Évaluation des incidences sur la vie privée du Système national de déclaration des accidents et incidents, novembre 2015 Notre vision De meilleures données pour de meilleures décisions : des Canadiens en meilleure santé Notre mandat Exercer le leadership visant l’élaboration et le maintien d’une information sur la santé exhaustive et intégrée pour des politiques avisées et une gestion efficace du système de santé qui permettent d’améliorer la santé et les soins de santé Nos valeurs Respect, intégrité, collaboration, excellence, innovation Table des matières Le Système national de déclaration des accidents et incidents en bref .......................................7 Définitions ...................................................................................................................................8 1 Introduction ...........................................................................................................................9 1.1 2 Système national de déclaration des accidents et incidents de l’ICIS ..................................10 2.1 Contexte .....................................................................................................................10 2.2 Description du SNDAI et des utilisateurs ....................................................................11 2.3 2.4 3 Projet pilote : SNDAI-radiothérapie ...............................................................................9 2.2.1 Description du SNDAI .....................................................................................11 2.2.2 Utilisateurs du SNDAI .....................................................................................13 Description des données accessibles dans le SNDAI .................................................13 2.3.1 Fichier minimal du SNDAI ..............................................................................14 2.3.2 Base de données sur les produits pharmaceutiques ......................................14 Cheminement des données et accès aux données du SNDAI ....................................14 2.4.1 Cheminement des données ...........................................................................14 2.4.2 Accès au SNDAI ............................................................................................16 2.4.3 Données du SNDAI accessibles aux tiers demandeurs de données .............18 Analyse du respect de la vie privée .....................................................................................19 3.1 Textes législatifs régissant l’ICIS et le SNDAI .............................................................19 3.2 Premier principe : Responsabilité à l’égard des données dépersonnalisées du SNDAI ...................................................................................................................20 3.2.1 Organisation et gouvernance .........................................................................21 3.3 Deuxième principe : Établissement des objectifs des données dépersonnalisées du SNDAI ...................................................................................................................21 3.4 Troisième principe : Consentement pour la collecte, l’utilisation ou la divulgation des données dépersonnalisées du SNDAI..................................................................22 3.5 Quatrième principe : Restriction de la collecte de données dépersonnalisées du SNDAI ...................................................................................................................22 3.6 Cinquième principe : Restriction de l’utilisation, de la divulgation et de la conservation des données dépersonnalisées du SNDAI .............................................25 3.6.1 Restriction de l’utilisation ...............................................................................25 3.6.2 Restriction de la divulgation ...........................................................................26 3.6.3 Restriction de la conservation ........................................................................26 3.7 Sixième principe : Exactitude des données dépersonnalisées ....................................26 3.8 Septième principe : Mesures de protection des données dépersonnalisées ...............27 3.9 Huitième principe : Transparence de la gestion des renseignements personnels sur la santé .................................................................................................................28 Évaluation des incidences sur la vie privée du Système national de déclaration des accidents et incidents, novembre 2015 3.10 Neuvième principe : Accès individuel aux renseignements personnels sur la santé et modification de ceux-ci..................................................................................29 3.11 Dixième principe : Plaintes concernant le traitement par l’ICIS des renseignements personnels sur la santé...............................................................................................29 4 Résumé de l’évaluation des incidences sur la vie privée et conclusion ...............................29 Annexe — Fichier minimal du Système national de déclaration des accidents et incidents .......30 6 Évaluation des incidences sur la vie privée du Système national de déclaration des accidents et incidents, novembre 2015 Le Système national de déclaration des accidents et incidents en bref • Le Système national de déclaration des accidents et incidents (SNDAI) est un système de déclaration volontaire visant à faciliter les échanges de données sur les accidents et incidents médicamenteux en vue d’en tirer des leçons. Il donne aux dirigeants de première ligne les outils, l’accès et les connaissances nécessaires pour mettre en œuvre des solutions à l’échelle locale. • Plus de 300 établissements de soins de courte durée et de soins de longue durée contribuent actuellement au SNDAI. Au total, ces établissements ont déclaré plus de 24 000 accidents et incidents médicamenteux. • Les partenaires du SNDAI comprennent l’Institut pour la sécurité des médicaments aux patients au Canada, Santé Canada et l’Institut canadien pour la sécurité des patients. • Le SNDAI recueille un ensemble normalisé de données sur les accidents et incidents médicamenteux au moyen d’une application en ligne. Les établissements peuvent saisir manuellement les enregistrements d’accidents et incidents, un enregistrement à la fois, ou télécharger en lots les données à soumettre. • La méthode de téléchargement en lots permet aux établissements d’extraire les données de leur système de gestion des risques et de les verser dans le SNDAI sans avoir à saisir de nouveau les enregistrements. • Le SNDAI ne recueille aucun identificateur de patient, de dispensateur ou d’établissement. • Le SNDAI fournit aux utilisateurs un outil d’analyse visant à créer des rapports sommaires ou de comparaison, de même qu’un outil de communication permettant d’entretenir des discussions privées et anonymisées avec d’autres établissements participants. 7 Évaluation des incidences sur la vie privée du Système national de déclaration des accidents et incidents, novembre 2015 Définitions Les définitions suivantes s’appliquent aux termes utilisés dans la présente évaluation des incidences sur la vie privée. Accident ou incident médicamenteux : désigne tout événement ou circonstance évitable susceptible de causer ou d’entraîner l’utilisation d’un médicament inapproprié ou de porter préjudice au patient au cours de l’administration d’un médicament ou d’une solution intraveineuse par un professionnel de la santé, un patient ou un consommateur. Client : désigne l’organisme indiqué dans l’entente de service relative au SNDAI (c.-à-d. l’entente de service et l’entente de partage de données), qui s’engage à se conformer aux modalités de l’entente. Données agrégées : il s’agit de données au niveau de l’enregistrement qui sont compilées à partir d’enregistrements liés à des accidents et incidents médicamenteux, à un niveau d’agrégation qui garantit que l’identité des personnes ne pourra pas être établie selon des méthodes raisonnablement prévisibles. Données du SNDAI : il s’agit de toutes les données au niveau de l’enregistrement sur les accidents et incidents, qui sont dépersonnalisées et versées dans le SNDAI, de même que de toutes les données agrégées produites par ce dernier. Enregistrement d’accident ou incident médicamenteux : désigne les données au niveau de l’enregistrement liées à des accidents et incidents médicamenteux, qui sont soumises à l’ICIS aux fins du SNDAI. Fournisseur de données : désigne un ministère ou un organisme fédéral, provincial ou territorial, une régie régionale de la santé, un établissement de santé, un établissement public ou privé, ou un organisme participant au SNDAI qui soumet à l’ICIS des enregistrements d’accidents et incidents médicamenteux. Organisme partenaire : désigne un organisme qui a conclu avec l’ICIS une entente de partage de données lui permettant d’accéder au SNDAI aux fins précisées dans l’entente. Propres données : il s’agit des enregistrements d’accidents et incidents médicamenteux initialement soumis à l’ICIS par un fournisseur de données aux fins du SNDAI. Utilisateur désigné : désigne un employé ou un entrepreneur autorisé (p. ex. un organisme partenaire autorisé par le client à accéder au SNDAI et à l’utiliser). 