Confidentialité et protection des renseignements personnels sur la
Lignes directrices de pratique -
Confidentialité et protection des renseignements
personnels sur la santé
Lignes directrices de pratique – Faute professionnelle – Confidentialité et protection des renseignements personnels sur la santé –
Avril 2013
Page 1 de 9
Introduction
La confidentialité et la protection des renseignements personnels sont des éléments clés du
système de santé de l’Ontario. Les renseignements sur la santé d’une personne appartiennent à
cette personne et elle a le droit de consentir ou non à l’utilisation, à la collecte et à la divulgation de
ces renseignements sauf pour quelques exceptions très limitées. Une personne a aussi le droit
d’accès à ses renseignements personnels sur la santé. La plupart des gens se soucient beaucoup de
leur vie privée, en particulier quand il s’agit de leur santé. De plus, la confidentialité est un aspect
essentiel à l’établissement de la relation thérapeutique entre le praticien et le patient/client. Cela ne
comprend pas seulement les renseignements sur la santé, mais aussi tout autre renseignement
personnel au sujet du patient/client. Un patient/client qui peut faire confiance que ses
renseignements personnels sur la santé seront protégés est plus susceptible de donner toute
l’information sur sa santé, ce qui permet un traitement plus efficace.
En réponse à la quantité accrue de renseignements personnels sur la santé qui est accessible et au
besoin de les protéger, le gouvernement de l’Ontario a adopté la Loi de 2004 sur la protection des
renseignements personnels sur la santé (LPRPS). La Loi détermine les règles pour la collecte,
l’utilisation, la modification, la divulgation, la conservation et l’élimination des renseignements
personnels sur la santé des patients/clients en Ontario.
Le but des présentes lignes directrices est d’aider les kinésiologues à comprendre leurs obligations
en vertu de la LPRPS et leur devoir de garder confidentiels les renseignements des patients/clients
sauf dans des cas bien particuliers. La norme de pratique sur la tenue des dossiers comprend le
devoir de confidentialité.
Bien que ces lignes directrices portent principalement sur la protection des renseignements
personnels sur la santé, les kinésiologues doivent aussi se rappeler leur obligation de garder le reste
de la vie privée de la personne confidentielle. Les kinésiologues doivent éviter de discuter d’autres
renseignements personnels au sujet d’un patient/client avec d’autres personnes. Par exemple, un
patient/client peut avoir besoin qu’on protège sa confidentialité s’il doit se dévêtir. Il peut aussi avoir
besoin de compter sur vous pour protéger sa confidentialité si vous devez discuter de questions
liées au traitement avec des proches ou des représentants. Habituellement, le patient/client fournit
des coordonnées à l’établissement. Cependant, il doit pouvoir préciser comment il veut être
contacté, par exemple, s’il ne veut pas de communication par téléphone ou courriel. Les
kinésiologues doivent toujours prendre note de ces demandes et les respecter.
Lignes directrices de pratique – Faute professionnelle – Confidentialité et protection des renseignements personnels sur la santé –
Avril 2013
Page 2 de 9
Qui assume la responsabilité en vertu de la LPRPS?
La LPRPS a identifié deux groupes de personnes qui ont le devoir de garder confidentiels les
renseignements personnels sur la santé. Il s’agit, selon la Loi, de 1) les dépositaires de
renseignements sur la santé et 2) les mandataires de dépositaires de renseignements sur la santé.
Les dépositaires de renseignements sur la santé incluent les professionnels de la santé
réglementés. La loi définit le « dépositaire de renseignements sur la santé » comme suit :
« s’entend d’une personne ou d’une organisation visée à l’une des dispositions suivantes
[incluant un praticien de la santé] qui a la garde ou le contrôle de renseignements
personnels sur la santé par suite ou à l’égard de l’exercice de ses pouvoirs ou de ses
fonctions ou de l’exécution du travail visé à la disposition, le cas échéant ».
Il est important de porter attention à cette définition. Le dépositaire a « la garde et le contrôle » des
renseignements personnels sur la santé et du dossier, mais il n’en est pas le propriétaire. Le
patient/client en est le propriétaire.
Les « mandataires » sont définis comme une personne qui agit au nom d’un dépositaire de
renseignements sur la santé et qui peut recueillir, utiliser ou divulguer des renseignements
personnels sur la santé. Lorsque le professionnel de la santé est à l’emploi d’un dépositaire de
renseignements sur la santé, le professionnel de la santé est considéré comme un « mandataire ».
