Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Sciences
  2. Médecine

Système national de déclaration des accidents et incidents

publicité 
Évaluation des incidences sur la vie privée du
Système national de déclaration des accidents
et incidents, novembre 2015
Notre vision
De meilleures données pour de
meilleures décisions : des Canadiens
en meilleure santé
Notre mandat
Exercer le leadership visant l’élaboration
et le maintien d’une information sur la
santé exhaustive et intégrée pour des
politiques avisées et une gestion efficace
du système de santé qui permettent
d’améliorer la santé et les soins de santé
Nos valeurs
Respect, intégrité, collaboration,
excellence, innovation
Table des matières
Le Système national de déclaration des accidents et incidents en bref .......................................7
Définitions ...................................................................................................................................8
1
Introduction ...........................................................................................................................9
1.1
2
Système national de déclaration des accidents et incidents de l’ICIS ..................................10
2.1
Contexte .....................................................................................................................10
2.2
Description du SNDAI et des utilisateurs ....................................................................11
2.3
2.4
3
Projet pilote : SNDAI-radiothérapie ...............................................................................9
2.2.1
Description du SNDAI .....................................................................................11
2.2.2
Utilisateurs du SNDAI .....................................................................................13
Description des données accessibles dans le SNDAI .................................................13
2.3.1
Fichier minimal du SNDAI ..............................................................................14
2.3.2
Base de données sur les produits pharmaceutiques ......................................14
Cheminement des données et accès aux données du SNDAI ....................................14
2.4.1
Cheminement des données ...........................................................................14
2.4.2
Accès au SNDAI ............................................................................................16
2.4.3
Données du SNDAI accessibles aux tiers demandeurs de données .............18
Analyse du respect de la vie privée .....................................................................................19
3.1
Textes législatifs régissant l’ICIS et le SNDAI .............................................................19
3.2
Premier principe : Responsabilité à l’égard des données dépersonnalisées
du SNDAI ...................................................................................................................20
3.2.1
Organisation et gouvernance .........................................................................21
3.3
Deuxième principe : Établissement des objectifs des données dépersonnalisées
du SNDAI ...................................................................................................................21
3.4
Troisième principe : Consentement pour la collecte, l’utilisation ou la divulgation
des données dépersonnalisées du SNDAI..................................................................22
3.5
Quatrième principe : Restriction de la collecte de données dépersonnalisées
du SNDAI ...................................................................................................................22
3.6
Cinquième principe : Restriction de l’utilisation, de la divulgation et de la
conservation des données dépersonnalisées du SNDAI .............................................25
3.6.1
Restriction de l’utilisation ...............................................................................25
3.6.2
Restriction de la divulgation ...........................................................................26
3.6.3
Restriction de la conservation ........................................................................26
3.7
Sixième principe : Exactitude des données dépersonnalisées ....................................26
3.8
Septième principe : Mesures de protection des données dépersonnalisées ...............27
3.9
Huitième principe : Transparence de la gestion des renseignements personnels
sur la santé .................................................................................................................28
Évaluation des incidences sur la vie privée du Système national
de déclaration des accidents et incidents, novembre 2015
3.10 Neuvième principe : Accès individuel aux renseignements personnels sur la
santé et modification de ceux-ci..................................................................................29
3.11 Dixième principe : Plaintes concernant le traitement par l’ICIS des renseignements
personnels sur la santé...............................................................................................29
4
Résumé de l’évaluation des incidences sur la vie privée et conclusion ...............................29
Annexe — Fichier minimal du Système national de déclaration des accidents et incidents .......30
6
Évaluation des incidences sur la vie privée du Système national
de déclaration des accidents et incidents, novembre 2015
Le Système national de déclaration des
accidents et incidents en bref
• Le Système national de déclaration des accidents et incidents (SNDAI) est un système de
déclaration volontaire visant à faciliter les échanges de données sur les accidents et incidents
médicamenteux en vue d’en tirer des leçons. Il donne aux dirigeants de première ligne les
outils, l’accès et les connaissances nécessaires pour mettre en œuvre des solutions à
l’échelle locale.
• Plus de 300 établissements de soins de courte durée et de soins de longue durée
contribuent actuellement au SNDAI. Au total, ces établissements ont déclaré plus
de 24 000 accidents et incidents médicamenteux.
• Les partenaires du SNDAI comprennent l’Institut pour la sécurité des médicaments aux
patients au Canada, Santé Canada et l’Institut canadien pour la sécurité des patients.
• Le SNDAI recueille un ensemble normalisé de données sur les accidents et incidents
médicamenteux au moyen d’une application en ligne. Les établissements peuvent saisir
manuellement les enregistrements d’accidents et incidents, un enregistrement à la fois,
ou télécharger en lots les données à soumettre.
• La méthode de téléchargement en lots permet aux établissements d’extraire les données
de leur système de gestion des risques et de les verser dans le SNDAI sans avoir à saisir
de nouveau les enregistrements.
• Le SNDAI ne recueille aucun identificateur de patient, de dispensateur ou d’établissement.
• Le SNDAI fournit aux utilisateurs un outil d’analyse visant à créer des rapports sommaires
ou de comparaison, de même qu’un outil de communication permettant d’entretenir des
discussions privées et anonymisées avec d’autres établissements participants.
7
Évaluation des incidences sur la vie privée du Système national
de déclaration des accidents et incidents, novembre 2015
Définitions
Les définitions suivantes s’appliquent aux termes utilisés dans la présente évaluation des
incidences sur la vie privée.
Accident ou incident médicamenteux : désigne tout événement ou circonstance évitable
susceptible de causer ou d’entraîner l’utilisation d’un médicament inapproprié ou de porter
préjudice au patient au cours de l’administration d’un médicament ou d’une solution
intraveineuse par un professionnel de la santé, un patient ou un consommateur.
Client : désigne l’organisme indiqué dans l’entente de service relative au SNDAI (c.-à-d. l’entente
de service et l’entente de partage de données), qui s’engage à se conformer aux modalités
de l’entente.
Données agrégées : il s’agit de données au niveau de l’enregistrement qui sont compilées
à partir d’enregistrements liés à des accidents et incidents médicamenteux, à un niveau
d’agrégation qui garantit que l’identité des personnes ne pourra pas être établie selon des
méthodes raisonnablement prévisibles.
Données du SNDAI : il s’agit de toutes les données au niveau de l’enregistrement sur les
accidents et incidents, qui sont dépersonnalisées et versées dans le SNDAI, de même que
de toutes les données agrégées produites par ce dernier.
Enregistrement d’accident ou incident médicamenteux : désigne les données au niveau de
l’enregistrement liées à des accidents et incidents médicamenteux, qui sont soumises à l’ICIS
aux fins du SNDAI.
Fournisseur de données : désigne un ministère ou un organisme fédéral, provincial ou
territorial, une régie régionale de la santé, un établissement de santé, un établissement public
ou privé, ou un organisme participant au SNDAI qui soumet à l’ICIS des enregistrements
d’accidents et incidents médicamenteux.
Organisme partenaire : désigne un organisme qui a conclu avec l’ICIS une entente de partage de
données lui permettant d’accéder au SNDAI aux fins précisées dans l’entente.
Propres données : il s’agit des enregistrements d’accidents et incidents médicamenteux
initialement soumis à l’ICIS par un fournisseur de données aux fins du SNDAI.
Utilisateur désigné : désigne un employé ou un entrepreneur autorisé (p. ex. un organisme
partenaire autorisé par le client à accéder au SNDAI et à l’utiliser).
8
Évaluation des incidences sur la vie privée du Système national
de déclaration des accidents et incidents, novembre 2015
1
Introduction
L’Institut canadien d’information sur la santé (ICIS) recueille de l’information sur la santé et les
soins de santé au Canada et l’analyse. Son mandat consiste à exercer le leadership visant
l’élaboration et le maintien d’une information sur la santé exhaustive et intégrée, pour des
politiques avisées et une gestion efficace du système de santé qui permettent d’améliorer la
santé et les soins de santé. L’ICIS obtient les données directement auprès des hôpitaux et
d’autres établissements de santé, des établissements de soins de longue durée, des régies
régionales de la santé, des praticiens et des gouvernements. Ces données comprennent des
renseignements sur les services de santé dispensés aux patients, sur les professionnels de la
santé qui dispensent ces services et sur le coût des services de santé.
La présente évaluation des incidences sur la vie privée constitue une mise à jour de l’évaluation
publiée en août 2009. Elle a pour objet d’examiner les risques de violation de la vie privée,
de la confidentialité et de la sécurité associés au SNDAI de l’ICIS, conformément à la politique
de mise à jour tous les 5 ans des évaluations des incidences sur la vie privée de l’ICIS. Elle
comprend l’examen des 10 principes du Code type sur la protection des renseignements
personnels de l’Association canadienne de normalisation qui s’appliquent au SNDAI. Elle
examine également les risques liés à la mise en œuvre du téléversement en lots. Cette nouvelle
fonction entraînera fort probablement une hausse du nombre de fournisseurs de données
participants ainsi que du nombre d’accidents et incidents médicamenteux déclarés au SNDAI.