8 Évaluation des incidences sur la vie privée du Système national de déclaration des accidents et incidents, novembre 2015 1 Introduction L’Institut canadien d’information sur la santé (ICIS) recueille de l’information sur la santé et les soins de santé au Canada et l’analyse. Son mandat consiste à exercer le leadership visant l’élaboration et le maintien d’une information sur la santé exhaustive et intégrée, pour des politiques avisées et une gestion efficace du système de santé qui permettent d’améliorer la santé et les soins de santé. L’ICIS obtient les données directement auprès des hôpitaux et d’autres établissements de santé, des établissements de soins de longue durée, des régies régionales de la santé, des praticiens et des gouvernements. Ces données comprennent des renseignements sur les services de santé dispensés aux patients, sur les professionnels de la santé qui dispensent ces services et sur le coût des services de santé. La présente évaluation des incidences sur la vie privée constitue une mise à jour de l’évaluation publiée en août 2009. Elle a pour objet d’examiner les risques de violation de la vie privée, de la confidentialité et de la sécurité associés au SNDAI de l’ICIS, conformément à la politique de mise à jour tous les 5 ans des évaluations des incidences sur la vie privée de l’ICIS. Elle comprend l’examen des 10 principes du Code type sur la protection des renseignements personnels de l’Association canadienne de normalisation qui s’appliquent au SNDAI. Elle examine également les risques liés à la mise en œuvre du téléversement en lots. Cette nouvelle fonction entraînera fort probablement une hausse du nombre de fournisseurs de données participants ainsi que du nombre d’accidents et incidents médicamenteux déclarés au SNDAI. Ces risques continueront d’être évalués afin de déterminer s’il convient de modifier le processus actuel d’examen des accidents et incidents. 1.1 Projet pilote : SNDAI-radiothérapie L’ICIS, en collaboration avec le Partenariat canadien pour la qualité en radiothérapie (PCQR), travaille à l’élaboration d’un système national de déclaration des accidents et incidents en radiothérapie (SNDAI-RT) au Canada. Le PCQR a été fondé en 2010 sous la forme d’une alliance entre des organismes professionnels nationaux œuvrant dans la prestation de soins de radiothérapie au Canada. Cette alliance regroupe l’Association canadienne de radio-oncologie, l’Organisation canadienne des physiciens médicaux et l’Association canadienne des technologues en radiation médicale, avec l’appui stratégique et financier du Partenariat canadien contre le cancer. Ses activités sont axées sur l’amélioration de la qualité, la performance des systèmes et la gestion des connaissances. Dans le cadre de ce projet pilote, le système et les processus de collecte, d’analyse et de partage de données sur les accidents et incidents du SNDAI sont utilisés pour recueillir des données sur les accidents et incidents en radiothérapie auprès de centres de radiothérapie au Canada. Le projet se déroulera de septembre 2015 à mars 2016 et sera suivi d’une période d’évaluation. La mise en œuvre finale du système devrait être terminée d’ici mars 2017. Une évaluation des incidences sur la vie privée du projet pilote SNDAI-RT sera effectuée et publiée sous forme d’addenda. 9 Évaluation des incidences sur la vie privée du Système national de déclaration des accidents et incidents, novembre 2015 2 Système national de déclaration des accidents et incidents de l’ICIS 2.1 Contexte Le Système national de déclaration des accidents et incidents (SNDAI) de l’ICIS fait partie du Système canadien de déclaration et de prévention des incidents médicamenteux (SCDPIM), une initiative multiorganisationnelle qui offre de l’information, des outils et un savoir-faire dans le domaine de la prévention des accidents et incidents médicamenteux préjudiciables. Les organismes partenaires du SCDPIM appuient un système sécuritaire pour l’utilisation des médicaments en s’acquittant des tâches suivantes : • fournir aux établissements de santé, aux praticiens et aux consommateurs des voies bien définies pour déclarer les accidents et incidents médicamenteux; • analyser les rapports d’accidents et incidents médicamenteux et formuler des recommandations pour atténuer les risques; • préparer et diffuser à grande échelle l’information sur les mesures de prévention et les pratiques exemplaires en matière d’utilisation sécuritaire des médicaments, y compris la prescription, la communication des ordonnances, de même que l’étiquetage des produits, leur emballage, nomenclature, mélange, distribution, administration et surveillance; • travailler avec le secteur pharmaceutique pour s’attaquer à des questions liées à la nomenclature, à l’emballage et à l’étiquetage des produits commercialisés au Canada. Les 4 organismes suivants collaborent au SCDPIM : L’Institut canadien d’information sur la santé (ICIS), qui contribue au Système canadien de déclaration et de prévention des incidents médicamenteux (SCDPIM) par le biais du Système national de déclaration des accidents et incidents (SNDAI). Ce dernier recueille des données sur les accidents et incidents médicamenteux auprès des établissements de santé au Canada. Le SNDAI comprend des outils d’analyse et de communication dans le but de faciliter l’analyse des accidents et incidents médicamenteux et la diffusion des stratégies de prévention en la matière. L’ICIS produit des rapports analytiques à partir des données du SNDAI en vue d’améliorer le système d’utilisation des médicaments. Santé Canada, qui est le bailleur de fonds du SCDPIM. De plus, à titre d'organisme de réglementation fédéral des produits de santé, Santé Canada apporte connaissances et expertise en matière d'innocuité des médicaments au SCDPIM. L’Institut pour la sécurité des médicaments aux patients du Canada (ISMP Canada), qui fournit un outil de déclaration des accidents et incidents médicamenteux (medicamentssecuritaires.ca) aux professionnels de la santé, de même qu’un site de déclaration et d’apprentissage à l’intention des consommateurs. ISMP Canada s’occupe de l’analyse et du suivi des rapports d’accidents et incidents, appuie l’élaboration et la mise en œuvre de mesures de prévention, et conçoit et diffuse des bulletins d’information et des alertes. 10 Évaluation des incidences sur la vie privée du Système national de déclaration des accidents et incidents, novembre 2015 L’Institut canadien pour la sécurité des patients (ICSP), qui apporte son soutien sur le plan du marketing et des communications au SCDPIM, et s’assure que les activités de ce dernier sont bien coordonnées avec les autres projets sur la sécurité des patients au Canada. L’ISCP gère les Alertes mondiales sur la sécurité des patients, un moyen de diffusion et de partage d’information pour les solutions aux problèmes de sécurité des patients, notamment les connaissances sur la sécurité médicamenteuse acquises par les organismes membres du SCDPIM. Le SNDAI a pour objectif • de trouver des solutions pour la prévention des accidents et incidents médicamenteux à l’échelle locale et du système; • de faciliter les échanges de données sur les accidents et incidents médicamenteux en vue d’en tirer des leçons; • de doter les dirigeants en première ligne des outils, de l’accès et des connaissances nécessaires pour appliquer des solutions aux problèmes de sécurité des patients à l’échelle locale; • de nouer des partenariats visant à créer et à diffuser des stratégies, des recommandations et des solutions aux problèmes de sécurité des patients. 2.2 Description du SNDAI et des utilisateurs 2.2.1 Description du SNDAI Les accidents et incidents médicamenteux sont par définition des événements évitables (p. ex. du Lasix a été prescrit au patient au lieu du Losec). Le SNDAI permet de déterminer comment les accidents et incidents sont survenus dans les établissements de santé au Canada et comment des accidents et incidents semblables peuvent être évités. Le SNDAI est un système de déclaration volontaire qui permet de recueillir, de partager et d’analyser les données normalisées sur les accidents et incidents liés aux médicaments et aux solutions intraveineuses de façon sécuritaire et anonyme. La déclaration de données dépersonnalisée favorise la participation et protège les renseignements susceptibles d’identifier les patients, les dispensateurs et les établissements qui contribuent au SNDAI. Les données et les analyses connexes relatives à ce système éclairent les activités d’amélioration de la qualité à l’échelle locale, régionale, provinciale, territoriale et nationale, favorisant ainsi l’amélioration de la prestation des soins de santé. 