Évaluation des incidences sur la vie privée du Système de déclaration de l’expérience des patients canadiens, janvier 2015 Notre vision De meilleures données pour de meilleures décisions : des Canadiens en meilleure santé Notre mandat Exercer le leadership visant l’élaboration et le maintien d’une information sur la santé exhaustive et intégrée pour des politiques avisées et une gestion efficace du système de santé qui permettent d’améliorer la santé et les soins de santé Nos valeurs Respect, intégrité, collaboration, excellence, innovation Table des matières Le Système de déclaration de l’expérience des patients canadiens en bref ................................6 1 Introduction ............................................................................................................................7 2 Le Système de déclaration de l’expérience des patients canadiens de l’ICIS .........................7 2.1 Contexte ........................................................................................................................7 2.2 Cheminement des données ...........................................................................................8 3 Analyse du respect de la vie privée ........................................................................................9 3.1 Textes législatifs régissant l’ICIS et le Système de déclaration de l’expérience des patients canadiens .........................................................................................................9 3.2 Premier principe : Responsabilité à l’égard des renseignements personnels sur la santé ........................................................................................................................11 3.3 Deuxième principe : Établissement des objectifs de la collecte de renseignements personnels sur la santé ................................................................................................12 3.4 Troisième principe : Consentement pour la collecte, l’utilisation ou la divulgation de renseignements personnels sur la santé......................................................................12 3.5 Quatrième principe : Restriction de la collecte de renseignements personnels sur la santé ........................................................................................................................13 3.6 Cinquième principe : Restriction de l’utilisation, de la divulgation et de la conservation des renseignements personnels sur la santé ...............................................................15 3.7 Sixième principe : Exactitude des renseignements personnels sur la santé ................. 18 3.8 Septième principe : Mesures de protection des renseignements personnels sur la santé ........................................................................................................................18 3.9 Huitième principe : Transparence de la gestion des renseignements personnels sur la santé ..................................................................................................................20 3.10 Neuvième principe : Accès individuel aux renseignements personnels sur la santé et modification de ceux-ci ............................................................................................20 3.11 Dixième principe : Plaintes concernant le traitement par l’ICIS des renseignements personnels sur la santé ................................................................................................21 4 Résumé de l’évaluation des incidences sur la vie privée et conclusion ................................. 21 Annexe .....................................................................................................................................22 Évaluation des incidences sur la vie privée du Système de déclaration de l’expérience des patients canadiens, janvier 2015 Le Système de déclaration de l’expérience des patients canadiens en bref 1. Le Système de déclaration de l’expérience des patients canadiens (SDEPC) recueillera et déclarera des données sur l’expérience des patients dans le système de santé au Canada, en commençant par les patients hospitalisés dans les établissements de soins de courte durée. Le SDEPC a pour objectif de produire des données uniformisées sur l’expérience des patients partout au pays. Les fournisseurs de soins de santé, les gestionnaires du système de santé, les décideurs et les patients utiliseront les données provenant du SDEPC pour • analyser l’aspect « expérience des patients » de la qualité des soins à des fins de déclaration, de suivi et de comparaison du rendement; • déterminer et orienter l’amélioration de la qualité et de l’efficience et évaluer l’efficacité des interventions en santé afin de mieux soutenir l’intégration des soins et ainsi d’améliorer les soins axés sur le patient. 2. Avec l’apport d’un vaste éventail d’experts, l’Institut canadien d’information sur la santé (ICIS) a piloté l’élaboration d’un outil de sondage normalisé, le Sondage sur les expériences d’hospitalisation des patients canadiens (SEHPC). Les données du SEHPC destinées au nouveau SDEPC se concentreront sur les expériences des patients hospitalisés en soins de courte durée. 3. Le SDEPC renfermera des renseignements personnels sur la santé, y compris les identificateurs des patients, c’est-à-dire les numéros d’assurance-maladie, ainsi que les réponses à des questions sur les expériences des patients et des données démographiques. 4. Les hôpitaux, régies régionales de la santé, conseils de la qualité en santé et ministères de la santé participants, ou leurs mandataires, communiqueront avec les patients après leur sortie de l’hôpital pour recueillir des données au sujet de leurs expériences à titre de patients hospitalisés. Ils transmettront ensuite ces données au SDEPC conformément aux spécifications sur les fichiers de données et prédéterminées du SEHPC. 5. L’ICIS utilisera les données du SDEPC à des fins de déclaration normalisée et d’analyse ainsi que pour le couplage des données à l’échelle de la personne entre les banques de données et au fil du temps. En conformité avec sa Politique de respect de la vie privée 2010, l’ICIS diffusera les données du SDEPC afin de favoriser la rapidité et l’efficacité de la planification et de la prise de décisions concernant le système de santé. 6. Au printemps de 2014, après avoir obtenu l’engagement des provinces et territoires, l’ICIS a commencé à élaborer le SDEPC de façon à être en mesure de recevoir les données dès le 1er avril 2015. 7. Moyennant un soutien supplémentaire éventuel, la collecte des données du SDEPC pourrait s’élargir à d’autres secteurs de la santé, comme les services d’urgence et les soins de longue durée. 