Ces risques continueront d’être évalués afin de déterminer s’il convient de modifier le processus
actuel d’examen des accidents et incidents.
1.1 Projet pilote : SNDAI-radiothérapie
L’ICIS, en collaboration avec le Partenariat canadien pour la qualité en radiothérapie (PCQR),
travaille à l’élaboration d’un système national de déclaration des accidents et incidents en
radiothérapie (SNDAI-RT) au Canada. Le PCQR a été fondé en 2010 sous la forme d’une
alliance entre des organismes professionnels nationaux œuvrant dans la prestation de soins
de radiothérapie au Canada. Cette alliance regroupe l’Association canadienne de radio-oncologie,
l’Organisation canadienne des physiciens médicaux et l’Association canadienne des technologues
en radiation médicale, avec l’appui stratégique et financier du Partenariat canadien contre le
cancer. Ses activités sont axées sur l’amélioration de la qualité, la performance des systèmes
et la gestion des connaissances.
Dans le cadre de ce projet pilote, le système et les processus de collecte, d’analyse et de
partage de données sur les accidents et incidents du SNDAI sont utilisés pour recueillir des
données sur les accidents et incidents en radiothérapie auprès de centres de radiothérapie
au Canada. Le projet se déroulera de septembre 2015 à mars 2016 et sera suivi d’une période
d’évaluation. La mise en œuvre finale du système devrait être terminée d’ici mars 2017.
Une évaluation des incidences sur la vie privée du projet pilote SNDAI-RT sera effectuée et publiée
sous forme d’addenda.
9
Évaluation des incidences sur la vie privée du Système national
de déclaration des accidents et incidents, novembre 2015
2
Système national de déclaration des
accidents et incidents de l’ICIS
2.1 Contexte
Le Système national de déclaration des accidents et incidents (SNDAI) de l’ICIS fait partie du
Système canadien de déclaration et de prévention des incidents médicamenteux (SCDPIM),
une initiative multiorganisationnelle qui offre de l’information, des outils et un savoir-faire dans le
domaine de la prévention des accidents et incidents médicamenteux préjudiciables.
Les organismes partenaires du SCDPIM appuient un système sécuritaire pour l’utilisation des
médicaments en s’acquittant des tâches suivantes :
• fournir aux établissements de santé, aux praticiens et aux consommateurs des voies bien
définies pour déclarer les accidents et incidents médicamenteux;
• analyser les rapports d’accidents et incidents médicamenteux et formuler des
recommandations pour atténuer les risques;
• préparer et diffuser à grande échelle l’information sur les mesures de prévention et les
pratiques exemplaires en matière d’utilisation sécuritaire des médicaments, y compris la
prescription, la communication des ordonnances, de même que l’étiquetage des produits,
leur emballage, nomenclature, mélange, distribution, administration et surveillance;
• travailler avec le secteur pharmaceutique pour s’attaquer à des questions liées à la
nomenclature, à l’emballage et à l’étiquetage des produits commercialisés au Canada.
Les 4 organismes suivants collaborent au SCDPIM :
L’Institut canadien d’information sur la santé (ICIS), qui contribue au Système canadien de
déclaration et de prévention des incidents médicamenteux (SCDPIM) par le biais du Système
national de déclaration des accidents et incidents (SNDAI). Ce dernier recueille des données
sur les accidents et incidents médicamenteux auprès des établissements de santé au Canada.
Le SNDAI comprend des outils d’analyse et de communication dans le but de faciliter l’analyse
des accidents et incidents médicamenteux et la diffusion des stratégies de prévention en la
matière. L’ICIS produit des rapports analytiques à partir des données du SNDAI en vue
d’améliorer le système d’utilisation des médicaments.
Santé Canada, qui est le bailleur de fonds du SCDPIM. De plus, à titre d'organisme de
réglementation fédéral des produits de santé, Santé Canada apporte connaissances et
expertise en matière d'innocuité des médicaments au SCDPIM.
L’Institut pour la sécurité des médicaments aux patients du Canada (ISMP Canada),
qui fournit un outil de déclaration des accidents et incidents médicamenteux
(medicamentssecuritaires.ca) aux professionnels de la santé, de même qu’un site de
déclaration et d’apprentissage à l’intention des consommateurs. ISMP Canada s’occupe de
l’analyse et du suivi des rapports d’accidents et incidents, appuie l’élaboration et la mise en
œuvre de mesures de prévention, et conçoit et diffuse des bulletins d’information et des alertes.
10
Évaluation des incidences sur la vie privée du Système national
de déclaration des accidents et incidents, novembre 2015
L’Institut canadien pour la sécurité des patients (ICSP), qui apporte son soutien sur le plan
du marketing et des communications au SCDPIM, et s’assure que les activités de ce dernier
sont bien coordonnées avec les autres projets sur la sécurité des patients au Canada. L’ISCP
gère les Alertes mondiales sur la sécurité des patients, un moyen de diffusion et de partage
d’information pour les solutions aux problèmes de sécurité des patients, notamment les
connaissances sur la sécurité médicamenteuse acquises par les organismes membres
du SCDPIM.
Le SNDAI a pour objectif
• de trouver des solutions pour la prévention des accidents et incidents médicamenteux à
l’échelle locale et du système;
• de faciliter les échanges de données sur les accidents et incidents médicamenteux en vue
d’en tirer des leçons;
• de doter les dirigeants en première ligne des outils, de l’accès et des connaissances
nécessaires pour appliquer des solutions aux problèmes de sécurité des patients à
l’échelle locale;
• de nouer des partenariats visant à créer et à diffuser des stratégies, des recommandations et
des solutions aux problèmes de sécurité des patients.
2.2 Description du SNDAI et des utilisateurs
2.2.1 Description du SNDAI
Les accidents et incidents médicamenteux sont par définition des événements évitables (p. ex.
du Lasix a été prescrit au patient au lieu du Losec). Le SNDAI permet de déterminer comment
les accidents et incidents sont survenus dans les établissements de santé au Canada et
comment des accidents et incidents semblables peuvent être évités. Le SNDAI est un système
de déclaration volontaire qui permet de recueillir, de partager et d’analyser les données
normalisées sur les accidents et incidents liés aux médicaments et aux solutions intraveineuses
de façon sécuritaire et anonyme. La déclaration de données dépersonnalisée favorise la
participation et protège les renseignements susceptibles d’identifier les patients, les
dispensateurs et les établissements qui contribuent au SNDAI. Les données et les analyses
connexes relatives à ce système éclairent les activités d’amélioration de la qualité à l’échelle
locale, régionale, provinciale, territoriale et nationale, favorisant ainsi l’amélioration de la
prestation des soins de santé.
11
Évaluation des incidences sur la vie privée du Système national
de déclaration des accidents et incidents, novembre 2015
Le SNDAI comprend un fichier minimal, la Base de données sur les produits pharmaceutiques
(consulter la section 2.3.2) et les outils suivants :
2.2.1.1 Outil de déclaration
Les fournisseurs de données soumettent les données par voie électronique à l’aide de
l’outil de déclaration. Il s’agit d’une application Web sécurisée qui permet de soumettre les
enregistrements d’accidents et incidents médicamenteux individuellement ou en lots. Les
enregistrements individuels peuvent être saisis au moyen de la méthode de déclaration
d’accident ou incident unique. Les établissements qui disposent de systèmes de gestion
des risques peuvent toutefois soumettre de multiples enregistrements sous forme de lots
après les avoir extraits et regroupés.
Les fournisseurs de données utilisent l’outil de déclaration pour soumettre les 10 éléments de
données obligatoires et jusqu’à 21 éléments de données facultatifs (fichier minimal) (consulter
l’annexe). L’outil comprend le champ de texte Description de l’accident/incident médicamenteux,
dans lequel une description détaillée et factuelle de ce qui s’est produit pendant l’accident ou
l’incident peut être saisie. La Base de données sur les produits pharmaceutiques est intégrée
à l’outil de déclaration. Elle contient le nom de plus de 6 000 produits médicamenteux. Les
fournisseurs de données peuvent ainsi utiliser la base de données pour sélectionner le
médicament associé à l’accident ou incident (consulter la section 2.3.2).
2.2.1.2 Outil de communication
L’outil de communication ressemble à une application de courrier électronique. Il permet de
mener des discussions anonymes et privées entre les fournisseurs de données. Les messages
envoyés par les fournisseurs sont entièrement anonymes; le système remplace l’adresse courriel
des expéditeurs et des destinataires par des pseudonymes afin de préserver l’anonymat des
établissements. Dans le SNDAI, chaque enregistrement d’accident ou incident médicamenteux
dépersonnalisé comprend un hyperlien vers l’outil de communication, qui permet aux
utilisateurs d’envoyer un courriel anonyme à l’établissement déclarant.
