le droit de demander si les renseignements sont exacts et complets. Ils ont également le droit de se plaindre s'ils jugent que l'on a enfreint la confidentialité des renseignements les concernant.

Résumé

Ce module de formation examine la façon dont le programme recueille, utilise, transmet, conserve et protège les renseignements personnels de ses clients. Les points ci-dessous résument ce que vous devez savoir.

Quels renseignements personnels recueillons-nous ?

Nous ne recueillons que les renseignements nécessaires pour pouvoir évaluer le besoin d'une prestation. Le nom, la date de naissance et le numéro d'identification constituent les éléments minimums permettant l'identification. Le programme peut recueillir d'autres renseignements, notamment les noms des enfants et des personnes légalement à charge, les diagnostics, les traitements, les renseignements sur les soins et la santé ayant un lien direct avec la demande de prestation.

Pourquoi recueillons-nous des renseignements personnels ?

1. Pour étudier et approuver les demandes de prestations et pour traiter les demandes provenant des fournisseurs.
2. Pour pouvoir rendre compte de l'utilisation des fonds publics.

Comment recueillons-nous des renseignements personnels ?

• Directement auprès du client;
• Indirectement auprès d'un parent ou d'un tuteur du client ou d'un fournisseur de soins de santé.

Nous nous assurons que les renseignements sont exacts pour assurer la sécurité du client et pour éviter tout retard dans le traitement des demandes.

Comment protégeons-nous les renseignements personnels ?

• En faisant appel au bon sens et à la vigilance;
• En nous conformant aux lois et politiques sur les renseignements personnels;
• En sachant ce que «protection des renseignements personnels» veut vraiment dire.

Avec qui partageons-nous les renseignements personnels ?

Nous partageons - avec soin - les renseignements personnels uniquement avec ceux qui ont besoin de les connaître et lorsqu'ils ont besoin de les connaître: personnel du programme, entrepreneurs, professionnels de la santé, fournisseurs de services, groupes des Premières nations et des Inuits administrant des prestations dans le cadre d'accords de contribution. Nous ne partageons les renseignements personnels que lorsqu'ils se rapportent à une demande de prestations présentée par un client.

Hyperliens renseignements personnels  

Protection des renseignements personnels au niveau fédéral

• Dispositions législatives sur la protection de la vie privée au Canada
  http://www.privcom.gc.ca/fs-fi/02_05_d_15_f.asp
  
  Survol des lois fédérales et provinciales concernant la vie privée au Canada.
• Comment utiliser la Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels
  http://canada.justice.gc.ca/fr/ps/atip/using.html
  
  Survol de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels.
• Accès à l'information et protection des renseignements personnels
  http://canada.justice.gc.ca/fr/ps/atip/
  
  Lois et politiques canadiennes concernant l'accès à l'information et la protection des renseignements personnels.
• Code de protection des renseignements personnels des SSNA 2005
  /fniah-spnia/pubs/nihb-ssna/_priv/2005_code/index-fra.php
  
  Ensemble de lignes directrices à l'intention des employés du Programme des services de santé non assurés (SSNA) de Santé Canada établies pour assurer le respect de la confidentialité des renseignements personnels que le Programme des SSNA recueille et utilise.
• Loi sur la protection des renseignements personnels
  http://lois.justice.gc.ca/fr/P-21/index.html
  
  La Loi sur la protection des renseignements personnels protège la confidentialité des renseignements personnels que le gouvernement fédéral recueille à votre sujet et vous donne le droit de les consulter.
• Loi sur l'accès à l'information
  http://lois.justice.gc.ca/fr/A-1/index.html
  
  La Loi sur l'accès à l'information vous donne le droit d'examiner ou d'obtenir des informations non personnelles contenues dans les dossiers du gouvernement fédéral.
• Charte canadienne des droits et libertés
  http://laws.justice.gc.ca/en/charter/const_fr.html
  