6 Évaluation des incidences sur la vie privée du Système de déclaration de l’expérience des patients canadiens, janvier 2015 1 Introduction L’Institut canadien d’information sur la santé (ICIS) recueille et analyse de l’information sur la santé et les soins de santé au Canada. Son mandat consiste à exercer le leadership visant l’élaboration et le maintien d’une information sur la santé exhaustive et intégrée pour des politiques avisées et une gestion efficace du système de santé qui permettent d’améliorer la santé et les soins de santé. L’ICIS obtient des données directement des hôpitaux et d’autres établissements de santé, des établissements de soins de longue durée, des régies régionales de la santé, des praticiens et des gouvernements. Ces données comprennent des renseignements sur la santé concernant les services dispensés aux patients, aux résidents et aux clients, de l’information relative à l’inscription et à la pratique des professionnels de la santé, ainsi que de l’information sur les dépenses de santé. La présente évaluation des incidences sur la vie privée a pour but de faire état des risques de violation de la vie privée, de la confidentialité et de la sécurité associés au SDEPC élaboré par l’ICIS. L’évaluation porte sur l’élaboration à l’ICIS d’un système opérationnel qui, dès le 1er avril 2015, commencera à recevoir des données sur l’expérience des patients que les provinces et territoires ou leurs mandataires auront recueillies au moyen des normes de données du nouveau SDEPC. L’évaluation comprend un examen des 10 principes énoncés dans le Code type sur la protection des renseignements personnels de l’Association canadienne de normalisation qui s’appliquent à l’élaboration de la base de données et aux méthodes de soumission des données au SDEPC. La présente évaluation repose principalement sur le respect de la Politique d’évaluation des facteurs relatifs à la vie privée de l’ICIS. 2 Le Système de déclaration de l’expérience des patients canadiens de l’ICIS 2.1 Contexte Pour offrir des soins axés sur le patient, il est essentiel de comprendre et d’améliorer l’expérience des personnes qui reçoivent des services et des soins de santé ou qui subissent une intervention. Au Canada, les sondages sur l’expérience des patients sont réalisés actuellement au moyen de différents outils et diverses méthodes de collecte de données, de sorte qu’il est impossible d’établir des comparaisons pancanadiennes. Il faut recourir à un outil de sondage normalisé pour mesurer et améliorer la performance au moyen de rapports comparatifs. 7 Évaluation des incidences sur la vie privée du Système de déclaration de l’expérience des patients canadiens, janvier 2015 Afin de combler les lacunes en matière d’information et le manque d’uniformité des données sur l’expérience des patients, l’ICIS est à mettre en place le SDEPC, qui permettra de recueillir de l’information normalisée comparable sur l’expérience des patients à l’échelle du Canada. L’information provenant du SDEPC nous aidera à mieux comprendre et à comparer les points de vue des patients sur les services, les interventions et les soins, afin d’orienter et d’améliorer les soins axés sur les patients de même que les résultats pour les patients au Canada. Les dispensateurs de soins de santé, les gestionnaires du système de santé et les responsables de l’élaboration des politiques pourront utiliser l’information pour • produire des données comparables sur l’aspect qualité des soins de l’expérience du patient aux fins d’établissement de rapports, de surveillance et de comparaison de la performance; • produire des données qui permettront de déterminer et d’orienter les améliorations à apporter en matière de qualité et d’efficacité, et d’évaluer les interventions en santé pour mieux appuyer l’intégration des soins de manière à offrir des soins qui soient davantage axés sur le patient. Les données recueillies dans le SDEPC au moyen du SEHPC porteront sur 3 gammes de services hospitaliers (médicaux, chirurgicaux et de maternité). Elles pourraient ensuite s’étendre à d’autres secteurs de soins. 2.2 Cheminement des données La figure 1 donne un aperçu du cheminement général que devraient prendre les données du SEHPC soumises au SDEPC. Les hôpitaux, les régies régionales, les conseils de la santé ou les ministères de la Santé (c.-à-d. les fournisseurs de données de l’ICIS) feront un sondage auprès des patients au sujet de leurs expériences des soins hospitaliers dans leur province ou leur territoire respectif. Les établissements, provinces et territoires ont besoin des données soumises à l’ICIS pour améliorer la qualité de la planification, de la prestation et de la gestion des services de santé offerts à leurs patients. L’ICIS, en tant que collecteur et utilisateur secondaire de données sur les expériences des patients, compte sur les données soumises par les fournisseurs de données ou leurs mandataires (p. ex. un tiers chargé par contrat de la réalisation ou de l’administration des sondages sur les expériences des patients pour le compte d’un fournisseur de données et sous sa direction). Les fournisseurs de données doivent extraire de leurs sources de données existantes le fichier minimal (FM) du SEHPC et préparer les données en vue de leur soumission. La soumission des données à l’ICIS devant servir au SDEPC doit respecter les spécifications de soumission et de vérification de l’ICIS. (Avant que les fournisseurs participants soumettent leurs données, l’ICIS leur transmet des spécifications détaillées relatives à la soumission des données.) 8 Évaluation des incidences sur la vie privée du Système de déclaration de l’expérience des patients canadiens, janvier 2015 Une fois les fichiers soumis au moyen du service de soumission électronique Web sécurisé de l’ICIS, le SDEPC traitera les données et produira des rapports d’erreur destinés aux fournisseurs de données (accessibles par les services électroniques en ligne de l’ICIS). Le rapport d’erreur décrit les résultats de la soumission du fichier, y compris les problèmes liés à la qualité des données qui ont été constatés lors du traitement des données. Il incombe aux fournisseurs de données d’examiner les commentaires de l’ICIS sur la qualité des données et de renvoyer les enregistrements corrigés, le cas échéant. Figure 1 : Cheminement général des données du Sondage sur les expériences d’hospitalisation des patients canadiens vers le Système de déclaration de l’expérience des patients canadiens Source Institut canadien d’information sur la santé 3 Analyse du respect de la vie privée 3.1 Textes législatifs régissant l’ICIS et le Système de déclaration de l’expérience des patients canadiens Généralités L’ICIS se conforme à sa Politique de respect de la vie privée 2010 ainsi qu’à toute législation ou entente applicable dans ce domaine. 