L’ICIS et les organismes partenaires peuvent également utiliser l’outil de communication pour
envoyer des courriels, mais ceux-ci ne sont pas anonymes. Aucun pseudonyme n’est attribué
et le nom de l’organisme est indiqué dans les messages à destination ou en provenance des
utilisateurs du SNDAI.
12
Évaluation des incidences sur la vie privée du Système national
de déclaration des accidents et incidents, novembre 2015
2.2.1.3 Outil d’analyse
Les utilisateurs peuvent accéder aux enregistrements d’accidents et incidents dépersonnalisés
du SNDAI au moyen d’un outil d’exploitation de données et ainsi élaborer des rapports de base
qu’ils pourront ensuite personnaliser dans une certaine mesure. Les rapports générés par les
utilisateurs sont anonymes. Les établissements sources ne sont pas identifiés, sauf lorsque le
fournisseur de données accède à ses propres données, ou si un utilisateur a autorisé un autre
à consulter des données susceptibles de l’identifier. Les rapports permettent d’effectuer une
analyse plus détaillée, allant des totaux agrégés aux enregistrements d’accidents ou d’incidents
individuels. Les résultats de cette analyse peuvent ensuite être exportés en format PDF ou
Excel. Les rapports de comparaison permettent de voir les résultats à l’échelle d’une province,
d’une région, d’un organisme, d’un site ou d’un groupe d’établissements semblables.
2.2.2 Utilisateurs du SNDAI
Il existe 2 types d’utilisateurs du SNDAI : les fournisseurs de données et les organismes
partenaires. Ils sont collectivement appelés « clients » (consulter la section Définitions). Les
fournisseurs de données, comprenant les organismes participants, soumettent des données
au SNDAI et les analysent conformément aux dispositions des ententes de service qu’ils ont
signées. Les organismes partenaires (p. ex. ISMP Canada et Santé Canada) ont conclu des
ententes de partage de données avec l’ICIS, qui les autorisent à accéder aux données du SNDAI
à des fins d’analyse particulières.
Les clients du SNDAI comprenaient en juin 2015 :
2.3 Description des données accessibles dans le SNDAI
L’anonymat des patients, des résidents, des dispensateurs de soins et des établissements
de santé est l’un des principes directeurs du SNDAI. C’est pourquoi les enregistrements
d’accidents et incidents médicamenteux dépersonnalisés du SNDAI ne permettent pas
d’identifier des patients ou des dispensateurs par une méthode raisonnablement
prévisible (consulter la section 3.5., Quatrième principe : Restriction de la collecte
de données dépersonnalisées).
13
Évaluation des incidences sur la vie privée du Système national
de déclaration des accidents et incidents, novembre 2015
2.3.1 Fichier minimal du SNDAI
Le fichier minimal du SNDAI comprend les domaines de données suivants (consulter l’annexe
pour le fichier minimal complet) :
• Répercussions de l’accident/incident — catégorisation des résultats (réels ou possibles)
et des conséquences de l’accident ou incident.
• Découverte de l’accident/incident — heure et lieu de l’accident ou incident, et rôle des
dispensateurs de soins associés à l’accident ou incident
• Caractéristiques des patients/résidents — mois et année de naissance et sexe du patient
ou du résident associé à l’accident ou incident
• Détails sur l’accident/incident médicamenteux — renseignements détaillés précis sur
l’accident ou incident médicamenteux
• Renseignements sur le médicament — information sur le ou les produits pharmaceutiques
associés à l’accident ou incident déclaré (p. ex. le nom, la concentration, la forme, la
voie d’administration)
• Examens et résultats — information sur les mesures prévues ou mises en œuvre pour
éviter qu’un accident ou incident semblable se reproduise
2.3.2 Base de données sur les produits pharmaceutiques
La Base de données sur les produits pharmaceutiques intégrée à l’outil de déclaration est une
liste normalisée de médicaments fondée sur la base de données éponyme de Santé Canada.
Elle contient plus de 6 000 produits médicamenteux listés par marque et par nom générique.
Les utilisateurs accèdent à cette liste afin d’assurer la qualité des données (exactitude et
fiabilité) lorsqu’ils sélectionnent le ou les noms des médicaments ou des solutions
intraveineuses associés à un accident ou incident en particulier.
2.4 Cheminement des données et accès aux données du SNDAI
Dans le SNDAI, chaque enregistrement correspond à un accident ou incident médicamenteux
unique. En novembre 2015, le SNDAI comprenait plus de 24 000 enregistrements soumis par
plus de 300 établissements de soins de courte durée et de soins de longue durée.
2.4.1 Cheminement des données
Lorsqu’un accident ou incident médicamenteux survient, il est signalé et examiné à l’interne
par l’établissement de santé. Une fois l’examen terminé, le fournisseur de données envoie un
enregistrement de l’accident ou incident médicamenteux à l’ICIS. Les données sont acheminées
par le fournisseur de données au SNDAI par l’outil de déclaration, un enregistrement à la fois ou
en lots. Dans le cas des enregistrements soumis individuellement, les données sont entrées
directement dans le SNDAI. Pour ce qui est des enregistrements soumis en lots, les données
saisies dans le système de déclaration des accidents et incidents médicamenteux du fournisseur
de données sont extraites, puis transmises de façon sécuritaire au SNDAI au moyen de la
méthode de téléversement en lots. Une fois intégrés au SNDAI, tous les enregistrements sont
soumis à une évaluation de la qualité des données comportant 2 étapes (qu’ils aient été envoyés
individuellement ou en lots).
14
Évaluation des incidences sur la vie privée du Système national
de déclaration des accidents et incidents, novembre 2015
Étape 1 : Traitement automatisé de la qualité des données
La première étape consiste à évaluer la validité et le format des données codifiées.
Enregistrements soumis individuellement
Dans le cas des enregistrements soumis individuellement, le système procède
automatiquement à des vérifications au fur et à mesure que les renseignements
sur l’accident ou incident sont entrés. Si l’enregistrement passe toutes les étapes de
vérification avec succès, les données sont soumises à l’étape 2 (voir ci-dessous). En
revanche, si des problèmes de qualité sont décelés à l’étape 1, ils sont signalés en
temps réel au fournisseur de données pour qu’ils soient corrigés.
Enregistrements soumis en lots
Des vérifications sont également exécutées automatiquement pour les enregistrements
soumis en lots. Si l’enregistrement passe toutes les étapes de vérification, les données
sont soumises à l’étape 2 (voir ci-dessous). À la différence des enregistrements soumis
individuellement, tout problème de qualité de données décelé à l’étape 1 est signalé au
fournisseur de données au moyen d’un rapport de soumission. Les enregistrements
corrigés par le fournisseur de données sont alors soumis de nouveau au SNDAI par
téléversement en lots.
Étape 2 : Traitement manuel de la qualité des données
La deuxième étape consiste en un examen manuel de la qualité des données visant les champs
de texte. L’équipe de soutien du SNDAI examine les champs de texte des enregistrements
afin de s’assurer qu’ils ne contiennent pas d’identificateurs personnels et géographiques
(p. ex. noms, initiales, abréviations) associés aux patients ou résidents, aux dispensateurs
de soins de santé et aux établissements de santé que le fournisseur de données aurait soumis
par inadvertance.
Comme dans le traitement automatique de la qualité des données, les enregistrements
contenant des erreurs sont retournés au fournisseur de données à des fins de correction.
La suppression de l’enregistrement en cause est maintenue jusqu’à ce que le fournisseur de
données ait apporté les corrections requises (c.-à-d. qu’il supprime l’identificateur). Une fois les
corrections confirmées par le personnel du SNDAI, l’enregistrement de l’accident ou incident
médicamenteux est considéré comme dépersonnalisé. Il est alors versé dans le dépôt de
données du SNDAI, et devient accessible aux utilisateurs autorisés aux fins d’analyse et
de production de rapports.
L’équipe de soutien du SNDAI surveille de façon continue la qualité des données que les
fournisseurs soumettent individuellement ou en lots. Elle peut en outre décider, en collaboration
avec les fournisseurs de données, de procéder à un examen plus limité des champs de texte,
au cas par cas. Cette décision dépend du niveau d’expérience du fournisseur de données et du
respect des exigences de soumission, des processus de qualité des données en place à
l’établissement déclarant et de la qualité des données reçues. Le niveau de précision du
15
Évaluation des incidences sur la vie privée du Système national
de déclaration des accidents et incidents, novembre 2015
processus d’examen de la qualité des données de l’ICIS est déterminé de concert avec le
fournisseur de données. Par ailleurs, il faut établir un juste équilibre entre le risque (pour les
2 parties) qu’un identificateur figure dans un enregistrement du SNDAI et les ressources
requises (des 2 parties) pour atténuer le risque en question.
Figure 1
Aperçu du cheminement des données
2.4.2 Accès au SNDAI
Le SNDAI vise à favoriser l’apprentissage et l’échange dans un environnement où l’anonymat
des fournisseurs de données revêt une importance capitale. Outre l’utilisation de pseudonymes
(consulter la section 2.2.1.2, Outil de communication), la gestion de l’accès permet de s’assurer
que seules les personnes autorisées peuvent accéder aux données du SNDAI et les utiliser.