  Survol de la Charte canadienne des droits et libertés et d'autres droits humains.
• Publications d'Info Source
  http://infosource.gc.ca/index_f.asp
  
  Les publications d'Info Source constituent un outil de référence clé pour aider les membres du public à exercer les droits que leur confèrent la Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels.
• Info Source - Santé Canada - Banques de données de renseignements personnels
  http://www.infosource.gc.ca/inst/shc/fed07_f.asp
  
  Informations sur les banques de données contenant des renseignements personnels à Santé Canada.
• Services de santé non assurés
  /fniah-spnia/nihb-ssna/index-fra.php
  
  La Direction des services de santé non assurés offre aux Indiens inscrits et aux Inuits et Innus reconnus résidant au Canada un éventail de services médicalement nécessaires non couverts par d'autres régimes d'assurance-maladie fédéral/provinciaux/territoriaux ou privés.
• Protection des renseignements personnels
  http://www.tbs-sct.gc.ca/pubs_pol/gospubs/TBM_128/CHAP1_1-1_f.asp
  
  Politique du gouvernement du Canada concernant la collecte des renseignements personnels, le couplage de données et le croisement de données personnelles.
• Politique du gouvernement sur la sécurité
  http://www.tbs-sct.gc.ca/pubs_pol/gospubs/TBM_12A/gsp-psg_f.asp
  
  La politique du gouvernement sur la sécurité vient s'ajouter aux autres politiques du Conseil du Trésor sur la gestion de l'information.

Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

• LPRPDE pour les associations et fournisseurs du secteur de la santé
  http://www.hc-sc.gc.ca/ohih-bsi/theme/priv/privinfo_f.html
• Guide concernant la protection des renseignements personnels dans la LPRPDE
  http://www.privcom.gc.ca/information/guide_f.asp
  
  Guide à l'intention des entreprises et des organisations - Protection des renseignements personnels : vos responsabilités
• Foire aux questions sur la LPRPDE
  http://privacyforbusiness.ic.gc.ca/epic/internet/inpfb-cee.nsf/fr/h_hc00003f.html
• Outils de sensibilisation à la LPRPDE (OSAL)- Initiative prévue pour le secteur de la santé
  http://e-com.ic.gc.ca/epic/internet/inecic-ceac.nsf/fr/h_gv00207f.html
• Protection des renseignements en affaires
  http://privacyforbusiness.ic.gc.ca/epic/internet/inpfb-cee.nsf/fr/Home
• Se préparer en vue de la mise en oeuvre de la Loi sur la protection des renseignements personnels et les documents électroniques
  http://www.privcom.gc.ca/fs-fi/02_05_d_16_f.asp

Lois provinciales et territoriales sur la protection des renseignements personnels

• Dispositions législatives provinciales et territoriales
  http://www.hc-sc.gc.ca/ohih-bsi/theme/priv/index_f.html
• Loi sur la protection des renseignements personnels sur la santé de l'Ontario
  http://www.e-laws.gov.on.ca/html/statutes/french/elaws_statutes_04p03_f.htm

Conservation et élimination des documents

• Programme d'élimination des documents de l'administration fédérale des Archives nationales du Canada
  http://www.collectionscanada.ca/gestion-information/0605_f.html
• Conservation et retrait des renseignements personnels
  http://www.tbs-sct.gc.ca/pubs_pol/gospubs/TBM_128/CHAP2_3-1_f.asp
• Loi sur les Archives nationales du Canada
  http://lois.justice.gc.ca/fr/N-2.5/index.html
• Politique sur la gestion de l'information gouvernementale
  http://www.tbs-sct.gc.ca/pubs_pol/ciopubs/TB_GIH/mgih-grdg_f.asp

Questions et réponses au sujet de la protection des renseignements personnels

Qui s'assure que les employés et les entrepreneurs savent qu'il existe un code de protection des renseignements personnels et qu'ils le respectent ?