9 Évaluation des incidences sur la vie privée du Système de déclaration de l’expérience des patients canadiens, janvier 2015 Législation L’ICIS est un collecteur secondaire de renseignements personnels sur la santé, plus particulièrement à des fins de planification et de gestion du système de santé, y compris d’analyse statistique et de production de rapports. Il incombe aux fournisseurs de données de respecter les obligations légales de leur province ou de leur territoire, le cas échéant, au moment de la collecte des données. L’ensemble des provinces et territoires ont des lois sur la protection des renseignements personnels. Ces lois prévoient des mécanismes qui permettent aux organismes publics visés par la loi de divulguer des données identifiables, sans le consentement de la personne, à des fins statistiques. L’Alberta, la Saskatchewan, le Manitoba, l’Ontario, le Nouveau-Brunswick, Terre-Neuve-et-Labrador et la Nouvelle-Écosse disposent aussi de lois sur la protection des renseignements personnels sur la santé octroyant l’autorité légale expresse d’utiliser et de divulguer des renseignements personnels sur la santé sans le consentement de la personne à des fins de gestion du système de santé, y compris d’analyse statistique et de production de rapports. L’ICIS est par exemple reconnu comme une entité prescrite en vertu de la Loi sur la protection des renseignements personnels sur la santé de l’Ontario. Les dépositaires de renseignements en Ontario peuvent divulguer des renseignements personnels sur la santé à l’ICIS sans le consentement du patient en vertu de l’article 29, comme le prévoit l’alinéa 45(1) de la Loi. Ententes Comme indiqué à l’article 2.2, les données sont transmises directement à l’ICIS par les fournisseurs de données (p. ex. les ministères provinciaux ou territoriaux de la Santé, les hôpitaux ou les tiers ayant conclu des ententes avec ces parties à qui incombent la réalisation ou l’administration des sondages sur les expériences des patients). Les processus d’acheminement des données sont régis par la Politique de respect de la vie privée 2010 de l’ICIS, la législation en vigueur dans les provinces et territoires et les ententes de partage des données déjà en place avec les provinces et les territoires. Les ententes de partage des données établissent les critères relatifs au but, à l’utilisation, à la divulgation, à la conservation et à la destruction des renseignements personnels sur la santé à l’ICIS, ainsi que toute divulgation subséquemment permise. Les ententes décrivent aussi l’autorité législative selon laquelle les renseignements personnels sur la santé sont divulgués à l’ICIS. Le cas échéant, les ententes de partage de données en vigueur seront mises à jour pour inclure la transmission de données du SDEPC à l’ICIS, et ce, avant que les données en question soient soumises à l’ICIS. 10 Évaluation des incidences sur la vie privée du Système de déclaration de l’expérience des patients canadiens, janvier 2015 3.2 Premier principe : Responsabilité à l’égard des renseignements personnels sur la santé Le président-directeur général de l’ICIS est responsable de l’observation de la Politique de respect de la vie privée 2010 de l’ICIS. À cet égard, l’ICIS compte sur une chef de la protection des renseignements personnels et avocate générale, une équipe du respect de la vie privée, de la confidentialité et de la sécurité, un comité du Conseil d’administration sur le respect de la vie privée et la protection des données et un conseiller principal externe à la protection des renseignements personnels. Organisation et gouvernance Le tableau qui suit présente les principaux postes de direction de l’ICIS responsables de la gestion des risques en matière de respect de la vie privée et de sécurité pour le SDEPC : Poste et groupe Rôles et responsabilités Vice-président, Programmes Responsable du fonctionnement général et de l’orientation stratégique du SDEPC Directrice, Services d’information sur les soins ambulatoires et de courte durée Responsable de la prise de décisions stratégiques et opérationnelles liées au SDEPC Gestionnaire, Registres de la sclérose en plaques et des remplacements articulaires Responsable de la gestion continue et de la mise en place du SDEPC, de la prise de décisions opérationnelles quotidiennes relatives au SDEPC et du soutien aux groupes de travail et comités du SDEPC Chef de la sécurité de l’information Responsable de l’orientation stratégique et de la mise en œuvre générale du programme de sécurité de l’information de l’ICIS Chef de la protection des renseignements personnels Responsable de l’orientation stratégique et de la mise en œuvre générale du programme de respect de la vie privée de l’ICIS Gestionnaire, Applications de gestion de l’information sur la santé (AGIS), STI Responsable du respect des exigences techniques permettant l’exploitation et l’amélioration continues du SDEPC; agit à titre d’administrateur de système pour le SDEPC Gestionnaire, Services centraux à la clientèle Responsable de la gestion de l’accès restreint des clients externes aux services Web Groupes de travail et comités L’ICIS a mis sur pied 2 groupes de travail provinciaux et territoriaux chargés de fournir des commentaires et des conseils sur les bases de données et les rapports du SDEPC. L’un de ces groupes fournit des conseils sur les exigences opérationnelles et celles du système concernant la collecte et la soumission des données et l’autre, sur l’établissement de paramètres et de rapports relatifs aux expériences des patients. L’ICIS compte aussi continuer de participer à un groupe existant, l’Inter-Jurisdictional Patient Satisfaction Group, qui favorise la communication régulière entre les provinces et territoires. L’ICIS trouve auprès de ce groupe le complément de savoir, d’expertise et de réflexions dont il a besoin pour établir des paramètres et des indicateurs de sondage utiles, ainsi que des processus efficaces en matière de soumission de données et d’opérations. 