11 Évaluation des incidences sur la vie privée du Système national de déclaration des accidents et incidents, novembre 2015 Le SNDAI comprend un fichier minimal, la Base de données sur les produits pharmaceutiques (consulter la section 2.3.2) et les outils suivants : 2.2.1.1 Outil de déclaration Les fournisseurs de données soumettent les données par voie électronique à l’aide de l’outil de déclaration. Il s’agit d’une application Web sécurisée qui permet de soumettre les enregistrements d’accidents et incidents médicamenteux individuellement ou en lots. Les enregistrements individuels peuvent être saisis au moyen de la méthode de déclaration d’accident ou incident unique. Les établissements qui disposent de systèmes de gestion des risques peuvent toutefois soumettre de multiples enregistrements sous forme de lots après les avoir extraits et regroupés. Les fournisseurs de données utilisent l’outil de déclaration pour soumettre les 10 éléments de données obligatoires et jusqu’à 21 éléments de données facultatifs (fichier minimal) (consulter l’annexe). L’outil comprend le champ de texte Description de l’accident/incident médicamenteux, dans lequel une description détaillée et factuelle de ce qui s’est produit pendant l’accident ou l’incident peut être saisie. La Base de données sur les produits pharmaceutiques est intégrée à l’outil de déclaration. Elle contient le nom de plus de 6 000 produits médicamenteux. Les fournisseurs de données peuvent ainsi utiliser la base de données pour sélectionner le médicament associé à l’accident ou incident (consulter la section 2.3.2). 2.2.1.2 Outil de communication L’outil de communication ressemble à une application de courrier électronique. Il permet de mener des discussions anonymes et privées entre les fournisseurs de données. Les messages envoyés par les fournisseurs sont entièrement anonymes; le système remplace l’adresse courriel des expéditeurs et des destinataires par des pseudonymes afin de préserver l’anonymat des établissements. Dans le SNDAI, chaque enregistrement d’accident ou incident médicamenteux dépersonnalisé comprend un hyperlien vers l’outil de communication, qui permet aux utilisateurs d’envoyer un courriel anonyme à l’établissement déclarant. L’ICIS et les organismes partenaires peuvent également utiliser l’outil de communication pour envoyer des courriels, mais ceux-ci ne sont pas anonymes. Aucun pseudonyme n’est attribué et le nom de l’organisme est indiqué dans les messages à destination ou en provenance des utilisateurs du SNDAI. 12 Évaluation des incidences sur la vie privée du Système national de déclaration des accidents et incidents, novembre 2015 2.2.1.3 Outil d’analyse Les utilisateurs peuvent accéder aux enregistrements d’accidents et incidents dépersonnalisés du SNDAI au moyen d’un outil d’exploitation de données et ainsi élaborer des rapports de base qu’ils pourront ensuite personnaliser dans une certaine mesure. Les rapports générés par les utilisateurs sont anonymes. Les établissements sources ne sont pas identifiés, sauf lorsque le fournisseur de données accède à ses propres données, ou si un utilisateur a autorisé un autre à consulter des données susceptibles de l’identifier. Les rapports permettent d’effectuer une analyse plus détaillée, allant des totaux agrégés aux enregistrements d’accidents ou d’incidents individuels. Les résultats de cette analyse peuvent ensuite être exportés en format PDF ou Excel. Les rapports de comparaison permettent de voir les résultats à l’échelle d’une province, d’une région, d’un organisme, d’un site ou d’un groupe d’établissements semblables. 2.2.2 Utilisateurs du SNDAI Il existe 2 types d’utilisateurs du SNDAI : les fournisseurs de données et les organismes partenaires. Ils sont collectivement appelés « clients » (consulter la section Définitions). Les fournisseurs de données, comprenant les organismes participants, soumettent des données au SNDAI et les analysent conformément aux dispositions des ententes de service qu’ils ont signées. Les organismes partenaires (p. ex. ISMP Canada et Santé Canada) ont conclu des ententes de partage de données avec l’ICIS, qui les autorisent à accéder aux données du SNDAI à des fins d’analyse particulières. Les clients du SNDAI comprenaient en juin 2015 : 2.3 Description des données accessibles dans le SNDAI L’anonymat des patients, des résidents, des dispensateurs de soins et des établissements de santé est l’un des principes directeurs du SNDAI. C’est pourquoi les enregistrements d’accidents et incidents médicamenteux dépersonnalisés du SNDAI ne permettent pas d’identifier des patients ou des dispensateurs par une méthode raisonnablement prévisible (consulter la section 3.5., Quatrième principe : Restriction de la collecte de données dépersonnalisées). 13 Évaluation des incidences sur la vie privée du Système national de déclaration des accidents et incidents, novembre 2015 2.3.1 Fichier minimal du SNDAI Le fichier minimal du SNDAI comprend les domaines de données suivants (consulter l’annexe pour le fichier minimal complet) : • Répercussions de l’accident/incident — catégorisation des résultats (réels ou possibles) et des conséquences de l’accident ou incident. • Découverte de l’accident/incident — heure et lieu de l’accident ou incident, et rôle des dispensateurs de soins associés à l’accident ou incident • Caractéristiques des patients/résidents — mois et année de naissance et sexe du patient ou du résident associé à l’accident ou incident • Détails sur l’accident/incident médicamenteux — renseignements détaillés précis sur l’accident ou incident médicamenteux • Renseignements sur le médicament — information sur le ou les produits pharmaceutiques associés à l’accident ou incident déclaré (p. ex. le nom, la concentration, la forme, la voie d’administration) • Examens et résultats — information sur les mesures prévues ou mises en œuvre pour éviter qu’un accident ou incident semblable se reproduise 2.3.2 Base de données sur les produits pharmaceutiques La Base de données sur les produits pharmaceutiques intégrée à l’outil de déclaration est une liste normalisée de médicaments fondée sur la base de données éponyme de Santé Canada. Elle contient plus de 6 000 produits médicamenteux listés par marque et par nom générique. Les utilisateurs accèdent à cette liste afin d’assurer la qualité des données (exactitude et fiabilité) lorsqu’ils sélectionnent le ou les noms des médicaments ou des solutions intraveineuses associés à un accident ou incident en particulier. 2.4 Cheminement des données et accès aux données du SNDAI Dans le SNDAI, chaque enregistrement correspond à un accident ou incident médicamenteux unique. En novembre 2015, le SNDAI comprenait plus de 24 000 enregistrements soumis par plus de 300 établissements de soins de courte durée et de soins de longue durée. 2.4.1 Cheminement des données Lorsqu’un accident ou incident médicamenteux survient, il est signalé et examiné à l’interne par l’établissement de santé. Une fois l’examen terminé, le fournisseur de données envoie un enregistrement de l’accident ou incident médicamenteux à l’ICIS. Les données sont acheminées par le fournisseur de données au SNDAI par l’outil de déclaration, un enregistrement à la fois ou en lots. Dans le cas des enregistrements soumis individuellement, les données sont entrées directement dans le SNDAI. Pour ce qui est des enregistrements soumis en lots, les données saisies dans le système de déclaration des accidents et incidents médicamenteux du fournisseur de données sont extraites, puis transmises de façon sécuritaire au SNDAI au moyen de la méthode de téléversement en lots. Une fois intégrés au SNDAI, tous les enregistrements sont soumis à une évaluation de la qualité des données comportant 2 étapes (qu’ils aient été envoyés individuellement ou en lots). 14 Évaluation des incidences sur la vie privée du Système national de déclaration des accidents et incidents, novembre 2015 Étape 1 : Traitement automatisé de la qualité des données La première étape consiste à évaluer la validité et le format des données codifiées. Enregistrements soumis individuellement Dans le cas des enregistrements soumis individuellement, le système procède automatiquement à des vérifications au fur et à mesure que les renseignements sur l’accident ou incident sont entrés. Si l’enregistrement passe toutes les étapes de vérification avec succès, les données sont soumises à l’étape 2 (voir ci-dessous). En revanche, si des problèmes de qualité sont décelés à l’étape 1, ils sont signalés en temps réel au fournisseur de données pour qu’ils soient corrigés. Enregistrements soumis en lots Des vérifications sont également exécutées automatiquement pour les enregistrements soumis en lots. Si l’enregistrement passe toutes les étapes de vérification, les données sont soumises à l’étape 2 (voir ci-dessous). À la différence des enregistrements soumis individuellement, tout problème de qualité de données décelé à l’étape 1 est signalé au fournisseur de données au moyen d’un rapport de soumission. Les enregistrements corrigés par le fournisseur de données sont alors soumis de nouveau au SNDAI par téléversement en lots. Étape 2 : Traitement manuel de la qualité des données La deuxième étape consiste en un examen manuel de la qualité des données visant les champs de texte. L’équipe de soutien du SNDAI examine les champs de texte des enregistrements afin de s’assurer qu’ils ne contiennent pas d’identificateurs personnels et géographiques (p. ex. noms, initiales, abréviations) associés aux patients ou résidents, aux dispensateurs de soins de santé et aux établissements de santé que le fournisseur de données aurait soumis par inadvertance. Comme dans le traitement automatique de la qualité des données, les enregistrements contenant des erreurs sont retournés au fournisseur de données à des fins de correction. La suppression de l’enregistrement en cause est maintenue jusqu’à ce que le fournisseur de données ait apporté les corrections requises (c.