Bien souvent, les réceptionnistes, les gestionnaires et directeurs de bureau et les autres membres
du personnel administratif de bureau sont considérés comme étant des mandataires.
Les mandataires et les dépositaires ont le devoir de veiller à la confidentialité des renseignements
personnels sur la santé en vertu de la LPRPS, mais la loi impose des obligations additionnelles aux
dépositaires de renseignements sur la santé. Par exemple, les dépositaires ont la responsabilité
supplémentaire de veiller à mettre en place des mécanismes pour assurer la confidentialité et à
s’assurer que leurs mandataires sont au courant des politiques et de leurs obligations. Les
dépositaires doivent également désigner une personne-ressource responsable de s’occuper des
demandes d’information et doivent mettre leurs pratiques de gestion des renseignements sur la
santé à la disposition du public. Cette liste de responsabilités n’est pas exhaustive. Au besoin, nous
encourageons les kinésiologues à consulter la LPRPS ou à communiquer avec l’Ordre pour plus de
détails.
Les kinésiologues et tous les autres professionnels de la santé réglementés agiront soit comme
dépositaire de renseignements sur la santé soit comme mandataire. Ainsi, un kinésiologue qui offre
des soins de santé a toujours, en vertu de la LPRPS, l’obligation de veiller à la confidentialité des
renseignements personnels sur la santé. Par ailleurs, un kinésiologue serait considéré comme étant
un « mandataire » s’il est à l’emploi d’un établissement de soins de santé. Il est important que les
membres soient conscients de leur rôle car si on est un « dépositaire de renseignements sur la
santé », on doit, en plus de maintenir soi-même la confidentialité, veiller à la confidentialité dans
toute l’organisation.
Quels renseignements doivent être protégés en vertu de la LPRPS?
Voici, en vertu de l’article 4 de la LPRPS, la définition qui s’applique aux renseignements personnels
sur la santé :
Lignes directrices de pratique – Faute professionnelle – Confidentialité et protection des renseignements personnels sur la santé –
Avril 2013
Page 3 de 9
« renseignements personnels sur la santé » Sous réserve des paragraphes (3) et (4), s’entend de
renseignements identificatoires concernant un particulier qui se présentent sous forme verbale
ou autre forme consignée si, selon le cas :
a) ils ont trait à la santé physique ou mentale du particulier, y compris aux antécédents de
sa famille en matière de santé;
b) ils ont trait à la fourniture de soins de santé au particulier, notamment à l’identification
d’une personne comme fournisseur de soins de santé de ce dernier;
c) ils constituent un programme de services au sens de la Loi de 1994 sur les services de
soins à domicile et les services communautaires pour le particulier;
d) ils ont trait aux paiements relatifs aux soins de santé fournis au particulier ou à son
admissibilité à ces soins ou à cette assurance;
e) ils ont trait au don, par le particulier, d’une partie de son corps ou d’une de ses
substances corporelles ou découlent de l’analyse ou de l’examen d’une telle partie ou
substance;
f) ils sont le numéro de la carte Santé du particulier;
g) ils permettent d’identifier le mandataire spécial d’un particulier.
Cette définition est très large. Il est important de noter que cette définition inclut les renseignements
donnés verbalement.
La LPRPS définit plus en détail ce qu’on considère comme des « renseignements identificatoires » en
donnant la définition suivante : « renseignements qui permettent d’identifier un particulier ou à
l’égard desquels il est raisonnable de prévoir, dans les circonstances, qu’ils pourraient servir, seuls
ou avec d’autres, à en identifier un ». Ainsi, selon cette définition, une personne peut être non
seulement identifiée par son nom ou un numéro d’identification, mais elle peut être suffisamment
décrite par une autre personne pour qu’il soit possible de connaître son identité. Il est donc possible
qu’il ne suffit pas d’enlever le nom, l’adresse ou le numéro d’assurance-santé dans un dossier de
patient/client pour protéger correctement ses renseignements personnels. De même dans une
conversation, il faut se rappeler que même si vous ne mentionnez pas le nom d’un patient/client, il
est possible qu’une personne qui écoute sache de qui vous parlez.
Les kinésiologues doivent savoir qu’il n’y a pas que l’état du patient/client qui soit confidentiel. Le
fait que cette personne soit un patient/client est aussi confidentiel. On doit donc éviter de laisser
des dossiers ou des renseignements personnels sur la santé à la vue de tous car cela peut
constituer une atteinte à la vie privée.