16
Évaluation des incidences sur la vie privée du Système national
de déclaration des accidents et incidents, novembre 2015
Gestion de l’accès
Le processus d’autorisation de l’accès au SNDAI résulte de l’effort coordonné des organismes
participants et des Services centraux à la clientèle (SCC) de l’ICIS, qui gèrent l’autorisation et la
révocation des accès conformément aux processus établis du système de gestion de l’accès
(SGA). Les éléments clés du processus de gestion de l’accès prévoient ce qui suit :
• Clients
– conclusion d’une entente de service avec l’ICIS;
– désignation d’une personne-ressource de l’organisme;
– soumission du nom des utilisateurs désignés par la personne-ressource de l’organisme.
• Authentification par les SCC des demandes d’accès des utilisateurs désignés
– en vérifiant que les utilisateurs désignés sont affiliés à l’organisme en question;
– en communiquant avec la personne-ressource de l’organisme pour faire les vérifications
requises sur l’utilisateur désigné et obtenir de celle-ci l’autorisation d’accorder l’accès;
– en accordant les privilèges d’accès appropriés après authentification.
• Vérification par les sections de l’ICIS des courriels générés par AMS Listener (voir
ci-dessous) une fois que les SCC ont accordé l’accès.
AMS Listener
AMS Listener (ou Listener) est une fonction de notification facultative visant à réduire
davantage les risques d’accès non autorisés aux services à accès restreint de l’ICIS.
Listener envoie automatiquement 2 courriels chaque fois que les SCC accordent l’accès
à un utilisateur, soit un à la section SNDAI et un à la boîte de réception centrale des SCC.
Les courriels ont pour but d’amorcer une vérification de l’accès accordé. Si le personnel de
la section soupçonne ou confirme que le type d’accès accordé est inapproprié, il en avise
immédiatement les SCC afin que l’accès soit désactivé. Il envoie ensuite un courriel à
[email protected] conformément au Protocole de gestion des incidents liés au respect de
la vie privée et à la sécurité de l’information de l’ICIS.
Accès aux données du SNDAI
Une seconde série d’exigences en matière de gestion de l’accès a été instaurée pour le SNDAI.
Ces exigences sont fondées sur les étapes requises pour créer et remplir les enregistrements
du SNDAI. Le tableau 1 résume le type de données auxquelles les utilisateurs peuvent accéder
à partir du moment où des enregistrements d’accident ou incident sont créés jusqu’au moment
où ils sont intégrés au dépôt de données du SNDAI.
17
Évaluation des incidences sur la vie privée du Système national
de déclaration des accidents et incidents, novembre 2015
Tableau 1
Accès des utilisateurs au cours du traitement des enregistrements du SNDAI, selon
l’affiliation de l’utilisateur
Accès selon l’affiliation de l’utilisateur
Étape du traitement des enregistrements
Étape 1 : Présoumission (ébauche)
Fournisseur de Fournisseur de
données
données
(établissement (établissement
source)
non source)
ICIS
(équipe du
SNDAI)
Organisme
partenaire

Enregistrements individuels : les
enregistrements sont saisis dans le
SNDAI, mais ne sont pas soumis.
Téléversement en lots : les enregistrements
se retrouvent dans le système de déclaration
du fournisseur de données; aucun
enregistrement n’a été extrait au moyen
de cette méthode.
Étape 2 : Soumission (sujet à examen)


Les enregistrements sont soumis
individuellement ou en lots au moyen
de l’outil de déclaration du SNDAI.
Les enregistrements sont soumis au
processus de qualité des données
en 2 étapes :
1. examen automatique des
données codifiées
2. examen manuel des champs de texte
Étape 3 : Intégration (final)
Le processus de qualité des données en
2 étapes est terminé et les problèmes ont
été corrigés.
Les enregistrements sont dépersonnalisés
et intégrés au dépôt de données du SNDAI
à des fins d’analyse et de production
de rapports.



Les rapports
sont anonymes
et n’identifient
pas les
établissements
sources

Les rapports
sont anonymes
et n’identifient
pas les
établissements
sources
Les utilisateurs peuvent explorer les
données en passant des totaux agrégés
aux enregistrements dépersonnalisés.
2.4.3 Données du SNDAI accessibles aux tiers demandeurs
de données
Jusqu’à présent, le personnel du SNDAI n’a traité aucune demande de données formulée par de
tierces parties. Toute demande sera examinée au cas par cas conformément à la Politique de
respect de la vie privée 2010 de l’ICIS. Seul l’ICIS peut répondre aux demandes de données
provenant de tierces parties. Comme il est indiqué dans chaque entente relative au SNDAI,
les fournisseurs de données et les organismes partenaires doivent transmettre les demandes
de tierces parties directement à l’ICIS (sauf dans le cas de la divulgation de leurs
propres données).
18
Évaluation des incidences sur la vie privée du Système national
de déclaration des accidents et incidents, novembre 2015
3
Analyse du respect de la vie privée
L’ICIS se conforme à sa Politique de respect de la vie privée relative à la collecte, à l’utilisation,
à la divulgation et à la conservation des renseignements personnels sur la santé et des données
dépersonnalisées 2010 (Politique de respect de la vie privée 2010) ainsi qu’à toute loi ou
entente applicable relative à la protection de la vie privée.
3.1 Textes législatifs régissant l’ICIS et le SNDAI
Législation
L’ICIS est un collecteur secondaire de renseignements sur la santé. Il utilise plus particulièrement
ces renseignements à des fins de planification et de gestion du système de santé, y compris
d’analyse statistique et de production de rapports. Il incombe aux fournisseurs de données de
respecter les obligations légales de leur province ou de leur territoire, le cas échéant, au moment
de la collecte des données.
L’Alberta, la Saskatchewan, le Manitoba, l’Ontario, le Nouveau-Brunswick, Terre-Neuve-etLabrador et la Nouvelle-Écosse disposent de lois sur la protection des renseignements
personnels sur la santé. Le Yukon, les Territoires du Nord-Ouest et l’Île-du-Prince-Édouard
travaillent à la mise en œuvre de telles lois. Les lois sur la protection des renseignements
personnels sur la santé autorisent les établissements de santé à divulguer des renseignements
personnels sur la santé sans le consentement du patient pour les besoins du système de santé
et à condition que certaines exigences soient remplies. L’ICIS est par exemple reconnu comme
une entité prescrite en vertu de la Loi sur la protection des renseignements personnels sur la
santé de l’Ontario. Les dépositaires de renseignements sur la santé en Ontario peuvent
divulguer des renseignements personnels sur la santé à l’ICIS sans le consentement des
patients en vertu de l’article 29, comme le prévoit l’alinéa 45(1) de la Loi.
Les établissements situés dans des provinces et des territoires qui ne disposent pas de lois sur
la protection des renseignements personnels sur la santé sont assujettis aux lois régissant le
secteur public. Celles-ci donnent aux établissements le droit de divulguer des renseignements
personnels à des fins statistiques sans le consentement de la personne concernée.
Ententes
Comme il est indiqué à la section 2.4, les données sont acheminées directement du fournisseur
de données à l’ICIS. En général, le cheminement des données du SNDAI est régi par la
Politique de respect de la vie privée 2010 de l’ICIS, par la législation en vigueur dans les
provinces et les territoires concernés et par les ententes de partage déjà mises en place avec
les provinces et les territoires. Les ententes de partage des données établissent les critères
relatifs au but, à l’utilisation, à la divulgation, à la conservation et à la destruction des
renseignements personnels sur la santé soumis à l’ICIS, ainsi qu’à toute divulgation
subséquemment permise. Les ententes décrivent aussi l’autorité législative en vertu de
laquelle les renseignements personnels sur la santé sont divulgués à l’ICIS.
19
Évaluation des incidences sur la vie privée du Système national
de déclaration des accidents et incidents, novembre 2015
Les fournisseurs de données participants au SNDAI sont tenus de signer une entente de
service qui stipule leurs obligations en matière d’accès aux données du SNDAI, de sécurité
ainsi que d’utilisation et de divulgation des données. Seuls les fournisseurs de données qui ont
signé une entente de service avec l’ICIS peuvent consulter, soumettre et modifier leurs propres
enregistrements d’accident ou incident (données du fournisseur de données) dans le dépôt de
données du SNDAI (c.-à-d. ils ont accès en mode lecture et écriture à leurs données dans le
SNDAI). Cette entente est signée par un supérieur de l’organisme afin que les clients soient
bien conscients de leurs responsabilités en tant qu’organisme et des responsabilités de chacun
de leurs utilisateurs.