-à-d. qu’il supprime l’identificateur). Une fois les corrections confirmées par le personnel du SNDAI, l’enregistrement de l’accident ou incident médicamenteux est considéré comme dépersonnalisé. Il est alors versé dans le dépôt de données du SNDAI, et devient accessible aux utilisateurs autorisés aux fins d’analyse et de production de rapports. L’équipe de soutien du SNDAI surveille de façon continue la qualité des données que les fournisseurs soumettent individuellement ou en lots. Elle peut en outre décider, en collaboration avec les fournisseurs de données, de procéder à un examen plus limité des champs de texte, au cas par cas. Cette décision dépend du niveau d’expérience du fournisseur de données et du respect des exigences de soumission, des processus de qualité des données en place à l’établissement déclarant et de la qualité des données reçues. Le niveau de précision du 15 Évaluation des incidences sur la vie privée du Système national de déclaration des accidents et incidents, novembre 2015 processus d’examen de la qualité des données de l’ICIS est déterminé de concert avec le fournisseur de données. Par ailleurs, il faut établir un juste équilibre entre le risque (pour les 2 parties) qu’un identificateur figure dans un enregistrement du SNDAI et les ressources requises (des 2 parties) pour atténuer le risque en question. Figure 1 Aperçu du cheminement des données 2.4.2 Accès au SNDAI Le SNDAI vise à favoriser l’apprentissage et l’échange dans un environnement où l’anonymat des fournisseurs de données revêt une importance capitale. Outre l’utilisation de pseudonymes (consulter la section 2.2.1.2, Outil de communication), la gestion de l’accès permet de s’assurer que seules les personnes autorisées peuvent accéder aux données du SNDAI et les utiliser. 16 Évaluation des incidences sur la vie privée du Système national de déclaration des accidents et incidents, novembre 2015 Gestion de l’accès Le processus d’autorisation de l’accès au SNDAI résulte de l’effort coordonné des organismes participants et des Services centraux à la clientèle (SCC) de l’ICIS, qui gèrent l’autorisation et la révocation des accès conformément aux processus établis du système de gestion de l’accès (SGA). Les éléments clés du processus de gestion de l’accès prévoient ce qui suit : • Clients – conclusion d’une entente de service avec l’ICIS; – désignation d’une personne-ressource de l’organisme; – soumission du nom des utilisateurs désignés par la personne-ressource de l’organisme. • Authentification par les SCC des demandes d’accès des utilisateurs désignés – en vérifiant que les utilisateurs désignés sont affiliés à l’organisme en question; – en communiquant avec la personne-ressource de l’organisme pour faire les vérifications requises sur l’utilisateur désigné et obtenir de celle-ci l’autorisation d’accorder l’accès; – en accordant les privilèges d’accès appropriés après authentification. • Vérification par les sections de l’ICIS des courriels générés par AMS Listener (voir ci-dessous) une fois que les SCC ont accordé l’accès. AMS Listener AMS Listener (ou Listener) est une fonction de notification facultative visant à réduire davantage les risques d’accès non autorisés aux services à accès restreint de l’ICIS. Listener envoie automatiquement 2 courriels chaque fois que les SCC accordent l’accès à un utilisateur, soit un à la section SNDAI et un à la boîte de réception centrale des SCC. Les courriels ont pour but d’amorcer une vérification de l’accès accordé. Si le personnel de la section soupçonne ou confirme que le type d’accès accordé est inapproprié, il en avise immédiatement les SCC afin que l’accès soit désactivé. Il envoie ensuite un courriel à [email protected] conformément au Protocole de gestion des incidents liés au respect de la vie privée et à la sécurité de l’information de l’ICIS. Accès aux données du SNDAI Une seconde série d’exigences en matière de gestion de l’accès a été instaurée pour le SNDAI. Ces exigences sont fondées sur les étapes requises pour créer et remplir les enregistrements du SNDAI. Le tableau 1 résume le type de données auxquelles les utilisateurs peuvent accéder à partir du moment où des enregistrements d’accident ou incident sont créés jusqu’au moment où ils sont intégrés au dépôt de données du SNDAI. 17 Évaluation des incidences sur la vie privée du Système national de déclaration des accidents et incidents, novembre 2015 Tableau 1 Accès des utilisateurs au cours du traitement des enregistrements du SNDAI, selon l’affiliation de l’utilisateur Accès selon l’affiliation de l’utilisateur Étape du traitement des enregistrements Étape 1 : Présoumission (ébauche) Fournisseur de Fournisseur de données données (établissement (établissement source) non source) ICIS (équipe du SNDAI) Organisme partenaire Enregistrements individuels : les enregistrements sont saisis dans le SNDAI, mais ne sont pas soumis. Téléversement en lots : les enregistrements se retrouvent dans le système de déclaration du fournisseur de données; aucun enregistrement n’a été extrait au moyen de cette méthode. Étape 2 : Soumission (sujet à examen) Les enregistrements sont soumis individuellement ou en lots au moyen de l’outil de déclaration du SNDAI. Les enregistrements sont soumis au processus de qualité des données en 2 étapes : 1. examen automatique des données codifiées 2. examen manuel des champs de texte Étape 3 : Intégration (final) Le processus de qualité des données en 2 étapes est terminé et les problèmes ont été corrigés. Les enregistrements sont dépersonnalisés et intégrés au dépôt de données du SNDAI à des fins d’analyse et de production de rapports. Les rapports sont anonymes et n’identifient pas les établissements sources Les rapports sont anonymes et n’identifient pas les établissements sources Les utilisateurs peuvent explorer les données en passant des totaux agrégés aux enregistrements dépersonnalisés. 2.4.3 Données du SNDAI accessibles aux tiers demandeurs de données Jusqu’à présent, le personnel du SNDAI n’a traité aucune demande de données formulée par de tierces parties. Toute demande sera examinée au cas par cas conformément à la Politique de respect de la vie privée 2010 de l’ICIS. Seul l’ICIS peut répondre aux demandes de données provenant de tierces parties. Comme il est indiqué dans chaque entente relative au SNDAI, les fournisseurs de données et les organismes partenaires doivent transmettre les demandes de tierces parties directement à l’ICIS (sauf dans le cas de la divulgation de leurs propres données). 18 Évaluation des incidences sur la vie privée du Système national de déclaration des accidents et incidents, novembre 2015 3 Analyse du respect de la vie privée L’ICIS se conforme à sa Politique de respect de la vie privée relative à la collecte, à l’utilisation, à la divulgation et à la conservation des renseignements personnels sur la santé et des données dépersonnalisées 2010 (Politique de respect de la vie privée 2010) ainsi qu’à toute loi ou entente applicable relative à la protection de la vie privée. 3.1 Textes législatifs régissant l’ICIS et le SNDAI Législation L’ICIS est un collecteur secondaire de renseignements sur la santé. Il utilise plus particulièrement ces renseignements à des fins de planification et de gestion du système de santé, y compris d’analyse statistique et de production de rapports. Il incombe aux fournisseurs de données de respecter les obligations légales de leur province ou de leur territoire, le cas échéant, au moment de la collecte des données. L’Alberta, la Saskatchewan, le Manitoba, l’Ontario, le Nouveau-Brunswick, Terre-Neuve-etLabrador et la Nouvelle-Écosse disposent de lois sur la protection des renseignements personnels sur la santé. Le Yukon, les Territoires du Nord-Ouest et l’Île-du-Prince-Édouard travaillent à la mise en œuvre de telles lois. Les lois sur la protection des renseignements personnels sur la santé autorisent les établissements de santé à divulguer des renseignements personnels sur la santé sans le consentement du patient pour les besoins du système de santé et à condition que certaines exigences soient remplies. L’ICIS est par exemple reconnu comme une entité prescrite en vertu de la Loi sur la protection des renseignements personnels sur la santé de l’Ontario. Les dépositaires de renseignements sur la santé en Ontario peuvent divulguer des renseignements personnels sur la santé à l’ICIS sans le consentement des patients en vertu de l’article 29, comme le prévoit l’alinéa 45(1) de la Loi. Les établissements situés dans des provinces et des territoires qui ne disposent pas de lois sur la