Les deux définitions ci-dessus, tirées de la loi, ont des conséquences sur la divulgation des
renseignements personnels sur la santé et nous allons maintenant examiner ces conséquences plus
en détail.
Comment la LPRPS aide-t-elle à protéger la confidentialité?
Le consentement
La LPRPS stipule qu’on peut seulement recueillir, utiliser et divulguer les renseignements personnels
sur la santé d’une personne avec le consentement de cette personne. Il y a cependant quelques
exceptions à cette règle générale, expliquées plus bas. Même lorsque la loi permet une exception, le
kinésiologue devrait quand même obtenir le consentement, si possible ou dès que possible après la
collecte, l’utilisation ou la divulgation. Le patient/client a le droit, en tout temps, de retirer son
consentement à la collecte, à l’utilisation ou à la divulgation de ses renseignements personnels sur
Lignes directrices de pratique – Faute professionnelle – Confidentialité et protection des renseignements personnels sur la santé –
Avril 2013
Page 4 de 9
la santé. Si le patient/client retire son consentement, il faut le respecter immédiatement sauf si une
exception prévue dans la loi s’applique.
Le consentement peut être explicite ou implicite. Par exemple, si un kinésiologue pose des questions
à un patient/client au sujet de ses antécédents médicaux et que le patient/client répond
volontairement, le consentement est implicite. À condition que le consentement n’ait pas été
expressément refusé ou retiré, un kinésiologue peut considérer, aux fins de la fourniture des soins
de santé au patient/client, qu’il a le consentement implicite pour recueillir, utiliser ou divulguer les
renseignements personnels sur la santé de ce patient/client. Par exemple, un kinésiologue peut
divulguer les renseignements personnels sur la santé d’un patient/client à un autre professionnel de
la santé réglementé, comme un médecin, aux fins de la fourniture de soins de santé à ce
patient/client.
Cependant, tel qu’il est expliqué ci-dessous, les kinésiologues doivent obtenir le consentement
explicite du patient/client s’ils font la divulgation à une personne autre qu’un « dépositaire de
renseignements sur la santé » ou s’ils ne font pas la divulgation aux fins de la fourniture de soins de
santé. Voir le paragraphe 18(3) de la LPRPS.
Par ailleurs, les kinésiologues doivent se rappeler qu’un patient/client peut être capable de
consentir à la collecte, à l’utilisation ou à la divulgation de certains renseignements personnels sur
la santé, mais incapable de le faire à l’égard de certains autres renseignements. La loi (article 21)
considère qu’une personne est capable 1) si elle est en mesure de comprendre les renseignements
pertinents qui lui permettront de décider d’y consentir ou non et 2) si elle est en mesure de
comprendre les conséquences raisonnablement prévisibles de sa décision de donner, de ne pas
donner, de refuser ou de retirer son consentement. L’incapacité de consentir à l’égard de certains
renseignements ne doit pas porter le kinésiologue à présumer de l’incapacité en vertu de la LPRPS.
La collecte et l’utilisation
En général, les renseignements personnels sur la santé ne devraient être recueillis, utilisés et
divulgués qu’aux fins de la fourniture de soins de santé appropriés à un patient/client. Les
renseignements personnels sur la santé devraient être obtenus directement du patient/client à
moins que le patient/client consente à ce qu’ils soient obtenus de quelqu’un d’autre ou qu’une des
exceptions prévues à l’article 36 de la LPRPS s’applique. La LPRPS précise dans quelle situation il
est permis d’utiliser les renseignements personnels sur la santé sans le consentement du
patient/client, p. ex. aux fins d’une recherche au sens de la LPRPS, pour améliorer ou maintenir la
qualité des soins fournis ou la qualité des programmes ou services connexes et pour le
recouvrement d’un paiement. Nous encourageons les kinésiologues à consulter les articles 36 et 37
de la LPRPS pour avoir tous les détails.
Il peut y avoir des situations où le kinésiologue peut recueillir des renseignements personnels sur la
santé, mais ne peut pas les utiliser à une fin pour laquelle il n’a pas le consentement spécifique. Par
exemple, un kinésiologue peut recueillir les coordonnées d’un patient/client à des fins
administratives, p. ex. pour communiquer avec lui afin de lui rappeler ses rendez-vous. Cependant,
le kinésiologue n’a peut-être pas le consentement à l’utilisation des coordonnées du patient/client
dans le but de lui envoyer un bulletin d’information. Il convient de noter que l’article 33 de la LPRPS
exige le consentement explicite à la collecte, à l’utilisation et à la divulgation de renseignements
personnels sur la santé aux fins de marketing.
