Énoncé sur les pratiques en matière d'information du système Client Health and Related Information System (CHRIS)

Le mandat de Santé Ontario est énoncé dans la Loi de 2019 pour des soins interconnectés. Il comprend la mise en œuvre de stratégies du système de santé élaborées par le ministère de la Santé, par l’intermédiaire de divers services de technologie de l’information et de gestion des données. Ces services comprennent le Client Health and Related Information System (CHRIS).

Notre engagement en matière de confidentialité

Nous sommes déterminés à respecter la vie privée, à conserver les renseignements confidentiels et à assurer la sécurité des renseignements personnels sur la santé (RPS) que nous détenons. Notre engagement se reflète dans notre solide programme de protection de la vie privée.

Cet Énoncé sur les pratiques en matière d’information explique de quelle façon Santé Ontario et les organismes de santé participant au CHRIS gèrent et manipulent les RPS en conformité avec les lois sur la protection de la vie privée et les pratiques exemplaires de l’industrie. Les pratiques décrites dans cet énoncé sont fondées sur les dix principes relatifs à l’équité dans le traitement de l’information du Code type sur la protection des renseignements personnels de l'Association canadienne de normalisation (CSA) et les lois applicables provinciales sur la protection de la vie privée.

Qu’est-ce que le système CHRIS?

Le système CHRIS est une plateforme en ligne provinciale que nous exploitons pour soutenir la prestation de soins à domicile et en milieu communautaire ainsi que le placement en établissements de soins de longue durée des patients de l’Ontario. La plateforme CHRIS contient plusieurs applications numériques que les organismes de santé peuvent utiliser pour coordonner et planifier les soins offerts aux patients. Cela comprend :

  • Referral Management (gestion des orientations) : conserve les documents sur l’orientation de patients reçus par divers moyens dans un volet d’admission unique qui priorise et normalise les orientations.
  • Intake and Eligibility Management (gestion des admissions et de l’admissibilité) : aide à simplifier les processus de triage et d’admission en offrant l’accès à des outils d’évaluation actuels (par exemple, l’instrument d’évaluation des résidents [RAI] qui aide à déterminer l’admissibilité aux programmes de soins à domicile et en milieu communautaire).
  • Equipment and Supply Ordering and Oversight (supervision et commande de l’équipement et des fournitures) : aide les utilisateurs du système CHRIS à commander de l’équipement, suivre les commandes et gérer les factures des fournisseurs.
  • Waitlist Management for Long-Term Care Facilities (gestion de la liste d’attente pour les établissements de soins de longue durée) : aide les coordonnateurs de soins à ajouter facilement des patients aux listes d’attente pour l’admission en foyers de soins de longue durée en Ontario et à suivre leur position dans la liste.
  • Coordinated Care Plan (plans de soins coordonnés) : permet la planification des soins entre les organismes de santé participant aux soins d’un même patient.
  • Health Partner Gateway (espace partenaires santé) : permet de communiquer de façon sécurisée les RPS aux fins de prestation des soins de santé aux patients ou d’assistance à la prestation. Le Health Partner Gateway facilite l’envoi d’avis et d’orientations entre les fournisseurs.

Le système CHRIS est utilisé par les organismes de santé considérés comme des dépositaires de renseignements sur la santé en vertu de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS). Chaque organisme dépositaire qui participe au système CHRIS est appelé un CHRIS Tenant (locataire) et peut fournir des renseignements sur le patient :

  • dans un dépôt propre au locataire CHRIS (tenant specific CHRIS repository) qui est seulement accessible par chaque locataire individuel. Ce dépôt est utilisé par chaque locataire CHRIS pour conserver et gérer des renseignements qui sont seulement utilisés par lui-même, comme des plans, des commandes et des factures pour les services délivrés aux patients par des fournisseurs de services contractuels;
  • dans un dépôt CHRIS partagé (shared CHRIS repository) contenant des RPS utiles à tout locataire CHRIS qui offre des soins à un patient et contribue à l’offre de soins. Ce dépôt peut être consulté par tout locataire CHRIS dans le cadre des soins. Il comprend des données démographiques nécessaires pour bien identifier un patient, et des renseignements sommaires sur les aspects cliniques et la planification, nécessaires pour assurer la continuité des soins.