Les organismes partenaires concluent avec l’ICIS une entente de partage de données qui leur
permet d’accéder au SNDAI aux fins stipulées dans l’entente. Chaque entente est propre à
chaque organisme partenaire et définit les modalités en vertu desquelles les données agrégées
et dépersonnalisées au niveau de l’enregistrement peuvent être consultées, utilisées et
divulguées. Dans l’ensemble, les modalités énoncées dans l’entente de service comprennent,
entre autres :
• une interdiction d’utiliser les données du SNDAI soumises par des fournisseurs de données
pour tenter d’identifier des personnes, des établissements de santé, des régies régionales
de la santé, des ministères, des provinces ou des territoires;
• une interdiction de divulguer les données au niveau de l’enregistrement soumises par les
fournisseurs de données sans le consentement préalable écrit du fournisseur dont les
données seront divulguées (sauf aux fins de divulgation de données qu’il a soumises, s’il
y a lieu);
• une obligation d’aviser immédiatement l’ICIS de tout accès ou utilisation non autorisé, ou de
toute autre violation de la confidentialité ou de la sécurité dont ils ont pris connaissance;
• une obligation pour les personnes autorisées à accéder au SNDAI et à utiliser les données
de suivre une formation relative au SNDAI.
Le respect des modalités des ententes est obligatoire. En cas de non-respect, l’accès aux
données du SNDAI pourrait être retiré.
3.2 Premier principe : Responsabilité à l’égard des données
dépersonnalisées du SNDAI
Le président-directeur général de l’ICIS est responsable de l’observation de la Politique de
respect de la vie privée 2010 de l’ICIS. À cet égard, l’ICIS compte sur une chef de la protection
des renseignements personnels et avocate générale, une équipe du respect de la vie privée,
de la confidentialité et de la sécurité, un sous-comité du Conseil d’administration sur la
gouvernance et le respect de la vie privée et un conseiller principal externe à la protection
des renseignements personnels.
Il incombe aux clients du SNDAI de faire respecter l’entente appropriée (entente de service,
entente de partage de données) au sein de leurs propres organismes. Les clients sont
également soumis aux lois sur la protection des données en vigueur dans leur province ou
territoire et au contrôle indépendant des commissaires à la protection de la vie privée ou
leur équivalent.
20
Évaluation des incidences sur la vie privée du Système national
de déclaration des accidents et incidents, novembre 2015
3.2.1 Organisation et gouvernance
Le tableau ci-dessous présente les principaux postes et groupes à l’interne qui assument
les responsabilités de gestion des risques de violation de la vie privée et de la sécurité liés
au SNDAI.
Poste, groupe
Rôle et responsabilités
Vice-président, Programmes
Responsable du fonctionnement général et de l’orientation stratégique
du SNDAI
Directeur, Services d’information
sur les produits pharmaceutiques
et la main-d’œuvre de la santé
Responsable du SNDAI ainsi que des décisions stratégiques et
opérationnelles liées au SNDAI, et assure le développement efficace
du système
Gestionnaire, Pharmaceutique
Responsable de la gestion continue, du développement et de la mise en
œuvre du SNDAI, et préside le Comité consultatif du SNDAI
Comité consultatif du SNDAI
Responsable de la formulation de suggestions et de conseils pour faciliter la
gestion et l’amélioration continues du SNDAI
Vice-président et chef des services Responsable de l’orientation stratégique, du fonctionnement général et de la
de technologie
mise en œuvre des solutions technologiques et de sécurité de l’ICIS
Chef de la sécurité
de l’information
Responsable de l’orientation stratégique et de la mise en œuvre générale
du programme de sécurité de l’information de l’ICIS
Chef de la protection des
renseignements personnels
et avocate générale
Responsable de l’orientation stratégique et de la mise en œuvre générale
du programme de respect de la vie privée de l’ICIS
Gestionnaire, Produits STI,
Médicaments, Main-d’œuvre
de la santé et Dépenses
Responsable du respect des exigences techniques permettant le
développement et la maintenance continus du SNDAI
3.3 Deuxième principe : Établissement des objectifs des
données dépersonnalisées du SNDAI
Le SNDAI appuie la collecte, le partage et l’analyse sécuritaires et anonymes des accidents
et incidents liés aux médicaments et aux solutions intraveineuses qui surviennent dans des
établissements de santé au Canada. Le but est de réduire les risques d’accidents ou incidents
médicamenteux préjudiciables en déterminant comment les accidents ou incidents sont
survenus et comment des accidents ou incidents semblables pourraient être évités. Les
objectifs et l’étendue prévus du SNDAI sont clairement établis dans la présente évaluation des
incidences sur la vie privée, dans les rapports et les bulletins du SNDAI, ainsi que sur le site
Web de l’ICIS (www.icis.ca).
21
Évaluation des incidences sur la vie privée du Système national
de déclaration des accidents et incidents, novembre 2015
3.4 Troisième principe : Consentement pour la collecte,
l’utilisation ou la divulgation des données dépersonnalisées
du SNDAI
L’ICIS obtient les données du SNDAI à des fins de planification et de gestion du système de
santé, y compris d’analyse statistique et de production de rapports, conformément aux
exigences des autorités législatives pertinentes ou aux accords juridiques régissant le
cheminement des données. Les données dépersonnalisées au niveau de l’enregistrement
figurant dans le SNDAI sont recueillies dans leur format original par les établissements de santé
provinciaux et territoriaux. L’ICIS est un collecteur secondaire et n’a aucun contact direct avec
les patients touchés par les accidents ou incidents médicamenteux déclarés au SNDAI. L’ICIS
s’attend à ce que les fournisseurs de données respectent leurs rôles et responsabilités en
matière de collecte, d’utilisation et de divulgation de données, y compris en ce qui concerne le
consentement et les avis, comme le prévoient les lois, les règlements et les politiques en
vigueur dans les provinces et les territoires.
3.5 Quatrième principe : Restriction de la collecte de données
dépersonnalisées du SNDAI
L’ICIS s’engage à respecter le principe de la minimisation des données. Conformément
aux articles 1 et 2 de sa Politique de respect de la vie privée 2010, l’ICIS ne recueille des
fournisseurs de données que les renseignements personnels sur la santé raisonnablement
nécessaires pour les besoins du système de santé, notamment pour l’analyse statistique et
la production de rapports, afin d’éclairer la gestion, l’évaluation et la surveillance du système
de santé.
L’ICIS recueille seulement les données qui sont nécessaires à l’atteinte des objectifs du SNDAI.
Le fichier minimal (consulter la section 2.3.1) a été élaboré en collaboration avec un large réseau
d’experts comprenant notamment Santé Canada, l’Institut pour la sécurité des médicaments
aux patients du Canada et l’Institut canadien pour la sécurité des patients. Le mois et l’année
de naissance de même que le sexe des patients et résidents sont des éléments de données
facultatifs pour regrouper les accidents et incidents selon l’âge et le sexe des patients ou
résidents. En ce qui concerne les dispensateurs de soins, le rôle (p. ex. infirmière autorisée,
pharmacien, ambulancier) est également facultatif et peut être utilisé pour regrouper les
accidents ou incidents selon le rôle des personnes concernées.
Au chapitre du respect de la vie privée, le SNDAI vise à recueillir, à partager et à analyser les
accidents et incidents liés aux médicaments et aux solutions intraveineuses de façon sécuritaire
et anonyme, et à en discuter, sans identifier les patients, les résidents, les professionnels de la
santé, les établissements de santé, les régies régionales de la santé, les provinces ou les
territoires. La caractéristique la plus importante du SNDAI réside dans le fait qu’il ne recueille
aucun identificateur direct ou indirect des patients, des dispensateurs ou des établissements
(consulter la section 2.3).
22
Évaluation des incidences sur la vie privée du Système national
de déclaration des accidents et incidents, novembre 2015
Les données recueillies par l’ICIS aux fins du SNDAI visent 6 domaines : la découverte de
l’accident/incident, les répercussions de l’accident/incident, les détails sur l’accident/incident
médicamenteux, les renseignements sur le médicament et, s’il y a lieu, les caractéristiques des
patients/résidents (année et mois de naissance et sexe) de même que les examens et les
résultats (consulter la section 2.3.1).
Le SNDAI recueille des données pour atteindre ses objectifs. Il n’inclut pas d’identificateurs
directs (p. ex. information permettant d’identifier un patient ou résident comme le nom, le
numéro d’assurance-maladie, le numéro de dossier, la date d’admission ou de sortie, ou
d’identifier un dispensateur comme le nom ou le numéro d’inscription).
Seuls les 5 champs de texte suivants pourraient contenir des renseignements permettant
d’identifier un patient, un dispensateur ou un établissement :
i. Description de l’accident/incident
ii. Stratégies futures/recommandations
iii. Actions ou circonstances qui ont permis d’éviter un préjudice
iv. Nom de médicament spécial
v. Numéro de lot du médicament
Actuellement, les champs de texte sont examinés manuellement sur une base quotidienne
(consulter le tableau 1) pour tous les accidents ou incidents soumis au SNDAI. L’équipe de
soutien du SNDAI s’assure qu’il n’ait fait mention d’aucun renseignement sur un patient, un
dispensateur ou un établissement qui permettrait d’identifier la source de l’accident ou de
l’incident ou les parties concernées. Jusqu’à présent, aucun identificateur de patient n’a été
décelé dans les 24 000 enregistrements d’accident ou incident médicamenteux soumis au
SNDAI. En revanche, 39 identificateurs d’établissement et 46 identificateurs de dispensateur
ont été décelés et supprimés avant la soumission des enregistrements au SNDAI.