protection des renseignements personnels sur la santé sont assujettis aux lois régissant le secteur public. Celles-ci donnent aux établissements le droit de divulguer des renseignements personnels à des fins statistiques sans le consentement de la personne concernée. Ententes Comme il est indiqué à la section 2.4, les données sont acheminées directement du fournisseur de données à l’ICIS. En général, le cheminement des données du SNDAI est régi par la Politique de respect de la vie privée 2010 de l’ICIS, par la législation en vigueur dans les provinces et les territoires concernés et par les ententes de partage déjà mises en place avec les provinces et les territoires. Les ententes de partage des données établissent les critères relatifs au but, à l’utilisation, à la divulgation, à la conservation et à la destruction des renseignements personnels sur la santé soumis à l’ICIS, ainsi qu’à toute divulgation subséquemment permise. Les ententes décrivent aussi l’autorité législative en vertu de laquelle les renseignements personnels sur la santé sont divulgués à l’ICIS. 19 Évaluation des incidences sur la vie privée du Système national de déclaration des accidents et incidents, novembre 2015 Les fournisseurs de données participants au SNDAI sont tenus de signer une entente de service qui stipule leurs obligations en matière d’accès aux données du SNDAI, de sécurité ainsi que d’utilisation et de divulgation des données. Seuls les fournisseurs de données qui ont signé une entente de service avec l’ICIS peuvent consulter, soumettre et modifier leurs propres enregistrements d’accident ou incident (données du fournisseur de données) dans le dépôt de données du SNDAI (c.-à-d. ils ont accès en mode lecture et écriture à leurs données dans le SNDAI). Cette entente est signée par un supérieur de l’organisme afin que les clients soient bien conscients de leurs responsabilités en tant qu’organisme et des responsabilités de chacun de leurs utilisateurs. Les organismes partenaires concluent avec l’ICIS une entente de partage de données qui leur permet d’accéder au SNDAI aux fins stipulées dans l’entente. Chaque entente est propre à chaque organisme partenaire et définit les modalités en vertu desquelles les données agrégées et dépersonnalisées au niveau de l’enregistrement peuvent être consultées, utilisées et divulguées. Dans l’ensemble, les modalités énoncées dans l’entente de service comprennent, entre autres : • une interdiction d’utiliser les données du SNDAI soumises par des fournisseurs de données pour tenter d’identifier des personnes, des établissements de santé, des régies régionales de la santé, des ministères, des provinces ou des territoires; • une interdiction de divulguer les données au niveau de l’enregistrement soumises par les fournisseurs de données sans le consentement préalable écrit du fournisseur dont les données seront divulguées (sauf aux fins de divulgation de données qu’il a soumises, s’il y a lieu); • une obligation d’aviser immédiatement l’ICIS de tout accès ou utilisation non autorisé, ou de toute autre violation de la confidentialité ou de la sécurité dont ils ont pris connaissance; • une obligation pour les personnes autorisées à accéder au SNDAI et à utiliser les données de suivre une formation relative au SNDAI. Le respect des modalités des ententes est obligatoire. En cas de non-respect, l’accès aux données du SNDAI pourrait être retiré. 3.2 Premier principe : Responsabilité à l’égard des données dépersonnalisées du SNDAI Le président-directeur général de l’ICIS est responsable de l’observation de la Politique de respect de la vie privée 2010 de l’ICIS. À cet égard, l’ICIS compte sur une chef de la protection des renseignements personnels et avocate générale, une équipe du respect de la vie privée, de la confidentialité et de la sécurité, un sous-comité du Conseil d’administration sur la gouvernance et le respect de la vie privée et un conseiller principal externe à la protection des renseignements personnels. Il incombe aux clients du SNDAI de faire respecter l’entente appropriée (entente de service, entente de partage de données) au sein de leurs propres organismes. Les clients sont également soumis aux lois sur la protection des données en vigueur dans leur province ou territoire et au contrôle indépendant des commissaires à la protection de la vie privée ou leur équivalent. 20 Évaluation des incidences sur la vie privée du Système national de déclaration des accidents et incidents, novembre 2015 3.2.1 Organisation et gouvernance Le tableau ci-dessous présente les principaux postes et groupes à l’interne qui assument les responsabilités de gestion des risques de violation de la vie privée et de la sécurité liés au SNDAI. Poste, groupe Rôle et responsabilités Vice-président, Programmes Responsable du fonctionnement général et de l’orientation stratégique du SNDAI Directeur, Services d’information sur les produits pharmaceutiques et la main-d’œuvre de la santé Responsable du SNDAI ainsi que des décisions stratégiques et opérationnelles liées au SNDAI, et assure le développement efficace du système Gestionnaire, Pharmaceutique Responsable de la gestion continue, du développement et de la mise en œuvre du SNDAI, et préside le Comité consultatif du SNDAI Comité consultatif du SNDAI Responsable de la formulation de suggestions et de conseils pour faciliter la gestion et l’amélioration continues du SNDAI Vice-président et chef des services Responsable de l’orientation stratégique, du fonctionnement général et de la de technologie mise en œuvre des solutions technologiques et de sécurité de l’ICIS Chef de la sécurité de l’information Responsable de l’orientation stratégique et de la mise en œuvre générale du programme de sécurité de l’information de l’ICIS Chef de la protection des renseignements personnels et avocate générale Responsable de l’orientation stratégique et de la mise en œuvre générale du programme de respect de la vie privée de l’ICIS Gestionnaire, Produits STI, Médicaments, Main-d’œuvre de la santé et Dépenses Responsable du respect des exigences techniques permettant le développement et la maintenance continus du SNDAI 3.3 Deuxième principe : Établissement des objectifs des données dépersonnalisées du SNDAI Le SNDAI appuie la collecte, le partage et l’analyse sécuritaires et anonymes des accidents et incidents liés aux médicaments et aux solutions intraveineuses qui surviennent dans des établissements de santé au Canada. Le but est de réduire les risques d’accidents ou incidents médicamenteux préjudiciables en déterminant comment les accidents ou incidents sont survenus et comment des accidents ou incidents semblables pourraient être évités. Les objectifs et l’étendue prévus du SNDAI sont clairement établis dans la présente évaluation des incidences sur la vie privée, dans les rapports et les bulletins du SNDAI, ainsi que sur le site Web de l’ICIS (www.icis.ca). 21 Évaluation des incidences sur la vie privée du Système national de déclaration des accidents et incidents, novembre 2015 3.4 Troisième principe : Consentement pour la collecte, l’utilisation ou la divulgation des données dépersonnalisées du SNDAI L’ICIS obtient les données du SNDAI à des fins de planification et de gestion du système de santé, y compris d’analyse statistique et de production de rapports, conformément aux exigences des autorités législatives pertinentes ou aux accords juridiques régissant le cheminement des données. Les données dépersonnalisées au niveau de l’enregistrement figurant dans le SNDAI sont recueillies dans leur format original par les établissements de santé provinciaux et territoriaux. L’ICIS est un collecteur secondaire et n’a aucun contact direct avec les patients touchés par les accidents ou incidents médicamenteux déclarés au SNDAI. L’ICIS s’attend à ce que les fournisseurs de données respectent leurs rôles et responsabilités en matière de collecte, d’utilisation et de divulgation de données, y compris en ce qui concerne le consentement et les avis, comme le prévoient les lois, les règlements et les politiques en vigueur dans les provinces et les territoires. 3.5 Quatrième principe : Restriction de la collecte de données dépersonnalisées du SNDAI L’ICIS s’engage à respecter le principe de la minimisation des données. Conformément aux articles 1 et 2 de sa Politique de respect de la vie privée 2010, l’ICIS ne recueille des fournisseurs de données que les renseignements personnels sur la santé raisonnablement nécessaires pour les besoins du système de santé, notamment pour l’analyse statistique et la production de rapports, afin d’éclairer la gestion, l’évaluation et la surveillance du système de santé. L’ICIS recueille seulement les données qui sont nécessaires à l’atteinte des objectifs du SNDAI. Le fichier minimal (consulter la section 2.3.1) a été élaboré en collaboration avec un large réseau d’experts comprenant notamment Santé Canada, l’Institut pour la sécurité des médicaments aux patients du Canada et l’Institut canadien pour la sécurité des patients. Le mois et l’année de naissance de même que le sexe des patients et résidents sont des éléments de données facultatifs pour regrouper les accidents et incidents selon l’âge et le sexe des patients ou résidents. En ce qui concerne les dispensateurs de soins, le rôle (p. ex. infirmière autorisée, pharmacien, ambulancier) est également facultatif et peut être utilisé pour regrouper les accidents ou incidents selon le rôle des personnes concernées. Au chapitre du respect de la vie privée, le SNDAI vise à recueillir, à partager et à analyser les accidents et incidents liés aux médicaments et aux solutions intraveineuses de façon sécuritaire et anonyme, et à en discuter, sans identifier les patients, les résidents, les professionnels de la santé, les établissements de santé, les régies régionales de la santé, les provinces ou les territoires. La caractéristique la plus importante du SNDAI réside dans le fait qu’il ne recueille aucun identificateur direct ou indirect des patients, des dispensateurs ou des établissements (consulter la section 2.3). 