Les gestionnaires des Services de santé non assurés sont chargés de s'assurer que tous les employés qu'ils supervisent se conforment au Code de protection des renseignements personnels des Services de santé non assurés.

Les entrepreneurs sont tenus de respecter les clauses sur la confidentialité qui figurent dans leurs contrats. Les SSNA ont la responsabilité de s'assurer qu'il existe un niveau de protection comparable lorsque des renseignements personnels ont été communiqués ou transmis à une tierce partie telle qu'un entrepreneur chargé du traitement des demandes.

Les employés et les entrepreneurs qui sont des professionnels des soins de santé sont également tenus par leurs organismes de réglementation de veiller à la protection des renseignements personnels.

Quelles sont les conséquences s'ils ne se conforment pas au Code de protection des renseignements personnels ?

Les employés pourront faire l'objet d'une enquête subséquente pouvant donner lieu à des mesures disciplinaires.

Les entrepreneurs pourront voir leurs contrats résiliés et faire l'objet d'une enquête subséquente par Santé Canada.

Les professionnels de la santé qui sont des employés de Santé Canada sont soumis au même suivi que le personnel des SSNA en ce qui concerne leurs responsabilités à l'égard du respect de la confidentialité et peuvent également faire l'objet d'une enquête de la part de leurs organismes professionnels de réglementation ou d'émission de permis d'exercer.

Qui est le responsable de la protection des renseignements personnels pour mon ministère ?

Dans toutes les régions des SSNA on a désigné un coordonnateur de la protection des renseignements personnels dont on peut obtenir le nom en contactant le bureau régional de la Direction générale de la santé des Premières nations et des Inuits.

À quelles conséquences s'exposent les organisations ou groupes ayant signé des accords de contribution s'ils ne respectent pas les clauses relatives à la confidentialité contenues dans les accords en question ?

Le Code de protection des renseignements personnels des SSNA a été élaboré à l'intention du personnel des SSNA chargé de l'administration et de la gestion du programme. Les organisations ou groupes qui administrent les prestations des SSNA dans le cadre d'accords de contribution doivent se conformer aux exigences concernant la protection des renseignements personnels figurant dans les annexes et dans les clauses sur le respect de la confidentialité qui font partie des modalités de l'accord. Pour l'année 2004-2005, ces clauses sont ainsi libellées :

11.

1. Le Bénéficiaire veille à ce que tous les renseignements de nature confidentielle qui concernent les affaires du Ministre et dont le Bénéficiaire ou ses dirigeants, préposés ou mandataires sont instruits conformément au présent Accord ou en vertu de ce dernier soient traités en toute confidentialité et ne soient divulgués à aucune autre personne, sauf avec le consentement du Ministre ou autrement conformément à la loi applicable, sauf si le présent Accord en dispose autrement.
2. Le Ministre veille à ce que tous les renseignements de nature confidentielle qui concernent les affaires du Bénéficiaire et dont le Ministre ou ses agents, employés ou mandataires sont instruits conformément au présent Accord ou en vertu de ce dernier soient traités en toute confidentialité et ne soient divulgués à aucune autre personne, sauf avec le consentement du Bénéficiaire ou autrement conformément à la loi applicable, sauf si le présent Accord en dispose autrement.

12.

1. Le Bénéficiaire veille à ce que tous les renseignements de nature médicale personnelle dont lui-même ou ses dirigeants, préposés ou mandataires sont instruits conformément au présent Accord ou en vertu de ce dernier soient traités en toute confidentialité et ne soient divulgués à aucune autre personne, sauf avec le consentement de la personne concernée par les renseignements ou autrement conformément à la loi applicable.
2. Le Ministre veille à ce que tous les renseignements de nature médicale personnelle dont le Ministre ou ses agents, employés ou mandataires sont instruits conformément au présent Accord ou en vertu de ce dernier soient traités en toute confidentialité et ne soient divulgués à aucune autre personne, sauf avec le consentement des personnes concernées par les renseignements ou autrement conformément à la loi applicable.