Lorsque la méthode de téléversement en lots a été introduite en 2013, le risque qu’un
identificateur puisse figurer dans les champs de texte a été revu. Il a été déterminé que ce
risque pourrait augmenter pour les raisons suivantes :
• les écarts de qualité des données entre les fournisseurs de données (surtout dans le cas des
utilisateurs régionaux où le nombre d’établissements de santé inscrits serait à la hausse);
• un risque accru d’erreurs humaines attribuables à l’importante hausse prévue du volume de
données soumises et à une soumission plus fréquente des données.
L’équipe du SNDAI examine tous les enregistrements d’accidents ou incidents soumis en lots
afin de déceler la présence d’identificateurs, comme elle le fait avec les enregistrements soumis
individuellement. Comme il est indiqué à la section 2.4.1, l’équipe de soutien du SNDAI peut
décider après un certain temps de procéder à un examen plus limité des champs de texte, au
cas par cas. Cette décision peut être prise en fonction du niveau d’expérience du fournisseur de
données et du respect des exigences de soumission, des processus de qualité des données en
place à l’établissement déclarant et de la qualité des données reçues.
23
Évaluation des incidences sur la vie privée du Système national
de déclaration des accidents et incidents, novembre 2015
Risque de violation de la vie privée — identificateurs de patients, de
dispensateurs ou d’établissements que les fournisseurs de données
ont soumis par inadvertance au SNDAI
Mesures d’atténuation actuellement en place
• Comme il est indiqué à la section 2.4.1, les champs de texte de tous les enregistrements
d’accidents et incidents sont examinés manuellement pour s’assurer qu’ils ne comprennent
pas d’identificateurs associés aux patients, aux résidents, aux dispensateurs de soins et aux
établissements de santé.
• Les ententes conclues avec les fournisseurs de données et les organismes partenaires
stipulent que ces derniers ne peuvent pas utiliser les données du SNDAI pour essayer
d’identifier des personnes, des établissements de santé, des régies régionales de la santé,
des ministères, des provinces ou des territoires.
• L’équipe du SNDAI encourage fortement les personnes autorisées à accéder au système et
à l’utiliser à suivre une formation. Les utilisateurs sont avisés que le SNDAI est un système
anonymisé et qu’aucun identificateur ne doit être entré dans les champs de texte.
• Les ententes conclues avec les organismes partenaires précisent que ces derniers doivent
aviser l’ICIS s’ils pensent avoir accès à des données permettant l’identification (ou pouvant
le permettre); dans ce cas, l’ICIS peut demander que l’enregistrement soit détruit de
façon sécuritaire.
Évaluation du risque i
Le risque a été jugé faible après l’application de la Méthodologie d’évaluation des risques liés
au respect de la vie privée et à la sécurité. Aucune recommandation n’a été formulée. L’équipe
du SNDAI réexaminera toutefois le processus de vérification au cas par cas des champs de
texte des enregistrements soumis en lots. Toute réévaluation de cette nature doit être intégrée
au registre des risques liés au respect de la vie privée et à la sécurité ii.
i.
ii.
24
L’évaluation du risque consiste à calculer la probabilité d’un risque et son incidence pour déterminer le préjudice qui pourrait en
résulter. Un risque est classé comme étant faible, moyen ou élevé, selon la matrice de l‘analyse des risques. Un risque classé
comme étant élevé est signe d’une menace grave et d’un traitement immédiat.
Le registre est une liste consolidée qui énumère les risques de violation de la vie privée et de la sécurité, qui ont été détectés
par l’ICIS.
Évaluation des incidences sur la vie privée du Système national
de déclaration des accidents et incidents, novembre 2015
3.6 Cinquième principe : Restriction de l’utilisation, de
la divulgation et de la conservation des données
dépersonnalisées du SNDAI
3.6.1 Restriction de l’utilisation
L’ICIS restreint l’utilisation des données du SNDAI aux objectifs autorisés décrits à l’article 3.3.
Cela comprend les analyses comparatives au sein des provinces et des territoires ainsi qu’entre
ceux-ci, les analyses des tendances visant à évaluer ou à surveiller l’incidence de tout
changement en matière de politiques, de pratiques et de prestation de services, ainsi que la
production de statistiques pour éclairer la planification, la gestion et l’amélioration de la qualité.
Le personnel de l’ICIS est autorisé à accéder aux données et à les utiliser uniquement lorsque
cela est nécessaire, notamment pour la gestion du traitement et de la qualité des données, la
production de statistiques et de fichiers de données, ainsi que la réalisation d’analyses. Tous
les membres du personnel de l’ICIS doivent signer une entente de confidentialité au moment de
leur embauche, et sont ensuite tenus de renouveler chaque année leur engagement à l’égard
du respect de la vie privée.
Renvoi des données au fournisseur de données
En plus du renvoi des données aux établissements déclarants, l’article 34 de la Politique de
respect de la vie privée 2010 de l’ICIS stipule que l’ICIS peut remettre les enregistrements
au ministère de la Santé concerné, pour des motifs de qualité des données ou à d’autres
fins inscrites dans son mandat (p. ex. la planification, l’évaluation et l’affectation des
ressources relativement à la gestion des services de santé et de la santé de la population).
Le renvoi des données au fournisseur de données est considéré comme une utilisation et
non comme une divulgation.
Comme il est prescrit à la section 2.2.1.3, l’ICIS peut retourner les données du SNDAI
au moyen de l’outil d’analyse du SNDAI. L’ICIS transmet systématiquement aux
fournisseurs de données des rapports de qualité des données (p. ex. rapports de
soumission) sur les résultats de leur soumission de données au SNDAI (consulter la
section 2.4.1).
En vertu de l’entente de service, les fournisseurs de données peuvent, à leurs propres
risques, divulguer leurs propres données identifiables selon les modalités de leur choix
ou renoncer à la confidentialité d’une partie ou de la totalité de leurs données.
Diffusion publique
Dans le cadre de son mandat, l’ICIS publie uniquement des données agrégées
en s’assurant de réduire au minimum le risque d’identification et de divulgation par
recoupements. Ainsi, des statistiques agrégées et des analyses sont publiées dans
des rapports et affichées sur le site Web de l’ICIS (www.icis.ca). En général, il faut un
regroupement d’au moins 5 observations par cellule. Dans le cadre des études et des
rapports d’analyse, les organismes partenaires du SNDAI ne peuvent pas publier de
données agrégées contenant moins de 5 observations, à moins d’une autorisation écrite
préalable du ou des fournisseurs de données.
25
Évaluation des incidences sur la vie privée du Système national
de déclaration des accidents et incidents, novembre 2015
3.6.2 Restriction de la divulgation
Comme il est précisé à la section 3.1, les clients qui signent une entente de service ou de
partage de données sont tenus de respecter les modalités bien précises en matière de
divulgation des données du SNDAI. Il est interdit aux clients (fournisseurs de données et
organismes partenaires) de divulguer des enregistrements d’accidents ou incidents, sauf
dans les cas permis en vertu de l’entente, et à moins que la loi ne l’exige ou si une
autorisation écrite préalable du fournisseur de données a été obtenue de l’ICIS.
Demandes de données par des tiers
Comme il est mentionné à la section 2.4.3, aucune demande de données formulée par
des tiers n’a été traitée jusqu’à présent. Seul l’ICIS peut répondre aux demandes de
données provenant de tierces parties; les organismes qui reçoivent des données du
SNDAI en vertu des modalités d’une entente de partage de données doivent transmettre
de telles demandes à l’ICIS. Une évaluation des risques de violation de la vie privée doit
être réalisée avant que l’ICIS ne réponde à une demande de données formulée par une
tierce partie. En outre, les données doivent être divulguées conformément à la Politique
de respect de la vie privée 2010 et par l’intermédiaire du programme de demandes de
données par des tiers, qui contient des mesures de contrôle appropriées de la vie privée
et de la sécurité et s’assure de leur respect par l’organisme demandeur.
3.6.3 Restriction de la conservation
Les données du SNDAI font partie des banques d’information de l’ICIS. Conformément à son
mandat et à ses fonctions de base, l’ICIS peut conserver cette information aussi longtemps que
nécessaire pour la réalisation des fins déterminées. La collecte de données a commencé
en novembre 2008.
Les clients peuvent conserver les données et les produits analytiques du SNDAI tant que leur
entente avec l’ICIS est en vigueur. Les fournisseurs de données peuvent conserver leurs
propres données conformément aux politiques de conservation de leur organisme.
3.7 Sixième principe : Exactitude des données dépersonnalisées
L’ICIS s’est doté d’un programme exhaustif sur la qualité des données. Tout problème connu de
qualité des données est réglé par le fournisseur de données ou consigné dans la documentation
sur les limites des données, que tous les utilisateurs peuvent consulter. La qualité des données
est comprise dans le cours d’apprentissage en ligne sur le SNDAI et les ressources connexes.