22 Évaluation des incidences sur la vie privée du Système national de déclaration des accidents et incidents, novembre 2015 Les données recueillies par l’ICIS aux fins du SNDAI visent 6 domaines : la découverte de l’accident/incident, les répercussions de l’accident/incident, les détails sur l’accident/incident médicamenteux, les renseignements sur le médicament et, s’il y a lieu, les caractéristiques des patients/résidents (année et mois de naissance et sexe) de même que les examens et les résultats (consulter la section 2.3.1). Le SNDAI recueille des données pour atteindre ses objectifs. Il n’inclut pas d’identificateurs directs (p. ex. information permettant d’identifier un patient ou résident comme le nom, le numéro d’assurance-maladie, le numéro de dossier, la date d’admission ou de sortie, ou d’identifier un dispensateur comme le nom ou le numéro d’inscription). Seuls les 5 champs de texte suivants pourraient contenir des renseignements permettant d’identifier un patient, un dispensateur ou un établissement : i. Description de l’accident/incident ii. Stratégies futures/recommandations iii. Actions ou circonstances qui ont permis d’éviter un préjudice iv. Nom de médicament spécial v. Numéro de lot du médicament Actuellement, les champs de texte sont examinés manuellement sur une base quotidienne (consulter le tableau 1) pour tous les accidents ou incidents soumis au SNDAI. L’équipe de soutien du SNDAI s’assure qu’il n’ait fait mention d’aucun renseignement sur un patient, un dispensateur ou un établissement qui permettrait d’identifier la source de l’accident ou de l’incident ou les parties concernées. Jusqu’à présent, aucun identificateur de patient n’a été décelé dans les 24 000 enregistrements d’accident ou incident médicamenteux soumis au SNDAI. En revanche, 39 identificateurs d’établissement et 46 identificateurs de dispensateur ont été décelés et supprimés avant la soumission des enregistrements au SNDAI. Lorsque la méthode de téléversement en lots a été introduite en 2013, le risque qu’un identificateur puisse figurer dans les champs de texte a été revu. Il a été déterminé que ce risque pourrait augmenter pour les raisons suivantes : • les écarts de qualité des données entre les fournisseurs de données (surtout dans le cas des utilisateurs régionaux où le nombre d’établissements de santé inscrits serait à la hausse); • un risque accru d’erreurs humaines attribuables à l’importante hausse prévue du volume de données soumises et à une soumission plus fréquente des données. L’équipe du SNDAI examine tous les enregistrements d’accidents ou incidents soumis en lots afin de déceler la présence d’identificateurs, comme elle le fait avec les enregistrements soumis individuellement. Comme il est indiqué à la section 2.4.1, l’équipe de soutien du SNDAI peut décider après un certain temps de procéder à un examen plus limité des champs de texte, au cas par cas. Cette décision peut être prise en fonction du niveau d’expérience du fournisseur de données et du respect des exigences de soumission, des processus de qualité des données en place à l’établissement déclarant et de la qualité des données reçues. 23 Évaluation des incidences sur la vie privée du Système national de déclaration des accidents et incidents, novembre 2015 Risque de violation de la vie privée — identificateurs de patients, de dispensateurs ou d’établissements que les fournisseurs de données ont soumis par inadvertance au SNDAI Mesures d’atténuation actuellement en place • Comme il est indiqué à la section 2.4.1, les champs de texte de tous les enregistrements d’accidents et incidents sont examinés manuellement pour s’assurer qu’ils ne comprennent pas d’identificateurs associés aux patients, aux résidents, aux dispensateurs de soins et aux établissements de santé. • Les ententes conclues avec les fournisseurs de données et les organismes partenaires stipulent que ces derniers ne peuvent pas utiliser les données du SNDAI pour essayer d’identifier des personnes, des établissements de santé, des régies régionales de la santé, des ministères, des provinces ou des territoires. • L’équipe du SNDAI encourage fortement les personnes autorisées à accéder au système et à l’utiliser à suivre une formation. Les utilisateurs sont avisés que le SNDAI est un système anonymisé et qu’aucun identificateur ne doit être entré dans les champs de texte. • Les ententes conclues avec les organismes partenaires précisent que ces derniers doivent aviser l’ICIS s’ils pensent avoir accès à des données permettant l’identification (ou pouvant le permettre); dans ce cas, l’ICIS peut demander que l’enregistrement soit détruit de façon sécuritaire. Évaluation du risque i Le risque a été jugé faible après l’application de la Méthodologie d’évaluation des risques liés au respect de la vie privée et à la sécurité. Aucune recommandation n’a été formulée. L’équipe du SNDAI réexaminera toutefois le processus de vérification au cas par cas des champs de texte des enregistrements soumis en lots. Toute réévaluation de cette nature doit être intégrée au registre des risques liés au respect de la vie privée et à la sécurité ii. i. ii. 24 L’évaluation du risque consiste à calculer la probabilité d’un risque et son incidence pour déterminer le préjudice qui pourrait en résulter. Un risque est classé comme étant faible, moyen ou élevé, selon la matrice de l‘analyse des risques. Un risque classé comme étant élevé est signe d’une menace grave et d’un traitement immédiat. Le registre est une liste consolidée qui énumère les risques de violation de la vie privée et de la sécurité, qui ont été détectés par l’ICIS. Évaluation des incidences sur la vie privée du Système national de déclaration des accidents et incidents, novembre 2015 3.6 Cinquième principe : Restriction de l’utilisation, de la divulgation et de la conservation des données dépersonnalisées du SNDAI 3.6.1 Restriction de l’utilisation L’ICIS restreint l’utilisation des données du SNDAI aux objectifs autorisés décrits à l’article 3.3. Cela comprend les analyses comparatives au sein des provinces et des territoires ainsi qu’entre ceux-ci, les analyses des tendances visant à évaluer ou à surveiller l’incidence de tout changement en matière de politiques, de pratiques et de prestation de services, ainsi que la production de statistiques pour éclairer la planification, la gestion et l’amélioration de la qualité. Le personnel de l’ICIS est autorisé à accéder aux données et à les utiliser uniquement lorsque cela est nécessaire, notamment pour la gestion du traitement et de la qualité des données, la production de statistiques et de fichiers de données, ainsi que la réalisation d’analyses. Tous les membres du personnel de l’ICIS doivent signer une entente de confidentialité au moment de leur embauche, et sont ensuite tenus de renouveler chaque année leur engagement à l’égard du respect de la vie privée. Renvoi des données au fournisseur de données En plus du renvoi des données aux établissements déclarants, l’article 34 de la Politique de respect de la vie privée 2010 de l’ICIS stipule que l’ICIS peut remettre les enregistrements au ministère de la Santé concerné, pour des motifs de qualité des données ou à d’autres fins inscrites dans son mandat (p. ex. la planification, l’évaluation et l’affectation des ressources relativement à la gestion des services de santé et de la santé de la population). Le renvoi des données au fournisseur de données est considéré comme une utilisation et non comme une divulgation. Comme il est prescrit à la section 2.2.1.3, l’ICIS peut retourner les données du SNDAI au moyen de l’outil d’analyse du SNDAI. L’ICIS transmet systématiquement aux fournisseurs de données des rapports de qualité des données (p. ex. rapports de soumission) sur les résultats de leur soumission de données au SNDAI (consulter la section 2.4.1). En vertu de l’entente de service, les fournisseurs de données peuvent, à leurs propres risques, divulguer leurs propres données identifiables selon les modalités de leur choix ou renoncer à la confidentialité d’une partie ou de la totalité de leurs données. Diffusion publique Dans le cadre de son mandat, l’ICIS publie uniquement des données agrégées en s’assurant de réduire au minimum le risque d’identification et de divulgation par recoupements. Ainsi, des statistiques agrégées et des analyses sont publiées dans des rapports et affichées sur le site Web de l’ICIS (www.icis.ca). En général, il faut un regroupement d’au moins 5 observations par cellule. Dans le cadre des études et des rapports d’analyse, les organismes partenaires du SNDAI ne peuvent pas publier de données agrégées contenant moins de 5 observations, à moins d’une autorisation écrite préalable du ou des fournisseurs de données. 