Si l'on détermine qu'un groupe ou une organisation ne satisfait pas aux exigences de l'accord de contribution signée avec la Direction générale de la santé des Premières nations et des Inuits (DGSPNI) en ce qui concerne la protection des renseignements personnels, la DGSPNI et l'organisation des Premières nations mettront au point un plan pour régler la situation. Si le problème ne peut pas être résolu, il pourra être mis fin à l'accord de contribution.

Les organisations sont assujetties aux dispositions législatives fédérales, provinciales ou territoriales en matière de protection des données. Cela inclut notamment la Loi sur la protection des renseignements personnels et les documents électroniques, et ses équivalents provinciaux au Québec, en Colombie-Britannique et en Alberta. En Ontario, la Loi sur la protection des renseignements personnels sur la santé entrera en vigueur en novembre 2004. Cette loi vise à assurer la protection, la confidentialité et la sécurité des renseignements personnels sur la santé que les particuliers et les organisations recueillent, utilisent et transmettent.

Il est recommandé que tous les groupes Inuits et des Premières nations qui administrent des services de santé non assurés mettent en place leur propre code de protection des renseignements personnels pour s'assurer que les clients se rendent compte de leur engagement à respecter la vie privée et à protéger les renseignements personnels.

Si l'on donne à un employé accès à un système pour consulter certains dossiers précis, vérifie-t-on que cet employé ne consulte que les dossiers qu'il est autorisé à voir ? Existe-t-il un mécanisme pour empêcher l'employé de fureter dans les dossiers du système ?

Pour le moment il existe un mécanisme permettant de suivre les changements apportés aux renseignements par les individus mais non de savoir quels dossiers ont été regardés ou quelles recherches ont été faites dans les systèmes des SSNA. La Direction des SSNA examine les capacités actuelles des systèmes et étudie les possibilités d'améliorer les systèmes pour assurer un suivi complet des activités de l'utilisateur.

Tous les employés doivent avoir obtenu les cotes de sécurité requises et l'autorisation de leur gestionnaire pour avoir accès aux systèmes électroniques et aux dossiers papier dont ils ont besoin pour effectuer leur travail. Il y a un processus précis à suivre pour obtenir les autorisations, qui est contrôlé centralement à Ottawa par la Division du soutien opérationnel dans la Direction des SSNA.

Comment vous y prendriez-vous pour envoyer des documents désignés au sein du ministère de Santé Canada et à l'extérieur ? Si un document désigné doit être envoyé par télécopieur, faut-il l'envoyer à une machine spéciale et protégée et qui a le droit d'aller chercher le document/de le lire ?

Les renseignements personnels que recueille le Programme des services de santé non assurés (SSNA) pour fins de revue et de traitement des demandes reçoit la classification «DÉSIGNÉ», conformément à la Politique sur la sécurité du gouvernement du Canada. Les originaux et les copies doivent être marqués comme «PROTÉGÉ» dans le coin supérieur droit de la première page du document.

• On fait le minimum de copies - entières ou partielles - des documents contenant des renseignements personnels et l'on y applique la même marque de sécurité que portent les originaux.
• Les employés des SSNA ne doivent pas sortir de documents désignés des zones sécuritaires de leur milieu de travail au ministère. Dans certaines circonstances spéciales (comme le télétravail), on pourra faire une exception pour les renseignements de type «PROTÉGÉ».
• On peut envoyer des documents protégés par télécopieur, télex ou courrier électronique à moins que de plus grandes précautions (comme le chiffrage) ne soient indiquées.
• Documents à jeter: les rebuts de documents désignés doivent être conservés à part des autres rebuts et être déchiquetés, réduits en pâte ou brûlés.