Les données du SNDAI sont soumises par voie électronique, ce qui réduit les risques d’erreur
de transmission. Des contrôles de validation sont intégrés à l’outil de déclaration des accidents
et incidents pour empêcher la soumission de données inexactes. L’ICIS met en application des
politiques et des vérifications de la qualité des données afin de s’assurer que celles-ci sont
précises et utilisables.
26
Évaluation des incidences sur la vie privée du Système national
de déclaration des accidents et incidents, novembre 2015
Une fois que les enregistrements ont été soumis au SNDAI, l’équipe de soutien du SNDAI peut
signaler tout problème potentiel de qualité des données. Le personnel de l’ICIS ne modifiera
aucun enregistrement, mais il peut envoyer un message au fournisseur de données lui demandant
d’examiner des éléments de données particuliers. Les utilisateurs du SNDAI peuvent modifier
leurs propres enregistrements (propres données) et demander qu’un enregistrement soumis soit
supprimé du SNDAI.
À l’instar d’autres banques de données de l’ICIS, le SNDAI se conforme à la politique d’évaluation
du cadre de la qualité des données de l’ICIS et fait l’objet d’une évaluation de la qualité des
données fondée sur le cadre. Ce processus comprend de nombreuses activités visant à évaluer
les diverses dimensions de la qualité, dont l’exactitude des données du SNDAI.
3.8 Septième principe : Mesures de protection des
données dépersonnalisées
Cadre de respect de la vie privée et de sécurité de l’ICIS
L’ICIS a élaboré un Cadre de respect de la vie privée et de sécurité en vue d’offrir une approche
globale de gestion du respect de la vie privée et de la sécurité. Fondé sur les pratiques
exemplaires qui ont cours dans les secteurs public, privé et de la santé, le cadre est conçu de
façon à coordonner les politiques de l’ICIS en matière de respect de la vie privée et de sécurité
et à offrir une vision intégrée des pratiques de gestion de l’information adoptées par l’organisme.
Les paragraphes qui suivent décrivent les aspects de la sécurité des systèmes de l’ICIS qui
revêtent une importance particulière au regard du SNDAI.
Sécurité des systèmes
L’ICIS reconnaît que l’information ne peut être considérée comme sécurisée que si elle est
protégée pendant tout son cycle de vie, c’est-à-dire à chaque étape des processus de création,
de collecte, d’accès, de conservation, de stockage, d’utilisation, de divulgation et d’élimination.
Par conséquent, l’ICIS a adopté un ensemble complet de politiques qui précisent les contrôles
nécessaires à la protection de l’information en format physique et électronique, y compris à
l’étape du chiffrement et de l’élimination. Ces politiques ainsi que les normes, lignes directrices
et procédures opérationnelles qui s’y rattachent sont conformes aux pratiques exemplaires en
matière de respect de la vie privée, de sécurité de l’information et de gestion des dossiers, afin
de garantir la confidentialité, l’intégrité et la disponibilité des actifs informationnels de l’ICIS.
Les registres de contrôle et de vérification du système font partie intégrante du programme de
sécurité de l’information de l’ICIS. Qui plus est, ces registres sont immuables. En général, l’ICIS
effectue des analyses à l’aide de données dépersonnalisées au niveau de l’enregistrement.
L’ICIS a mis au point des méthodes privilégiées de collecte des données qui définissent les
pratiques standards assurant la soumission des données en toute sécurité. Les 2 modes de
soumission des données sur les accidents et incidents (individuelle ou en lots) utilisés par les
fournisseurs de données sont conformes à la norme sur la collecte de données sur la santé
(Health Data Collection Standard). Les employés de l’ICIS sont sensibilisés à l’importance de
27
Évaluation des incidences sur la vie privée du Système national
de déclaration des accidents et incidents, novembre 2015
maintenir la confidentialité des renseignements personnels sur la santé et d’autres types
d’information sensible au moyen d’un programme de formation obligatoire sur le respect de la
vie privée et la sécurité, et par l’intermédiaire de communications continues concernant les
politiques et procédures de l’ICIS à ce sujet. Avant chaque tentative de connexion à un système
d’information de l’ICIS, les employés doivent confirmer qu’ils comprennent l’interdiction
d’accéder à ce système ou de l’utiliser sans autorisation préalable expresse de l’ICIS ni au-delà
de cette autorisation.
De façon plus générale, l’ICIS a établi des pratiques de sécurité physiques, techniques et
administratives visant à assurer la confidentialité et la sécurité de ses banques de données.
L’ICIS s’engage à protéger son écosystème de TI, à sécuriser ses banques de données ainsi
qu’à protéger l’information au moyen de mesures de sécurité administratives, physiques et
techniques, selon la nature délicate de l’information. Les vérifications représentent une
composante importante du programme global de sécurité de l’information de l’ICIS. Elles visent
à assurer le respect des pratiques exemplaires et à évaluer la conformité avec l’ensemble des
politiques, des procédures et des pratiques de sécurité de l’information mises en œuvre par
l’ICIS. Les vérifications servent entre autres à évaluer
• la conformité, sur le plan technique, des systèmes de traitement de l’information aux
pratiques exemplaires ainsi qu’aux normes de sécurité et aux normes
architecturales connues;
• la capacité de l’ICIS à protéger l’information et les systèmes de traitement de l’information
contre les menaces et les vulnérabilités;
• la posture de sécurité globale de l’infrastructure technique de l’ICIS, notamment les réseaux,
les serveurs, les coupe-feu, les logiciels et les applications.
Les évaluations de la vulnérabilité et les tests d’intrusion de son infrastructure et de certaines
applications, effectués par des tiers sur une base régulière, constituent une composante
importante du programme de vérification de l’ICIS. Toutes les recommandations issues de ces
vérifications par des tiers sont consignées dans le registre des recommandations du plan
d’action général de l’ICIS, et les mesures qui s’imposent sont prises.
3.9 Huitième principe : Transparence de la gestion des
renseignements personnels sur la santé
L’ICIS publie de l’information concernant ses politiques sur le respect de la vie privée, ses
pratiques relatives aux données et ses programmes de gestion des renseignements personnels
sur la santé. Plus précisément, le Cadre de respect de la vie privée et de sécurité et la
Politique de respect de la vie privée 2010 de l’ICIS sont accessibles au public sur son
site Web (www.icis.ca).
28
Évaluation des incidences sur la vie privée du Système national
de déclaration des accidents et incidents, novembre 2015
3.10 Neuvième principe : Accès individuel aux renseignements
personnels sur la santé et modification de ceux-ci
Les données du SNDAI ne contiennent aucun identificateur personnel (p. ex. le nom, l’adresse
ou le numéro d’assurance-maladie).
3.11 Dixième principe : Plaintes concernant le traitement par
l’ICIS des renseignements personnels sur la santé
Comme il est précisé aux articles 64 et 65 de la Politique de respect de la vie privée 2010
de l’ICIS, les plaintes concernant le traitement par l’ICIS des renseignements personnels sur
la santé sont examinées par la chef de la protection des renseignements personnels et avocate
générale. Cette dernière peut acheminer une demande ou une plainte au commissaire au
respect de la vie privée de la province ou du territoire de l’auteur de la demande ou de
la plainte.
4
Résumé de l’évaluation des incidences sur
la vie privée et conclusion
Le présent document résume l’évaluation que l’ICIS a entreprise en ce qui concerne les incidences
du SNDAI sur la vie privée. Un risque de violation de la vie privée a été décelé concernant la mise
en œuvre du mode de téléversement en lots. Plus particulièrement, compte tenu de la hausse
anticipée du nombre d’accidents et incidents déclarés ainsi que de la fréquence des soumissions
en lots, le risque qu’un identificateur soit présent dans un champ de texte a été réexaminé.
L’application de la Méthodologie d’évaluation des risques liés au respect de la vie privée et à la
sécurité a permis de conclure que le risque était faible. Aucune recommandation n’a été formulée.
Il a toutefois été décidé que la section SNDAI continuera à vérifier l’ensemble des champs de
texte avant de rendre les données accessibles dans le SNDAI, et ce, pour s’assurer qu’ils ne
contiennent pas d’identificateurs. L’équipe du SNDAI continuera de réévaluer le processus
d’examen des champs de texte à mesure que la soumission en lots prendra de l’ampleur. Toute
modification du processus ou de la cote de risque issue de réévaluations de cette nature doit
être inscrite au registre des risques liés au respect de la vie privée et à la sécurité de l’ICIS.
L’évaluation sera mise à jour ou révisée conformément à la Politique d’évaluation des incidences
sur la vie privée de l’ICIS.
29
Évaluation des incidences sur la vie privée du Système national
de déclaration des accidents et incidents, novembre 2015
Annexe — Fichier minimal du Système national
de déclaration des accidents et incidents
Fichier minimal du SNDAI de l’ICIS — éléments de données
Les éléments de données obligatoires et facultatifs sont précisés selon l’importance du
préjudice causé par l’accident/incident médicamenteux.