11 Évaluation des incidences sur la vie privée du Système de déclaration de l’expérience des patients canadiens, janvier 2015 3.3 Deuxième principe : Établissement des objectifs de la collecte de renseignements personnels sur la santé Comme indiqué à l’article 2.1, l’information provenant du SDEPC nous aidera à mieux comprendre et à comparer les points de vue des patients sur les services de santé, les interventions et les soins, en vue d’orienter et d’améliorer les soins axés sur les patients et les résultats pour les patients au Canada. Le SDEPC renfermera des renseignements personnels sur la santé, notamment des identificateurs des patients (les numéros d’assurance-maladie), qui faciliteront le couplage de données à l’échelle des personnes entre les banques de données et au fil du temps. La collecte des identificateurs des patients, par exemple, permet à l’ICIS de coupler les réponses au questionnaire du SDEPC à l’information qu’il détient déjà au sujet des expériences d’un patient avec le système de santé (p. ex. des données sur les séjours à l’hôpital saisies dans la Base de données sur les congés des patients et le Système national d’information sur les soins ambulatoires). Le couplage de ces renseignements s’avère essentiel pour mieux comprendre où les expériences des patients diffèrent et pourquoi elles diffèrent entre les établissements, entre les régions d’une province ou d’un territoire et au Canada. 3.4 Troisième principe : Consentement pour la collecte, l’utilisation ou la divulgation de renseignements personnels sur la santé Les patients répondent sur une base volontaire aux sondages sur leurs expériences qui sont menés dans les provinces et territoires. Pour aider les provinces et territoires à réaliser le sondage, l’ICIS a rédigé un manuel des procédures qu’on peut trouver sur son site Web (www.icis.ca). Le manuel indique l’information à communiquer aux éventuels répondants, notamment des détails sur la façon dont l’ICIS compte utiliser les données. Il décrit comment l’ICIS se propose de coupler les données, notamment de la façon suivante : l’ICIS ajoutera les réponses des participants au sondage à l’information qu’il possède déjà concernant l’expérience des répondants au sein du système de santé. Les données du SDEPC seront transmises à l’ICIS à des fins de planification et de gestion du système de santé, y compris d’analyse statistique et de production de rapports, conformément aux autorités législatives pertinentes ou aux accords juridiques régissant le cheminement des données. L’ICIS est un collecteur secondaire de données et il n’entre pas en contact direct avec les personnes auxquelles se rapportent les données. L’ICIS s’attend à ce que les fournisseurs de données respectent les règles régissant la collecte, l’utilisation et la divulgation des données et s’acquittent de leurs responsabilités en la matière, y compris en ce qui concerne le consentement et les avis, tel que le prévoient les lois, les règlements et les politiques en vigueur dans les provinces et territoires. 12 Évaluation des incidences sur la vie privée du Système de déclaration de l’expérience des patients canadiens, janvier 2015 3.5 Quatrième principe : Restriction de la collecte de renseignements personnels sur la santé L’ICIS s’engage à respecter le principe de la minimisation des données. Conformément aux articles 1 et 2 de sa Politique de respect de la vie privée 2010, l’ICIS ne recueille auprès des fournisseurs de données que les renseignements raisonnablement nécessaires pour les besoins du système de santé, dont l’analyse statistique et la production de rapports, à des fins de gestion, d’évaluation ou de surveillance du système canadien de santé. L’ICIS recueille seulement les renseignements personnels sur la santé qui sont nécessaires aux activités du SDEPC. Un produit livrable important a marqué l’élaboration du SDEPC : déterminer quelle information le système doit recueillir. La plus grande partie de la collecte de données dans le SDEPC se fait au moyen du questionnaire du SEHPC. L’ICIS a élaboré le SEHPC avec l’apport d’un vaste éventail d’intervenants, s’inspirant du sondage des Hospital Consumer Assessment of Healthcare Providers and Systems (HCAHPS) i. Les intervenants comprenaient l’Inter-Jurisdictional Patient Satisfaction Group, Agrément Canada, l’Institut canadien pour la sécurité des patients et la Change Foundation. Le fichier minimal de données recueillies dans le cadre du SEHPC renferme de l’information relative au sondage sur les expériences des patients et d’autres renseignements. Il s’agit là de l’information minimale nécessaire aux activités du SDEPC. La partie du fichier minimal du SEHPC qui concerne la soumission renferme des éléments de données qui vont faciliter le processus de soumission à l’ICIS (p. ex. la soumission de l’identificateur de l’organisation) et des éléments de données se rapportant à la méthodologie du sondage qui sont nécessaires à l’analyse et à la production de rapports (p. ex. taille de l’échantillon, nombre de congés admissibles, méthode d’échantillonnage). On trouvera ci-dessous des exemples d’éléments de données qui seront recueillis par le SEHPC. L’annexe fait état des motifs justifiant la collecte d’éléments de données présentant un risque accru d’identification directe ou indirecte d’une personne. Identificateurs de l’enregistrement • Identificateur de l’organisme source : Identificateur unique attribué par l’ICIS à l’organisme qui dispense les services de santé. Identificateurs du patient • Numéro d’assurance-maladie : Numéro unique attribué par une province ou un territoire à un patient qui a reçu ou qui reçoit des biens ou services liés aux soins de santé. • Identificateur du patient au sein de l’organisme : Identificateur unique (p. ex. un numéro de dossier) attribué par l’organisme à un patient qui a reçu ou qui reçoit des biens ou services liés aux soins de santé. • Date de naissance : L’année, le mois et le jour correspondant à la date de naissance réelle ou officiellement présumée du patient. i. Le sondage des HCAHPS, qui a fait l’objet d’une validation rigoureuse, est utilisé aux États-Unis depuis plus de 10 ans. 13 Évaluation des incidences sur la vie privée du Système de déclaration de l’expérience des patients canadiens, janvier 2015 Renseignements administratifs concernant le sondage • Date de sortie du patient : Date complète à laquelle le patient a officiellement reçu son congé. • Langue du sondage : Code à 3 lettres représentant la langue dans laquelle le sondage a été réalisé. Questions du Sondage sur les expériences d’hospitalisation des patients canadiens • Courtoisie et respect des infirmiers et des infirmières : Code utilisé pour indiquer la fréquence déclarée par le patient à laquelle les infirmiers et les infirmières l’ont traité avec courtoisie et respect. • Fréquence d’écoute attentive des médecins : Code utilisé pour indiquer la fréquence déclarée par le patient à laquelle les médecins l’ont écouté attentivement. • Propreté : Code utilisé pour indiquer la fréquence déclarée par