Pour obtenir de plus amples informations, consulter la Politique sur la sécurité de Santé Canada à la rubrique Sécurité - Transport et transmission des renseignements de nature délicate.

Le personnel devrait-il utiliser des estampes «Protégé» et «Ne pas copier» ?

Les renseignements désignés devraient être marqués comme «Protégé» lors de leur création ou collecte. Cependant on doit les marquer s'ils vont être transmis hors de l'unité organisationnelle qui les a créés ou recueillis.

Pour obtenir de plus amples informations, consulter la Politique sur la sécurité de Santé Canada à la rubrique Sécurité - Marquage et photocopie des renseignements de nature délicate.

Les dossiers électroniques et papier sont-ils éliminés après 7 ans ? Qui s'en charge ?

On doit conserver les dossiers électroniques et papier au moins 7 ans et on doit les éliminer conformément à la politique du gouvernement du Canada sur la conservation et l'élimination des documents précisée dans la Loi sur les archives nationales du Canada.

Comment les groupes travaillant dans le cadre d'accords de contribution gèrent-ils les documents contenant des renseignements personnels après l'expiration du délai minimum de conservation de 7 ans ? Les renseignements sont-ils renvoyés aux SSNA pour être éliminés ?

Le bénéficiaire d'un accord de contribution conserve la propriété de tous les documents recueillis durant l'administration de l'accord de contribution. Toutefois, il doit fournir des rapports conformément aux modalités de l'accord et, à moins d'avis contraire, conserver et tenir à jour les comptes, dossiers financiers et documents d'appui pendant 7 ans, en cas de vérification.

La section de l'accord couvrant la confidentialité précise que les bénéficiaires doivent traiter les renseignements personnels «conformément à la loi applicable». Cela comprend l'élimination des documents comportant des renseignements confidentiels. Les bénéficiaires des accords sont également tenus de respecter les lois fédérales, provinciales/territoriales sur la protection des renseignements personnels.

Qui note quels employés ont suivi la formation sur la protection des renseignements personnels donnée par les SSNA ?

Les gestionnaires des SSNA dans tout le Canada doivent s'assurer que :

• Les nouveaux employés et les employés actuels sont mis au courant du Code de protection des renseignements personnels des SSNA et qu'ils en reçoivent copie;
• Tous les employés revoient chaque année le Code de protection des renseignements personnels dans le cadre de l'examen annuel de leur rendement.

En outre, les gestionnaires doivent s'assurer que les employés temporaires ont lu le Code de protection des renseignements personnels des SSNA et l'ont compris.

Y a-t-il une base de données dans les régions ou au siège social qui répertorie qui a suivi la formation et quand ?

Il n'y a pas une base de données unique pour répertorier ceux qui ont suivi la formation sur le Code de protection des renseignements personnels des Services de santé non assurés. Cependant, chaque zone doit s'assurer que tous les employés sont au courant du contenu de la plus récente version du Code de protection des renseignements personnels des Services de santé non assurés.

Comment pouvons-nous être sûrs que les autres employés avec lesquels nous partageons des dossiers sur les clients ont suivi la formation sur la protection des renseignements personnels ?

Les gestionnaires des Services de santé non assurés sont chargés de s'assurer que tous les employés, actuels et nouveaux, connaissent et comprennent la question de la protection des renseignements personnels dans le milieu de travail. Les gestionnaires sont également responsables de s'assurer que les employés reçoivent de la formation sur la protection des renseignements personnels.

Le présent module de formation en ligne sur la protection des renseignements personnels constitue un exemple d'outil d'apprentissage auquel ont accès tous les employés des Services de santé non assurés.

Quand vous envoyez à quelqu'un un document protégé, comment savez-vous si cette personne possède la cote de sécurité requise pour prendre connaissance du document ?

Les gestionnaires ont aussi la responsabilité de s'assurer que les employés ont la cote de sécurité appropriée pour faire leur travail quotidien. Chaque poste est assorti d'une cote de sécurité que doit posséder la personne au moment de son embauche dans le poste.