25 Évaluation des incidences sur la vie privée du Système national de déclaration des accidents et incidents, novembre 2015 3.6.2 Restriction de la divulgation Comme il est précisé à la section 3.1, les clients qui signent une entente de service ou de partage de données sont tenus de respecter les modalités bien précises en matière de divulgation des données du SNDAI. Il est interdit aux clients (fournisseurs de données et organismes partenaires) de divulguer des enregistrements d’accidents ou incidents, sauf dans les cas permis en vertu de l’entente, et à moins que la loi ne l’exige ou si une autorisation écrite préalable du fournisseur de données a été obtenue de l’ICIS. Demandes de données par des tiers Comme il est mentionné à la section 2.4.3, aucune demande de données formulée par des tiers n’a été traitée jusqu’à présent. Seul l’ICIS peut répondre aux demandes de données provenant de tierces parties; les organismes qui reçoivent des données du SNDAI en vertu des modalités d’une entente de partage de données doivent transmettre de telles demandes à l’ICIS. Une évaluation des risques de violation de la vie privée doit être réalisée avant que l’ICIS ne réponde à une demande de données formulée par une tierce partie. En outre, les données doivent être divulguées conformément à la Politique de respect de la vie privée 2010 et par l’intermédiaire du programme de demandes de données par des tiers, qui contient des mesures de contrôle appropriées de la vie privée et de la sécurité et s’assure de leur respect par l’organisme demandeur. 3.6.3 Restriction de la conservation Les données du SNDAI font partie des banques d’information de l’ICIS. Conformément à son mandat et à ses fonctions de base, l’ICIS peut conserver cette information aussi longtemps que nécessaire pour la réalisation des fins déterminées. La collecte de données a commencé en novembre 2008. Les clients peuvent conserver les données et les produits analytiques du SNDAI tant que leur entente avec l’ICIS est en vigueur. Les fournisseurs de données peuvent conserver leurs propres données conformément aux politiques de conservation de leur organisme. 3.7 Sixième principe : Exactitude des données dépersonnalisées L’ICIS s’est doté d’un programme exhaustif sur la qualité des données. Tout problème connu de qualité des données est réglé par le fournisseur de données ou consigné dans la documentation sur les limites des données, que tous les utilisateurs peuvent consulter. La qualité des données est comprise dans le cours d’apprentissage en ligne sur le SNDAI et les ressources connexes. Les données du SNDAI sont soumises par voie électronique, ce qui réduit les risques d’erreur de transmission. Des contrôles de validation sont intégrés à l’outil de déclaration des accidents et incidents pour empêcher la soumission de données inexactes. L’ICIS met en application des politiques et des vérifications de la qualité des données afin de s’assurer que celles-ci sont précises et utilisables. 26 Évaluation des incidences sur la vie privée du Système national de déclaration des accidents et incidents, novembre 2015 Une fois que les enregistrements ont été soumis au SNDAI, l’équipe de soutien du SNDAI peut signaler tout problème potentiel de qualité des données. Le personnel de l’ICIS ne modifiera aucun enregistrement, mais il peut envoyer un message au fournisseur de données lui demandant d’examiner des éléments de données particuliers. Les utilisateurs du SNDAI peuvent modifier leurs propres enregistrements (propres données) et demander qu’un enregistrement soumis soit supprimé du SNDAI. À l’instar d’autres banques de données de l’ICIS, le SNDAI se conforme à la politique d’évaluation du cadre de la qualité des données de l’ICIS et fait l’objet d’une évaluation de la qualité des données fondée sur le cadre. Ce processus comprend de nombreuses activités visant à évaluer les diverses dimensions de la qualité, dont l’exactitude des données du SNDAI. 3.8 Septième principe : Mesures de protection des données dépersonnalisées Cadre de respect de la vie privée et de sécurité de l’ICIS L’ICIS a élaboré un Cadre de respect de la vie privée et de sécurité en vue d’offrir une approche globale de gestion du respect de la vie privée et de la sécurité. Fondé sur les pratiques exemplaires qui ont cours dans les secteurs public, privé et de la santé, le cadre est conçu de façon à coordonner les politiques de l’ICIS en matière de respect de la vie privée et de sécurité et à offrir une vision intégrée des pratiques de gestion de l’information adoptées par l’organisme. Les paragraphes qui suivent décrivent les aspects de la sécurité des systèmes de l’ICIS qui revêtent une importance particulière au regard du SNDAI. Sécurité des systèmes L’ICIS reconnaît que l’information ne peut être considérée comme sécurisée que si elle est protégée pendant tout son cycle de vie, c’est-à-dire à chaque étape des processus de création, de collecte, d’accès, de conservation, de stockage, d’utilisation, de divulgation et d’élimination. Par conséquent, l’ICIS a adopté un ensemble complet de politiques qui précisent les contrôles nécessaires à la protection de l’information en format physique et électronique, y compris à l’étape du chiffrement et de l’élimination. Ces politiques ainsi que les normes, lignes directrices et procédures opérationnelles qui s’y rattachent sont conformes aux pratiques exemplaires en matière de respect de la vie privée, de sécurité de l’information et de gestion des dossiers, afin de garantir la confidentialité, l’intégrité et la disponibilité des actifs informationnels de l’ICIS. Les registres de contrôle et de vérification du système font partie intégrante du programme de sécurité de l’information de l’ICIS. Qui plus est, ces registres sont immuables. En général, l’ICIS effectue des analyses à l’aide de données dépersonnalisées au niveau de l’enregistrement. L’ICIS a mis au point des méthodes privilégiées de collecte des données qui définissent les pratiques standards assurant la soumission des données en toute sécurité. Les 2 modes de soumission des données sur les accidents et incidents (individuelle ou en lots) utilisés par les fournisseurs de données sont conformes à la norme sur la collecte de données sur la santé (Health Data Collection Standard). Les employés de l’ICIS sont sensibilisés à l’importance de 27 Évaluation des incidences sur la vie privée du Système national de déclaration des accidents et incidents, novembre 2015 maintenir la confidentialité des renseignements personnels sur la santé et d’autres types d’information sensible au moyen d’un programme de formation obligatoire sur le respect de la vie privée et la sécurité, et par l’intermédiaire de communications continues concernant les politiques et procédures de l’ICIS à ce sujet. Avant chaque tentative de connexion à un système d’information de l’ICIS, les employés doivent confirmer qu’ils comprennent l’interdiction d’accéder à ce système ou de l’utiliser sans autorisation préalable expresse de l’ICIS ni au-delà de cette autorisation. De façon plus générale, l’ICIS a établi des pratiques de sécurité physiques, techniques et administratives visant à assurer la confidentialité et la sécurité de ses banques de données. L’ICIS s’engage à protéger son écosystème de TI, à sécuriser ses banques de données ainsi qu’à protéger l’information au moyen de mesures de sécurité administratives, physiques et techniques, selon la nature délicate de l’information. Les vérifications représentent une composante importante du programme global de sécurité de l’information de l’ICIS. Elles visent à assurer le respect des pratiques exemplaires et à évaluer la conformité avec l’ensemble des politiques, des procédures et des pratiques de sécurité de l’information mises en œuvre par l’ICIS. Les vérifications servent entre autres à évaluer • la conformité, sur le plan technique, des systèmes de traitement de l’information aux pratiques exemplaires ainsi qu’aux normes de sécurité et aux normes architecturales connues; • la capacité de l’ICIS à protéger l’information et les systèmes de traitement de l’information contre les menaces et les vulnérabilités; • la posture de sécurité globale de l’infrastructure technique de l’ICIS, notamment les réseaux, les serveurs, les coupe-feu, les logiciels et les applications. Les évaluations de la vulnérabilité et les tests d’intrusion de son infrastructure et de certaines applications, effectués par des tiers sur une base régulière, constituent une composante importante du programme de vérification de l’ICIS. Toutes les recommandations issues de ces vérifications par des tiers sont consignées dans le registre des recommandations du plan d’action général de l’ICIS, et les mesures qui s’imposent sont prises. 