le patient à laquelle sa chambre et sa salle de bain ont été nettoyées. • Indicateur de médicament requis contre la douleur : Code utilisé pour indiquer si le patient a déclaré avoir eu besoin de médicaments contre la douleur. • Effets secondaires possibles décrits : Code utilisé pour indiquer la fréquence déclarée par le patient à laquelle le personnel de l’hôpital lui a décrit les effets secondaires possibles de tout nouveau médicament d’une manière compréhensible. • Information sur l’admission : Code utilisé pour indiquer dans quelle mesure le patient a signalé avoir reçu suffisamment d’information sur son admission à l’hôpital. • Discussion sur l’aide nécessaire à la sortie : Code utilisé pour indiquer si le patient a déclaré que les médecins, les infirmiers, les infirmières ou un autre membre du personnel de l’hôpital lui avaient demandé s’il avait l’aide nécessaire à sa sortie de l’hôpital. • Hôpital recommandé à la famille et aux amis : Code utilisé pour indiquer si le patient recommanderait l’hôpital à ses amis et aux membres de sa famille. • Santé physique générale : Code utilisé pour indiquer l’évaluation que le patient a faite de sa santé physique générale. • Santé mentale ou émotionnelle générale : Code utilisé pour indiquer l’évaluation que le patient a faite de sa santé mentale ou émotionnelle générale. • Niveau de scolarité : Code représentant le niveau de scolarité du patient. • Séjour à l’hôpital pour un accouchement : Code utilisé pour indiquer si la patiente a déclaré que son séjour le plus récent à l’hôpital était pour un accouchement. • Origine ethnique : Appartenance déclarée par le patient à un groupe ou plusieurs groupes sociaux dont les membres ont une tradition nationale ou culturelle commune. Projets spéciaux • Codes et valeurs des projets spéciaux : Champs qui servent à la collecte de données supplémentaires (c.-à-d. des données qui ne sont pas déjà recueillies au moyen du fichier minimal du SEHPC) pour répondre aux besoins en information de l’ICIS, de l’organisme, de l’autorité sanitaire ou du ministère de la Santé. 14 Évaluation des incidences sur la vie privée du Système de déclaration de l’expérience des patients canadiens, janvier 2015 3.6 Cinquième principe : Restriction de l’utilisation, de la divulgation et de la conservation des renseignements personnels sur la santé Restriction de l’utilisation L’ICIS restreint l’utilisation des données du SDEPC aux objectifs autorisés décrits à l’article 3.3. Cela comprend les analyses comparatives au sein des provinces et territoires ainsi qu’entre ceux-ci, les analyses des tendances visant à évaluer ou à surveiller l’incidence de tout changement en matière de politiques, de pratiques et de prestation de services, ainsi que la production de statistiques pour appuyer la planification, la gestion et l’amélioration de la qualité. Le personnel de l’ICIS sera autorisé à accéder aux données et à les utiliser uniquement lorsque cela est nécessaire, notamment pour la gestion du traitement et de la qualité des données, la production de statistiques et de fichiers de données, ainsi que la réalisation d’analyses. Tous les membres du personnel de l’ICIS doivent signer une entente de confidentialité au moment de leur embauche, et sont ensuite tenus de renouveler chaque année leur engagement à l’égard du respect de la vie privée. Depuis 2009, les fichiers de données utilisés à l’interne par l’ICIS à des fins d’analyse ne contiennent aucun identificateur direct, comme les numéros d’assurance-maladie non chiffrés. Le personnel de l’ICIS a accès aux numéros d’assurance-maladie non chiffrés de façon exceptionnelle, uniquement en cas de nécessité. Cet accès est assujetti aux processus internes d’approbation, conformément aux procédures prévues et à la Politique de respect de la vie privée 2010 de l’ICIS. Couplage des données Les données du SDEPC seront couplées à des données d’autres sources que détient l’ICIS. Les données sur les expériences des patients prennent davantage de valeur lorsqu’elles sont couplées au dossier de l’épisode de soins auquel elles se rapportent; un tel couplage fournit de l’information sur la complexité et d’autres aspects pertinents de l’expérience, comme les événements indésirables. Le couplage des données peut accroître le risque d’identification du patient, mais l’ICIS prendra les mesures d’atténuation indiquées plus bas pour réduire ce risque. Les articles 14 à 31 de la Politique de respect de la vie privée 2010 de l’ICIS régissent le couplage des enregistrements contenant des renseignements personnels sur la santé. En vertu de cette politique, l’ICIS autorise le couplage des renseignements personnels sur la santé dans certaines circonstances. Il est généralement permis de coupler des données au sein d’une seule banque de données pour l’usage exclusif de l’ICIS. Les demandes de couplage de données à partir de multiples banques de données pour l’usage exclusif de l’ICIS et toutes les demandes de couplage de données présentées par des tiers sont soumises à un processus interne d’examen et d’approbation. Lors du couplage des données, l’ICIS utilise généralement des numéros d’assurance-maladie chiffrés. Les données couplées demeurent assujetties aux dispositions en matière d’utilisation et de divulgation de la Politique de respect de la vie privée 2010. 15 Évaluation des incidences sur la vie privée du Système de déclaration de l’expérience des patients canadiens, janvier 2015 L’article 24 de la Politique de respect de la vie privée, 2010 de l’ICIS prévoit les critères suivants pour l’approbation des couplages de données : 1. Les personnes dont les renseignements personnels sur la santé sont utilisés pour le couplage de données y consentent au préalable; ou 2. Tous les critères suivants sont respectés : a. L’objectif du couplage de données s’inscrit dans le mandat de l’ICIS. b. Les avantages pour le public sont considérablement plus importants que les risques de violation de la vie privée des personnes. c. Les résultats du couplage de données ne porteront pas préjudice aux personnes concernées par les renseignements personnels sur la santé. d. Le couplage de données s’inscrit dans un projet précis et ponctuel, et les données couplées seront par la suite détruites dans le respect des règles énoncées aux articles 28 et 29. e. Le couplage de données est effectué dans le cadre d’un programme de travail continu et approuvé de l’ICIS; les données sont conservées aussi longtemps que nécessaire pour la réalisation des fins déterminées, après quoi elles sont détruites dans le respect des règles énoncées aux articles 28 et 29. f. Le couplage de données permet de réaliser des