Un fournisseur appelle les Services de santé non assurés (SSNA) avec tous les renseignements d'identification nécessaires pour un client. Chaque élément est exact, à l'exception de la date de naissance, qui est inexacte. L'employé des SSNA a-t-il la permission de fournir la date de naissance exacte ?

Non. L'employé n'a pas le droit de divulguer la date de naissance au fournisseur. Ce dernier devrait aviser le client de l'erreur et lui conseiller de contacter le bureau régional de la Direction générale de la santé des Premières nations et des Inuits, qui fournira au client les renseignements nécessaires pour faire mettre à jour/corriger cette information.

Les documents sur l'évaluation des facteurs relatifs à la vie privée sont-ils mis à la disposition du public ? Qu'en est-il des documents sur l'évaluation des menaces et des risques ?

Le document sur l'évaluation des facteurs relatifs à la vie privée est un document public que l'on peut obtenir en en faisant demande officielle auprès du bureau d'accès à l'information.

Les documents d'évaluation des menaces et des risques sont classifiés comme «désigné» et ne sont pas mis à la disposition du public.

Renseignements personnels et accords de contribution

La protection des renseignements personnels consiste à être libre de toute ingérence dans ses affaires personnelles et de savoir que ces dernières ne seront pas exposées à la vue de tous. Chacun a le droit de contrôler qui a accès aux renseignements personnels qui le concernent et comment ces renseignements seront utilisés.

Si vous administrez des services de santé non assurés dans le cadre d'un accord de contribution, vous avez la responsabilité de protéger la confidentialité des renseignements personnels que vous recueillez et utilisez tous les jours. Pour découvrir ce qui est en jeu, vous devriez :

• Revoir les exigences en matière de protection des renseignements personnels qui figurent dans les annexes et les clauses sur la confidentialité contenues dans votre accord de contribution;

Le libellé de la clause sur la confidentialité figurant dans les accords de contribution apparaît comme vous le trouverez ci-dessous dans la section « Foire aux questions ».

• Revoir les lois fédérales, provinciales ou territoriales visant la protection des renseignements personnels.

La loi fédérale Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) s'applique à toutes les provinces, exception faite du Québec, de la Colombie-Britannique et de l'Alberta. Ces provinces ont adopté leurs propres lois provinciales qui sont comparables à la LPRPDE. En Ontario, la Loi sur la protection des renseignements personnels sur la santé entrera en vigueur en novembre 2004. Cette loi vise à assurer la protection, la confidentialité et la sécurité des renseignements personnels sur la santé que les particuliers et les organisations recueillent, utilisent et transmettent.

Vous pouvez en apprendre davantage sur les lois fédérales, provinciales et territoriales en consultant la section « Hyperliens renseignements personnels ».

Foire aux questions - renseignements personnels et accords de contribution

Les organisations ou les groupes ayant signé des accords de contribution sont-ils obligés de satisfaire aux exigences du Code sur la protection des renseignements personnels des Services de santé non assurés ?

Le Code de protection des renseignements personnels des SSNA a été élaboré à l'intention du personnel des SSNA chargé de l'administration et de la gestion du programme.

Les organisations ou groupes qui administrent les prestations des SSNA dans le cadre d'accords de contribution doivent se conformer aux exigences concernant la protection des renseignements personnels figurant dans les annexes et dans les clauses sur le respect de la confidentialité qui font partie des modalités de l'accord.

Pour l'année 2004-2005, les clauses standard des accords de contribution de Santé Canada sont ainsi libellées :

11.