La divulgation
Lignes directrices de pratique – Faute professionnelle – Confidentialité et protection des renseignements personnels sur la santé –
Avril 2013
Page 5 de 9
C’est souvent au niveau de la divulgation que les atteintes à la confidentialité se produisent.
Beaucoup de patients/clients consentent à la collecte et à l’utilisation de leurs renseignements
personnels sur la santé, mais non à la divulgation de ces renseignements. Il faut toujours obtenir le
consentement à la divulgation sauf dans des cas très particuliers expliqués ci-dessous.
La LPRPS a établi deux situations dans lesquelles il faut obtenir le consentement explicite : 1) la
divulgation par un dépositaire de renseignements sur la santé à une personne qui n’est pas
dépositaire et 2) la divulgation par un dépositaire de renseignements sur la santé à un autre
dépositaire lorsque la divulgation n’est pas à des fins de fourniture de soins de santé. Dans les
situations limitées de divulgation sans consentement permises par la loi ou dans le contexte
professionnel, un dépositaire de renseignements sur la santé ne devrait jamais discuter des
renseignements personnels sur la santé d’un patient/client hors du contexte de la fourniture de
soins de santé.
Ce type de divulgation est courant et souvent involontaire, mais peut nuire grandement au bien-être
du patient/client. Il est interdit de divulguer l’état d’un patient/client à un membre de sa famille sans
le consentement explicite du patient/client sauf lorsque le patient/client a été déclaré incapable et
que l’on sait que le proche en question est son mandataire spécial. Par exemple, même si un
patient/client vient à tous ses rendez-vous avec le même proche, cela ne veut pas dire que ce
proche a droit d’accès aux renseignements personnels sur la santé confidentiels du patient/client.
Ce n’est pas une situation où le consentement implicite s’applique.
Une autre situation courante de divulgation est lorsqu’on discute du cas d’un patient/client avec des
collègues ou d’autres professionnels de la santé réglementés à des fins autres que le traitement.
Les professionnels de la santé peuvent discuter des aspects généraux du cas d’un patient/client
avec d’autres professionnels de la santé dans un esprit de collaboration, mais doivent faire très
attention de protéger l’identité du patient/client. Les kinésiologues ne devraient jamais mentionner
les noms ou d’autres caractéristiques qui pourraient permettre d’identifier la personne
(caractéristiques identificatoires). Ce qu’on considère comme étant des caractéristiques
identificatoires dépend de la situation. Dans une petite communauté ou un petit cabinet, il pourrait
être plus facile de deviner de qui on parle. Les membres doivent également éviter de discuter d’un
cas dans un lieu public où d’autres personnes risqueraient d’entendre.
La LPRPS traite uniquement des renseignements personnels portant sur la santé. Dans le cadre de
leur travail, les professionnels de la santé obtiennent toutefois d’autres renseignements personnels
qui ne portent pas sur la santé du patient/client. Il s’agit souvent de renseignements personnels liés
à la nature de la relation entre le praticien et le patient/client. Le patient/client fait confiance que
l’information qu’il donne à un praticien sera gardée confidentielle. Les kinésiologues doivent donc
éviter de discuter des renseignements personnels de leurs patients/clients avec qui que ce soit ou
de divulguer ces renseignements, sauf si c’est nécessaire. Les exceptions prévues à la LPRPS sur la
divulgation de renseignements personnels sur la santé peuvent servir de lignes directrices sur les
situations où il pourrait être acceptable de divulguer des renseignements personnels d’une autre
nature.
Les médias sociaux
L’avènement des médias sociaux soulève de nouvelles préoccupations relatives à la protection de la
vie privée. Nous rappelons aux kinésiologues que même leur page privée, dans Facebook par
exemple, n’est jamais sécure à 100 % contre l’accès par une personne de l’extérieur. Les
kinésiologues doivent donc faire preuve de prudence dans l’information qu’ils choisissent d’afficher
dans Internet. Discuter du cas d’un patient/client dans des sites comme Twitter pourrait être
6
7
8
9
1
/
9
100%