économies évidentes par rapport à d’autres méthodes ou est l’unique méthode envisageable. L’article 28 de la Politique de respect de la vie privée 2010 de l’ICIS définit l’exigence selon laquelle l’ICIS doit détruire les renseignements personnels sur la santé et les données dépersonnalisées de manière sûre, à l’aide de méthodes de destruction convenant au format, au support ou à l’appareil, de manière à ce qu’une reconstitution ne soit pas raisonnablement prévisible. L’article 29 de la Politique de respect de la vie privée 2010 de l’ICIS prévoit également que la destruction sécuritaire des données couplées ait lieu dans l’année suivant la publication de l’analyse ou dans les 3 années suivant le couplage, selon la première éventualité, conformément à la norme de destruction de l’information de l’ICIS. Les données couplées dans le cadre d’un programme de travail continu de l’ICIS seront détruites de façon sécuritaire une fois qu’elles ne seront plus utiles à l’atteinte d’un objectif, conformément à la norme de destruction de l’information de l’ICIS. Cette exigence s’applique au couplage de données pour l’usage exclusif de l’ICIS comme aux demandes formulées par des tiers. Renvoi des données au fournisseur L’article 34 de la Politique de respect de la vie privée 2010 de l’ICIS stipule que le renvoi des données à l’établissement de soins de santé qui les avait fournies à l’ICIS ne constitue pas un acte de divulgation, mais bien une utilisation de données. L’ICIS peut renvoyer les données du SDEPC par l’intermédiaire de ses services électroniques en ligne et donne ainsi aux utilisateurs autorisés un accès restreint aux données du SDEPC au moyen de sessions chiffrées à l’aide du protocole SSL, conformément aux normes de l’industrie. 16 Évaluation des incidences sur la vie privée du Système de déclaration de l’expérience des patients canadiens, janvier 2015 Restriction de la divulgation Divulgation publique des données du SDEPC Dans le cadre de son mandat, l’ICIS divulgue uniquement des données agrégées en s’assurant de réduire au minimum le risque d’identification et de divulgation par recoupements. Des statistiques agrégées et des analyses sont publiées sur le site Web de l’ICIS. En général, il faut un regroupement d’au moins 5 observations par cellule. Demandes de données par des tiers Différents utilisateurs, comme les divers ordres de gouvernement, les décideurs du milieu de la santé et les chercheurs, pourraient demander des ensembles de données dépersonnalisées au niveau de l’enregistrement ou des données agrégées sur mesure provenant du SDEPC. L’ICIS administre un programme de demandes de données par des tiers qui prévoit des mesures de contrôle appropriées de la vie privée et de la sécurité et s’assure de leur respect par l’organisme demandeur. En outre, comme le stipulent les articles 45 à 47 de la Politique de respect de la vie privée 2010, l’ICIS s’efforce de divulguer les données dans le plus grand anonymat tout en répondant aux exigences du demandeur en matière de recherche ou d’analyse. Cela signifie que les données sont agrégées dans la mesure du possible. Si les données agrégées ne sont pas suffisamment détaillées pour les besoins définis, l’ICIS peut divulguer au destinataire des données au niveau de l’enregistrement qui ont été dépersonnalisées. La décision est prise au cas par cas, et le destinataire doit au préalable signer avec l’ICIS une entente de protection des données ou un autre instrument juridiquement contraignant. Seuls les éléments de données nécessaires aux fins prévues peuvent être divulgués. En 2009, l’ICIS a adopté une approche en matière de gestion qui tient compte du cycle de vie complet des données. Le Secrétariat à la vie privée et aux services juridiques de l’ICIS a élaboré un processus de surveillance continue de la conformité qui fait partie intégrante de ce cycle de vie. Dans le cadre de ce processus, dont il est responsable, tous les fichiers de données divulgués à des tiers destinataires font l’objet d’un suivi et d’une surveillance de façon à garantir leur destruction sécuritaire à la fin de leur cycle de vie. Avant d’avoir accès aux données, les demandeurs tiers doivent signer une entente de protection des données et ils doivent accepter de se conformer aux conditions et restrictions de l’ICIS concernant la collecte, le but, l’utilisation, la sécurité, la divulgation et le renvoi ou la destruction des données. Les demandeurs de données sont tenus de soumettre une demande par écrit et de signer une entente en vertu de laquelle ils s’engagent à n’utiliser les données qu’aux fins précisées. Toutes les ententes de protection des données conclues avec des tiers précisent que les organismes destinataires doivent veiller à la stricte confidentialité des données dépersonnalisées au niveau de l’enregistrement et qu’ils ne doivent pas divulguer ces données à des personnes à l’extérieur de l’organisme. L’ICIS impose en outre des obligations à ces tiers destinataires, notamment : • des exigences de destruction sécuritaire; • le droit de l’ICIS de procéder à des vérifications; 17 Évaluation des incidences sur la vie privée du Système de déclaration de l’expérience des patients canadiens, janvier 2015 • des restrictions quant à la publication de cellules comprenant moins de 5 observations; • une solide technologie de chiffrement satisfaisant aux normes de l’ICIS ou les surpassant si des appareils informatiques mobiles sont utilisés. Depuis janvier 2011, outre le processus de surveillance de la conformité, qui consiste à s’assurer que les données saisies satisfont aux exigences en matière de destruction de données, la direction Vie privée et Services juridiques communique chaque année avec les tiers destinataires de données pour vérifier qu’ils respectent toujours les obligations énoncées dans le formulaire de demande de données et l’entente de protection des données de l’ICIS qu’ils ont signés. Restriction de la conservation Le SDEPC fait partie des banques d’information de l’ICIS, et conformément à son mandat et à ses fonctions de base, l’ICIS peut conserver cette information aussi longtemps que nécessaire pour la réalisation des fins déterminées. 3.7 Sixième principe : Exactitude des renseignements personnels sur la santé L’ICIS s’est doté d’un programme exhaustif de qualité des données. Tout problème connu de qualité des données est réglé par le fournisseur de données ou consigné dans la documentation sur les limites des données, que l’ICIS fournit à tous les utilisateurs. Comme d’autres banques de données de l’ICIS, le SDEPC fait régulièrement l’objet d’une évaluation de la qualité des données, fondée sur le Cadre de la qualité des données de l’ICIS. De nombreuses activités d’évaluation des diverses dimensions de la qualité, y compris de l’exactitude des données du SDEPC, sont réalisées dans l’application du Cadre. 