1. Le Bénéficiaire veille à ce que tous les renseignements de nature confidentielle qui concernent les affaires du Ministre et dont le Bénéficiaire ou ses dirigeants, préposés ou mandataires sont instruits conformément au présent Accord ou en vertu de ce dernier soient traités en toute confidentialité et ne soient divulgués à aucune autre personne, sauf avec le consentement du Ministre ou autrement conformément à la loi applicable, sauf si le présent Accord en dispose autrement.
2. Le Ministre veille à ce que tous les renseignements de nature confidentielle qui concernent les affaires du Bénéficiaire et dont le Ministre ou ses agents, employés ou mandataires sont instruits conformément au présent Accord ou en vertu de ce dernier soient traités en toute confidentialité et ne soient divulgués à aucune autre personne, sauf avec le consentement du Bénéficiaire ou autrement conformément à la loi applicable, sauf si le présent Accord en dispose autrement.

12.

1. Le Bénéficiaire veille à ce que tous les renseignements de nature médicale personnelle dont lui-même ou ses dirigeants, préposés ou mandataires sont instruits conformément au présent Accord ou en vertu de ce dernier soient traités en toute confidentialité et ne soient divulgués à aucune autre personne, sauf avec le consentement de la personne concernée par les renseignements ou autrement conformément à la loi applicable.
2. Le Ministre veille à ce que tous les renseignements de nature médicale personnelle dont le Ministre ou ses agents, employés ou mandataires sont instruits conformément au présent Accord ou en vertu de ce dernier soient traités en toute confidentialité et ne soient divulgués à aucune autre personne, sauf avec le consentement des personnes concernées par les renseignements ou autrement conformément à la loi applicable.

Que se passe-t-il si un groupe ou une organisation ne satisfait pas aux exigences de confidentialité énoncées dans les accords de contribution de la Direction générale de la santé des Premières nations et des Inuits (DGSPNI) ?

La DGSPNI et l'organisation des Premières nations mettront au point un plan pour régler la situation. Si le problème ne peut pas être résolu, il pourra être mis fin à l'accord de contribution.

Les organisations sont assujetties aux dispositions législatives fédérales, provinciales ou territoriales en matière de protection des données. Cela inclut notamment la Loi sur la protection des renseignements personnels et les documents électroniques, et ses équivalents provinciaux au Québec, en Colombie-Britannique et en Alberta. En Ontario, la Loi sur la protection des renseignements personnels sur la santé entrera en vigueur en novembre 2004. Cette loi vise à assurer la protection, la confidentialité et la sécurité des renseignements personnels sur la santé que les particuliers et les organisations recueillent, utilisent et transmettent.

J'ai un accord de contribution portant sur le transport pour raison médicale et je reçois des feuilles de route des chauffeurs. Une fois que j'ai payé ces derniers, que suis-je censé faire de ces dossiers papier ?

En tant que bénéficiaire d'un accord de contribution vous conservez la propriété de tous les documents recueillis durant l'administration de l'accord de contribution. Toutefois, vous devez fournir des rapports conformément aux modalités de l'accord et, à moins d'avis contraire, conserver et tenir à jour les comptes, dossiers financiers et documents d'appui pendant 7 ans, en cas de vérification. La section de l'accord couvrant la confidentialité précise que vous devez traiter les renseignements personnels «conformément à la loi applicable». Cela comprend l'élimination des documents comportant des renseignements confidentiels. Vous êtes également tenus de respecter les lois fédérales, provinciales/territoriales sur la protection des renseignements personnels.

Mon voisin ne veut pas obtenir de services de santé par peur que les renseignements personnels le concernant ne se répandent dans toute la communauté. Que devrais-je dire à mon voisin ?

Vous devriez lui expliquer que les employés doivent obéir aux lois et politiques qui protègent la confidentialité des renseignements personnels qu'ils recueillent et utilisent pour fournir des prestations. Encouragez votre voisin à s'entretenir avec le personnel chargé du traitement des demandes de prestations pour savoir quelles mesures ont été mises en place pour préserver la confidentialité et quelles sont les options possibles si ces mesures ne sont pas respectées.