3.9 Huitième principe : Transparence de la gestion des renseignements personnels sur la santé L’ICIS publie de l’information concernant ses politiques sur le respect de la vie privée, ses pratiques relatives aux données et ses programmes de gestion des renseignements personnels sur la santé. Plus précisément, le Cadre de respect de la vie privée et de sécurité et la Politique de respect de la vie privée 2010 de l’ICIS sont accessibles au public sur son site Web (www.icis.ca). 28 Évaluation des incidences sur la vie privée du Système national de déclaration des accidents et incidents, novembre 2015 3.10 Neuvième principe : Accès individuel aux renseignements personnels sur la santé et modification de ceux-ci Les données du SNDAI ne contiennent aucun identificateur personnel (p. ex. le nom, l’adresse ou le numéro d’assurance-maladie). 3.11 Dixième principe : Plaintes concernant le traitement par l’ICIS des renseignements personnels sur la santé Comme il est précisé aux articles 64 et 65 de la Politique de respect de la vie privée 2010 de l’ICIS, les plaintes concernant le traitement par l’ICIS des renseignements personnels sur la santé sont examinées par la chef de la protection des renseignements personnels et avocate générale. Cette dernière peut acheminer une demande ou une plainte au commissaire au respect de la vie privée de la province ou du territoire de l’auteur de la demande ou de la plainte. 4 Résumé de l’évaluation des incidences sur la vie privée et conclusion Le présent document résume l’évaluation que l’ICIS a entreprise en ce qui concerne les incidences du SNDAI sur la vie privée. Un risque de violation de la vie privée a été décelé concernant la mise en œuvre du mode de téléversement en lots. Plus particulièrement, compte tenu de la hausse anticipée du nombre d’accidents et incidents déclarés ainsi que de la fréquence des soumissions en lots, le risque qu’un identificateur soit présent dans un champ de texte a été réexaminé. L’application de la Méthodologie d’évaluation des risques liés au respect de la vie privée et à la sécurité a permis de conclure que le risque était faible. Aucune recommandation n’a été formulée. Il a toutefois été décidé que la section SNDAI continuera à vérifier l’ensemble des champs de texte avant de rendre les données accessibles dans le SNDAI, et ce, pour s’assurer qu’ils ne contiennent pas d’identificateurs. L’équipe du SNDAI continuera de réévaluer le processus d’examen des champs de texte à mesure que la soumission en lots prendra de l’ampleur. Toute modification du processus ou de la cote de risque issue de réévaluations de cette nature doit être inscrite au registre des risques liés au respect de la vie privée et à la sécurité de l’ICIS. L’évaluation sera mise à jour ou révisée conformément à la Politique d’évaluation des incidences sur la vie privée de l’ICIS. 29 Évaluation des incidences sur la vie privée du Système national de déclaration des accidents et incidents, novembre 2015 Annexe — Fichier minimal du Système national de déclaration des accidents et incidents Fichier minimal du SNDAI de l’ICIS — éléments de données Les éléments de données obligatoires et facultatifs sont précisés selon l’importance du préjudice causé par l’accident/incident médicamenteux. O = obligatoire F = facultatif Élément de données 30 s.o. = sans objet Circonstance Évité de déclarable justesse Aucun Léger Modéré Grave Décès 1.0 Répercussions de l’accident/incident 1.1 Description de l’accident/incident médicamenteux F F F F F 1.2 Degré du préjudice O O O O O O O 1.3 Accident/incident médicamenteux grave O O O O O s.o. s.o. 2.0 Découverte de l’accident/incident 2.1 Secteur(s) d’activité O O O O O O 2.2 Service/unité F F F F F F F 2.3 Date à laquelle l’accident/incident a été détecté O O O O O O O 2.4 Heure à laquelle l’accident/incident a été détecté F O † (une) O † (une) O † (une) O † (une) O † (une) O † (une) 2.5 Période de temps pendant laquelle l’accident/incident a été détecté 2.6 Date à laquelle l’accident/incident s’est produit s.o. F F F F F F 2.7 Heure à laquelle l’accident/incident s’est produit s.o. F † (une) F † (une) F † (une) F † (une) F † (une) F † (une) 2.8 Période pendant laquelle l’accident/incident s’est produit 2.9 Dispensateur(s) de soins ou autres personnes qui ont détecté l’accident/incident F F F F F F F 2.10 Dispensateur(s) de soins ou autres personnes impliqués dans l’accident/incident F F F F F F F O F F Évaluation des incidences sur la vie privée du Système national de déclaration des accidents et incidents, novembre 2015 Circonstance Évité de déclarable justesse Élément de données Aucun Léger Modéré Grave Décès 3.0 Caractéristiques des patients/résidents 3.1 Mois et année de naissance s.o. F O O O O O 3.2 Sexe s.o. F O O O O O 4.0 Détails sur l’accident/incident médicamenteux 4.1 Processus d’utilisation des médicaments/ ‡ solutions intraveineuses O O O O O O O 4.2 Problème lié à un médicament/une ‡ solution intraveineuse O O O O O O O 4.3 Administrations répétées s.o. s.o. F F F F F O O O O O O O F F F F F F F O O O O O O ‡ 4.4 Facteur(s) contributif(s) 4.5 Chimiothérapie 5.0 Renseignements sur le médicament 5.1 Type de médicament 5.2 Numéro d’identification du médicament (DIN) 5.3 Nom générique du médicament 5.4 Nom commercial du médicament 5.5 Nom du médicament spécial 5.6 Ingrédients d’une préparation magistrale 5.7 Médicament approprié ou inapproprié * * * * * * * 5.8 Forme posologique F F F F F F F 5.9 Forme posologique incorrecte * * * * * * * 5.10 Concentration F F F F F F F 5.11 Voie d’administration F F F F F F F 5.12 Voie d’administration incorrecte * * * * * * * 5.13 Numéro de lot F F F F F F F 6.0 Examens et résultats 6.1 Patient/résident avisé de l’accident/incident s.o. F F F F F F 6.2 Probabilité de récurrence F F F F F F F 6.3 Intervention(s) requise(s) s.o. s.o. F F F F F 6.4 Séjour prolongé s.o. s.o. s.o. F F F F 6.5 Admission/réadmission non planifiée s.o. s.o. s.o. F F F F 6.6 Bilan de l’analyse des causes fondamentales s.o. F F F F F F 6.7 Stratégies futures/ recommandations F F F F F F F * Remarque Une seule valeur doit être sélectionnée pour les éléments de données 5.2 à 5.6. 31 Évaluation des incidences sur la vie privée du Système national de déclaration des accidents et incidents, novembre 2015 Élément de données 6.8 Actions ou circonstances qui ont permis d’éviter un préjudice 7.0 Identificateurs uniques 7.1 Identificateur du cas du SNDAI 7.2 Numéro de cas de l’établissement de santé 7.3 Identificateur unique de l’établissement de santé Circonstance Évité de déclarable justesse F F Aucun F Léger Modéré Grave s.o. Décès s.o. s.o. s.o. F F F Attribué par l’ICIS F F F F Attribué par l’ICIS Remarques * L'exigence relative aux éléments de données (obligatoire, sans objet ou facultatif) dépend de la sélection du problème associé à un médicament ou à une solution intraveineuse. † Une seule valeur est nécessaire. ‡ Adapté et utilisé avec la permission de MedMARxMD, © 2005 The United States Pharmacopeial Convention, Inc. Tous droits réservés. 32 La production du présent document est rendue possible grâce à un apport financier de Santé Canada et des gouvernements provinciaux et territoriaux. Les opinions exprimées dans ce rapport ne représentent pas nécessairement celles de Santé Canada ou celles des gouvernements provinciaux et territoriaux. Tous droits réservés. Le contenu de cette publication peut être reproduit tel quel, en tout ou en partie et par quelque moyen que ce soit, uniquement à des fins non commerciales pourvu que l’Institut canadien d’information sur la santé soit clairement identifié comme le titulaire du droit d’auteur. Toute reproduction ou utilisation de cette publication et de son contenu à des fins commerciales requiert l’autorisation écrite préalable de l’Institut canadien d’information sur la santé. La reproduction ou l’utilisation de cette publication ou de son contenu qui sous-entend le consentement de l’Institut canadien d’information sur la santé, ou toute affiliation avec celui-ci, est interdite. Pour obtenir une autorisation ou des renseignements, veuillez contacter l’ICIS : Institut canadien d’information sur la santé 495, chemin Richmond, bureau 600 Ottawa (Ontario) K2A 4H6 Téléphone : 613-241-7860 Télécopieur : 613-241-8120 www.icis.ca [email protected] © 2016 Institut canadien d’information sur la santé This publication is also available in English under the title National System for Incident Reporting Privacy Impact Assessment, November 2015. Parlez-nous ICIS Ottawa 495, rue Richmond, bureau 600 Ottawa (Ontario) K2A 4H6 Téléphone : 613-241-7860 ICIS Montréal 1010, rue Sherbrooke Ouest, bureau 300 Montréal (Québec) H3A 2R7 Téléphone : 514-842-2226 ICIS Toronto 4110, rue Yonge, bureau 300 Toronto (Ontario) M2P 2B7 Téléphone : 416-481-2002 ICIS St. John’s 140, rue Water, bureau 701 St. John’s (Terre-Neuve-et-Labrador) A1C 6H6 Téléphone : 709-576-7006 ICIS Victoria 880, rue Douglas, bureau 600 Victoria (Colombie-Britannique) V8W 2B7 Téléphone : 250-220-4100 12175-0116 www.icis.ca Au cœur des données