3.8 Septième principe : Mesures de protection des renseignements personnels sur la santé Cadre de respect de la vie privée et de sécurité de l’ICIS L’ICIS a élaboré un Cadre de respect de la vie privée et de sécurité dans le but d’offrir une approche globale de la gestion du respect de la vie privée et de la sécurité. Fondé sur les pratiques exemplaires qui prévalent dans les secteurs public, privé et de la santé, le cadre est conçu de façon à coordonner les politiques de l’ICIS en matière de respect de la vie privée et de sécurité et à offrir une vision intégrée des pratiques de gestion de l’information adoptées par l’organisme. Les principaux aspects de la sécurité des systèmes en ce qui a trait au SDEPC, qui seront élaborés ultérieurement, sont décrits ci-dessous. 18 Évaluation des incidences sur la vie privée du Système de déclaration de l’expérience des patients canadiens, janvier 2015 Sécurité des systèmes L’ICIS reconnaît que l’information ne peut être considérée comme sécurisée que si elle est protégée pendant tout son cycle de vie, c’est-à-dire à chaque étape des processus de création et de collecte, d’accès, de conservation, de stockage, d’utilisation, de divulgation et d’élimination. Par conséquent, l’ICIS dispose d’un ensemble exhaustif de politiques qui définissent les contrôles nécessaires pour garantir la protection de l’information en format physique et électronique, y compris des mesures rigoureuses de chiffrement et d’élimination. Cet ensemble de politiques, ainsi que les normes, lignes directrices et procédures normalisées connexes, reflètent les pratiques exemplaires en matière de respect de la vie privée, de sécurité de l’information et de gestion des dossiers, afin de garantir la confidentialité, l’intégrité et la disponibilité des actifs informationnels de l’ICIS. Les registres de contrôle et de vérification des systèmes font partie intégrante du programme de sécurité de l’information de l’ICIS et sont immuables. Le travail d’analyse de l’ICIS se fait généralement à partir de données anonymisées au niveau de l’enregistrement, dont le numéro d’assurance-maladie a été retiré ou chiffré. Dans des cas exceptionnels, le personnel peut avoir besoin d’un accès aux numéros d’assurance-maladie originaux. L’article 10 des procédures prévues dans la Politique de respect de la vie privée 2010 de l’ICIS établit des mesures de contrôle rigoureuses pour faire en sorte que l’accès soit approuvé au niveau approprié et dans les circonstances appropriées, et que le principe de la minimisation des données soit respecté en tout temps. L’ICIS tient des registres d’accès aux renseignements personnels sur la santé dans les cas suivants : • accès aux numéros d’assurance-maladie et aux noms des patients (qui sont rarement recueillis) dans les bases de données de production de l’ICIS; • accès aux fichiers de données contenant des renseignements personnels sur la santé extraits des bases de données de production de l’ICIS et mis à la disposition des analystes internes; • changements aux privilèges d’accès dans les bases de données de production. Les employés de l’ICIS sont sensibilisés à l’importance de préserver la confidentialité des renseignements personnels sur la santé et d’autres renseignements de nature délicate au moyen d’un programme de formation obligatoire sur le respect de la vie privée et la sécurité et par l’entremise de communications régulières concernant les politiques et procédures de l’ICIS à ce sujet. Les employés qui tentent d’accéder à un système d’information de l’ICIS, avant chaque tentative d’ouverture de séance, doivent attester et accepter qu’ils ne peuvent pas accéder au système informatique ou l’utiliser sans autorisation expresse préalable de l’ICIS ni au-delà de leur autorisation. 19 Évaluation des incidences sur la vie privée du Système de déclaration de l’expérience des patients canadiens, janvier 2015 L’ICIS s’emploie à protéger son écosystème de TI, à sécuriser ses banques de données ainsi qu’à protéger l’information au moyen de mesures de sécurité administratives, physiques et techniques adaptées à la nature délicate de l’information. Les vérifications représentent une composante importante du programme global de sécurité de l’information de l’ICIS. Elles visent à s’assurer du respect des pratiques exemplaires à évaluer la conformité avec l’ensemble des politiques, des procédures et des pratiques de sécurité de l’information mises en œuvre par l’ICIS. Les vérifications servent entre autres à évaluer la conformité, sur le plan technique, des systèmes de traitement de l’information aux pratiques exemplaires ainsi qu’aux normes de sécurité et aux normes architecturales connues. Ces vérifications servent également à évaluer la capacité de l’ICIS à protéger l’information et les systèmes de traitement de l’information contre les menaces et vulnérabilités, ainsi que la posture de sécurité globale de l’infrastructure technique de l’ICIS, notamment les réseaux, les serveurs, les coupe-feu, les logiciels et les applications. Les évaluations de la vulnérabilité et les tests d’intrusion de l’infrastructure et de certaines applications de l’ICIS, effectués par des tiers sur une base régulière, constituent une composante importante du programme de vérification de l’ICIS. Toutes les recommandations formulées dans le cadre des vérifications par des tiers font l’objet d’un suivi dans le registre des recommandations du plan d’action général de l’ICIS, et les mesures appropriées sont prises. 3.9 Huitième principe : Transparence de la gestion des renseignements personnels sur la santé L’ICIS publie de l’information concernant ses politiques sur le respect de la vie privée, ses pratiques relatives aux données et ses programmes de gestion des renseignements personnels sur la santé. Le grand public peut plus particulièrement consulter le Cadre de respect de la vie privée et de sécurité, 2010 et la Politique de respect de la vie privée 2010 de l’ICIS sur le site Web de l’organisme (www.icis.ca). 3.10 Neuvième principe : Accès individuel aux renseignements personnels sur la santé et modification de ceux-ci L’ICIS n’utilise pas les renseignements personnels sur la santé qu’il détient pour prendre des décisions administratives ou relatives à la santé au sujet des personnes concernées. Les demandes des personnes qui souhaitent avoir accès à leurs renseignements personnels sur la santé seront traitées conformément aux articles 60 à 63 de la Politique de respect de la vie privée 2010. 