O = obligatoire
F = facultatif
Élément de données
30
s.o. = sans objet
Circonstance Évité de
déclarable justesse
Aucun
Léger Modéré Grave
Décès
1.0
Répercussions de l’accident/incident
1.1
Description de
l’accident/incident
médicamenteux
F
F
F
F
F
1.2
Degré du préjudice
O
O
O
O
O
O
O
1.3
Accident/incident
médicamenteux grave
O
O
O
O
O
s.o.
s.o.
2.0
Découverte de l’accident/incident
2.1
Secteur(s) d’activité
O
O
O
O
O
O
2.2
Service/unité
F
F
F
F
F
F
F
2.3
Date à laquelle
l’accident/incident
a été détecté
O
O
O
O
O
O
O
2.4
Heure à laquelle
l’accident/incident
a été détecté
F
O
†
(une)
O
†
(une)
O
†
(une)
O
†
(une)
O
†
(une)
O
†
(une)
2.5
Période de temps
pendant laquelle
l’accident/incident
a été détecté
2.6
Date à laquelle
l’accident/incident
s’est produit
s.o.
F
F
F
F
F
F
2.7
Heure à laquelle
l’accident/incident
s’est produit
s.o.
F
†
(une)
F
†
(une)
F
†
(une)
F
†
(une)
F
†
(une)
F
†
(une)
2.8
Période pendant laquelle
l’accident/incident
s’est produit
2.9
Dispensateur(s) de soins
ou autres personnes
qui ont détecté
l’accident/incident
F
F
F
F
F
F
F
2.10
Dispensateur(s) de soins
ou autres personnes
impliqués dans
l’accident/incident
F
F
F
F
F
F
F
O
F
F
Évaluation des incidences sur la vie privée du Système national
de déclaration des accidents et incidents, novembre 2015
Circonstance Évité de
déclarable justesse
Élément de données
Aucun
Léger Modéré Grave
Décès
3.0
Caractéristiques des patients/résidents
3.1
Mois et année
de naissance
s.o.
F
O
O
O
O
O
3.2
Sexe
s.o.
F
O
O
O
O
O
4.0
Détails sur l’accident/incident médicamenteux
4.1
Processus d’utilisation
des médicaments/
‡
solutions intraveineuses
O
O
O
O
O
O
O
4.2
Problème lié à un
médicament/une
‡
solution intraveineuse
O
O
O
O
O
O
O
4.3
Administrations répétées
s.o.
s.o.
F
F
F
F
F
O
O
O
O
O
O
O
F
F
F
F
F
F
F
O
O
O
O
O
O
‡
4.4
Facteur(s) contributif(s)
4.5
Chimiothérapie
5.0
Renseignements sur le médicament
5.1
Type de médicament
5.2
Numéro d’identification
du médicament (DIN)
5.3
Nom générique
du médicament
5.4
Nom commercial
du médicament
5.5
Nom du médicament
spécial
5.6
Ingrédients d’une
préparation magistrale
5.7
Médicament approprié
ou inapproprié
*
*
*
*
*
*
*
5.8
Forme posologique
F
F
F
F
F
F
F
5.9
Forme posologique
incorrecte
*
*
*
*
*
*
*
5.10
Concentration
F
F
F
F
F
F
F
5.11
Voie d’administration
F
F
F
F
F
F
F
5.12
Voie d’administration
incorrecte
*
*
*
*
*
*
*
5.13
Numéro de lot
F
F
F
F
F
F
F
6.0
Examens et résultats
6.1
Patient/résident avisé de
l’accident/incident
s.o.
F
F
F
F
F
F
6.2
Probabilité de récurrence
F
F
F
F
F
F
F
6.3
Intervention(s) requise(s)
s.o.
s.o.
F
F
F
F
F
6.4
Séjour prolongé
s.o.
s.o.
s.o.
F
F
F
F
6.5
Admission/réadmission
non planifiée
s.o.
s.o.
s.o.
F
F
F
F
6.6
Bilan de l’analyse des
causes fondamentales
s.o.
F
F
F
F
F
F
6.7
Stratégies futures/
recommandations
F
F
F
F
F
F
F
*
Remarque
Une seule valeur doit être sélectionnée pour les éléments de
données 5.2 à 5.6.
31
Évaluation des incidences sur la vie privée du Système national
de déclaration des accidents et incidents, novembre 2015
Élément de données
6.8
Actions ou circonstances
qui ont permis d’éviter
un préjudice
7.0
Identificateurs uniques
7.1
Identificateur du cas
du SNDAI
7.2
Numéro de cas de
l’établissement de santé
7.3
Identificateur unique de
l’établissement de santé
Circonstance Évité de
déclarable justesse
F
F
Aucun
F
Léger Modéré Grave
s.o.
Décès
s.o.
s.o.
s.o.
F
F
F
Attribué par l’ICIS
F
F
F
F
Attribué par l’ICIS
Remarques
* L'exigence relative aux éléments de données (obligatoire, sans objet ou facultatif) dépend de la sélection du problème
associé à un médicament ou à une solution intraveineuse.
† Une seule valeur est nécessaire.
‡ Adapté et utilisé avec la permission de MedMARxMD, © 2005 The United States Pharmacopeial Convention, Inc.
Tous droits réservés.
32
La production du présent document est rendue possible grâce à un apport financier
de Santé Canada et des gouvernements provinciaux et territoriaux. Les opinions
exprimées dans ce rapport ne représentent pas nécessairement celles de Santé
Canada ou celles des gouvernements provinciaux et territoriaux.
Tous droits réservés.
Le contenu de cette publication peut être reproduit tel quel, en tout ou en partie
et par quelque moyen que ce soit, uniquement à des fins non commerciales pourvu
que l’Institut canadien d’information sur la santé soit clairement identifié comme
le titulaire du droit d’auteur. Toute reproduction ou utilisation de cette publication
et de son contenu à des fins commerciales requiert l’autorisation écrite préalable
de l’Institut canadien d’information sur la santé. La reproduction ou l’utilisation de
cette publication ou de son contenu qui sous-entend le consentement de l’Institut
canadien d’information sur la santé, ou toute affiliation avec celui-ci, est interdite.
Pour obtenir une autorisation ou des renseignements, veuillez contacter l’ICIS :
Institut canadien d’information sur la santé
495, chemin Richmond, bureau 600
Ottawa (Ontario) K2A 4H6
Téléphone : 613-241-7860
Télécopieur : 613-241-8120
www.icis.ca
[email protected]
© 2016 Institut canadien d’information sur la santé
This publication is also available in English under the title National System for
Incident Reporting Privacy Impact Assessment, November 2015.
Parlez-nous
ICIS Ottawa
495, rue Richmond, bureau 600
Ottawa (Ontario) K2A 4H6
Téléphone : 613-241-7860
ICIS Montréal
1010, rue Sherbrooke Ouest, bureau 300
Montréal (Québec) H3A 2R7
Téléphone : 514-842-2226
ICIS Toronto
4110, rue Yonge, bureau 300
Toronto (Ontario) M2P 2B7
Téléphone : 416-481-2002
ICIS St. John’s
140, rue Water, bureau 701
St. John’s (Terre-Neuve-et-Labrador) A1C 6H6
Téléphone : 709-576-7006
ICIS Victoria
880, rue Douglas, bureau 600
Victoria (Colombie-Britannique) V8W 2B7
Téléphone : 250-220-4100
12175-0116
www.icis.ca
Au cœur des données
Documents connexes
Principales données sur les services d`urgence, 2013-2014
Principales données sur les services d`urgence, 2013-2014
Le suivi du médecin réduit-il les complications après la sortie
Le suivi du médecin réduit-il les complications après la sortie
Sondage sur les expériences d`hospitalisation des patients
Sondage sur les expériences d`hospitalisation des patients
Risque de décès légèrement plus élevé chez les patients
Risque de décès légèrement plus élevé chez les patients
Fiche de renseignements Fact Sheet Les soins de santé au Canada
Fiche de renseignements Fact Sheet Les soins de santé au Canada
Bulletin du Registre canadien des insuffisances et des
Bulletin du Registre canadien des insuffisances et des
Hausse du nombre de chirurgies bariatriques
Hausse du nombre de chirurgies bariatriques
Remplacement des genoux : une ou deux interventions?
Remplacement des genoux : une ou deux interventions?
FICHE DE POSTE Administrateur de bases de données
FICHE DE POSTE Administrateur de bases de données
Au Canada, la demande excède le nombre d`organes
Au Canada, la demande excède le nombre d`organes
Mémoire présenté au Comité permanent de la condition féminine
Mémoire présenté au Comité permanent de la condition féminine
Financement axé sur les patients
Financement axé sur les patients
Fiche d`information sur le programme de vérification de la
Fiche d`information sur le programme de vérification de la
Mémoire présenté au Comité sénatorial permanent des
Mémoire présenté au Comité sénatorial permanent des
Téléchargement
publicité