20 Évaluation des incidences sur la vie privée du Système de déclaration de l’expérience des patients canadiens, janvier 2015 3.11 Dixième principe : Plaintes concernant le traitement par l’ICIS des renseignements personnels sur la santé Comme il est précisé aux articles 64 et 65 de la Politique de respect de la vie privée 2010 de l’ICIS, les plaintes concernant le traitement par l’ICIS des renseignements personnels sur la santé sont examinées par la chef de la protection des renseignements personnels. Cette dernière peut acheminer une demande ou une plainte au commissaire à la vie privée de la province ou du territoire de l’auteur de la demande ou de la plainte. 4 Résumé de l’évaluation des incidences sur la vie privée et conclusion Aucune recommandation n’a été formulée jusqu’ici et les mesures ont été prises pour atténuer les risques relatifs à la vie privée relevés au cours de l’évaluation. L’ICIS mettra à jour ou renouvellera la présente évaluation conformément à sa Politique d’évaluation des facteurs relatifs à la vie privée. 21 Évaluation des incidences sur la vie privée du Système de déclaration de l’expérience des patients canadiens, janvier 2015 Annexe Le tableau qui suit présente les identificateurs personnels et autres éléments de données qui pourraient présenter un risque accru d’identification directe ou indirecte d’une personne, de même que les définitions des éléments de données, de l’information sur le moment où ces données sont recueillies et la justification de leur collecte. 22 Élément/Définition Moment de la collecte Justification de la collecte/commentaires Numéro d’assurance-maladie Numéro unique attribué par une province ou un territoire à un patient qui a reçu ou qui reçoit des biens ou des services liés aux soins de santé. Ce numéro comprend le code de la province ou du territoire qui a délivré le numéro d’assurance-maladie. Élément provenant du système administratif de l’hôpital, requis au moment de la soumission à l’ICIS • À des fins de couplage avec d’autres banques de données de l’ICIS afin d’enrichir la source de données pour les analyses et les déclarations • Pour identifier les patients uniques à l’intérieur d’une province ou d’un territoire Identificateur du patient au sein de l’organisme Identificateur unique (p. ex. un numéro de dossier) attribué par l’organisme à un patient qui a reçu ou qui reçoit des biens ou des services liés aux soins de santé. Élément provenant du système administratif de l’hôpital, requis au moment de la soumission à l’ICIS • À des fins de couplage d’un enregistrement du Sondage sur les expériences d’hospitalisation des patients canadiens avec la visite correspondante à l’hôpital (p. ex. un enregistrement de la Base de données sur les congés des patients) quand un identificateur du patient au sein de l’organisme identifiable est fourni (parallèlement à la date de sortie) • Pour identifier les patients uniques d’un organisme source en l’absence du numéro d’assurance-maladie Date de sortie Date complète à laquelle le patient a officiellement reçu son congé. Élément provenant du système administratif de l’hôpital, au moment de la détermination l’échantillon du sondage • À des fins de couplage d’un enregistrement du Sondage sur les expériences d’hospitalisation des patients canadiens avec la visite correspondante à l’hôpital (p. ex. un enregistrement de la Base de données sur les congés des patients avec un identificateur du patient au sein de l’organisme identifiable) Date de naissance L’année, le mois et le jour correspondant à la date de naissance réelle ou officiellement présumée du patient. Élément provenant du système • Pour déterminer l’âge des patients, administratif de l’hôpital ou fourni un élément nécessaire pour effectuer par le patient lors du sondage. des analyses par âge et améliorer le Peut être utilisé au moment de la couplage avec d’autres banques de détermination de l’échantillon du données de l’ICIS sondage (p. ex. les patients qui ont 18 ans et plus) et au moment de la soumission à l’ICIS Sexe Code utilisé pour indiquer le sexe du patient. Élément tiré du système • Pour permettre l’analyse des administratif de l’hôpital ou fourni différences dans les expériences des par le patient lors du sondage patients selon leur sexe Origine ethnique Appartenance déclarée par le patient à un groupe ou plusieurs groupes sociaux dont les membres ont une tradition nationale ou culturelle commune. Élément fourni par le patient lors • Pour permettre l’analyse des du sondage différences dans les expériences des patients selon les divers groupes ethniques La production du présent document est rendue possible grâce à un apport financier de Santé Canada et des gouvernements provinciaux et territoriaux. Les opinions exprimées dans ce rapport ne représentent pas nécessairement celles de Santé Canada ou celles des gouvernements provinciaux et territoriaux. Tous droits réservés. Le contenu de cette publication peut être reproduit tel quel, en tout ou en partie et par quelque moyen que ce soit, uniquement à des fins non commerciales pourvu que l’Institut canadien d’information sur la santé soit clairement identifié comme le titulaire du droit d’auteur. Toute reproduction ou utilisation de cette publication et de son contenu à des fins commerciales requiert l’autorisation écrite préalable de l’Institut canadien d’information sur la santé. La reproduction ou l’utilisation de cette publication ou de son contenu qui sous-entend le consentement de l’Institut canadien d’information sur la santé, ou toute affiliation avec celui-ci, est interdite. Pour obtenir une autorisation ou des renseignements, veuillez contacter l’ICIS : Institut canadien d’information sur la santé 495, chemin Richmond, bureau 600 Ottawa (Ontario) K2A 4H6 Téléphone : 613-241-7860 Télécopieur : 613-241-8120 www.icis.ca [email protected] © 2015 Institut canadien d’information sur la santé This publication is also available in English under the title Canadian Patient Experiences Reporting System Privacy Impact Assessment, January 2015. Parlez-nous ICIS Ottawa 495, rue Richmond, bureau 600 Ottawa (Ontario) K2A 4H6 Téléphone : 613-241-7860 ICIS Montréal 1010, rue Sherbrooke Ouest, bureau 300 Montréal (Québec) H3A 2R7 Téléphone : 514-842-2226 ICIS Toronto 4110, rue Yonge, bureau 300 Toronto (Ontario) M2P 2B7 Téléphone : 416-481-2002 ICIS St. John’s 140, rue Water, bureau 701 St. John’s (Terre-Neuve-et-Labrador) A1C 6H6 Téléphone : 709-576-7006 ICIS Victoria 880, rue Douglas, bureau 600 Victoria (Colombie-Britannique) V8W 2B7 Téléphone : 250-220-4100 9632-0215 www.icis.ca Au cœur des données