Rôles liés au système CHRIS en vertu de la LPRPS

Nous sommes soumis à la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS) concernant la gestion de la plateforme électronique CHRIS et les services connexes pour les locataires CHRIS. Lorsque nous gérons les RPS pour les locataires CHRIS, nous assumons les rôles suivants :

Fournisseur d’un réseau d’information sur la santé (FRIS)

Un FRIS fournit des méthodes électroniques d’échange des RPS entre les dépositaires de renseignements sur la santé.1

En tant que FRIS, nous fournissons et gérons la plateforme technique CHRIS pour le dépôt partagé CHRIS. La plateforme permet aux locataires CHRIS (c’est-à-dire, les dépositaires des renseignements sur la santé) d’échanger entre eux, de façon sécurisée, les RPS. En vertu de la LPRPS, en tant que FRIS, nous sommes tenus d’assumer certaines responsabilités, notamment celle de protéger les RPS que nous gérons et la vie privée des personnes à qui ces données appartiennent. De même, chaque locataire CHRIS participant est tenu de signer une entente de participation, attestant de son engagement en tant que dépositaire de renseignements sur la santé à protéger les RPS qu’il gère, et la vie privée des personnes à qui ces données appartiennent.

Fournisseur de services électroniques (FSÉ)

Un FSÉ fournit des services permettant à un dépositaire d’utiliser des méthodes électroniques pour collecter, utiliser, modifier, divulguer, conserver et supprimer des RPS.2

Chaque locataire CHRIS obtient un dépôt CHRIS qui lui est propre. Les données des patients contenues dans chaque dépôt CHRIS sont l’exclusivité des personnes autorisées à agir au nom de ce locataire CHRIS et peuvent être consultées uniquement par ces personnes. Dans le cadre de nos fonctions de FSÉ pour les locataires CHRIS, nous gérons chaque dépôt CHRIS. Ce rôle nous permet de gérer les RPS seulement dans les limites autorisées par chaque dépositaire qui agit à titre de locataire CHRIS.

Mandataire de la LPRPS

Nous pouvons également aider les locataires CHRIS à transférer les RPS du système CHRIS vers un partenaire provincial ou un autre tiers autorisé (par exemple, pour l’évaluation du rendement du système de santé ou des initiatives d’amélioration de la qualité). Dans de tels cas, nous facilitons le transfert des RPS en tant que mandataire de la LPRPS du locataire CHRIS. Nous agissons au nom et avec l’autorisation du locataire CHRIS concerné à des fins légitimes.

Locataires CHRIS et utilisateurs autorisés

Locataires CHRIS

La plateforme électronique CHRIS est seulement disponible pour les organismes dépositaires de renseignements sur la santé qui ont satisfait aux évaluations de Santé Ontario quant à leur niveau de préparation en matière de confidentialité et de sécurité pour participer au système CHRIS. Nous n’intégrons pas d’organismes non dépositaires ni ne passons de marché directement avec eux. Les organismes dépositaires suivants sont actuellement des locataires CHRIS :

  • Établissements des Services de soutien de soins à domicile et en milieu communautaire;
  • Certains hôpitaux ontariens approuvés offrant des programmes de soins regroupés dans la communauté.

Les hôpitaux offrant des programmes de soins regroupés fournissent des services de santé dans leur établissement, mais également des services de santé précis pour certains groupes de patients à leur domicile.

Remarque : les équipes Santé Ontario ne sont pas des locataires CHRIS, mais elles devraient recevoir l’approbation du ministère de la Santé de l’Ontario pour participer au système CHRIS.

Utilisateurs autorisés

Un utilisateur autorisé du système CHRIS est une personne ou un organisme qui est un mandataire de la LPRPS d’un locataire CHRIS et est autorisé par un ou plusieurs locataires CHRIS à accéder à des RPS dans le système CHRIS pour leur compte et en lien avec des responsabilités clairement définies.

Les utilisateurs autorisés individuels (Individual Authorized Users) sont principalement des employés ou des ressources contingentes d’un ou plusieurs locataires CHRIS.

Les organismes utilisateurs autorisés qui ne sont pas des dépositaires de renseignements sur la santé peuvent seulement accéder aux RPS dans le système CHRIS sous l’autorité d’un dépositaire qui est un locataire CHRIS. L’organisme utilisateur autorisé aura conclu des ententes avec un ou plusieurs locataires CHRIS. Ces ententes doivent expliquer quand et pourquoi l’organisme peut accéder aux RPS dans le système CHRIS, ainsi que ses obligations en matière de protection de ces RPS.

Responsabilité relative aux RPS dans le système CHRIS

Surveillance de la protection de la vie privée

Santé Ontario est responsable de s’assurer que les programmes gérés sont en conformité avec la LPRPS. Au plus haut niveau de l’organisme, des personnes sont nommées pour assurer une surveillance appropriée et la conformité avec la LPRPS au quotidien, par le biais d’un solide programme de protection de la vie privée.

Nous avons créé un comité directeur de la protection de la vie privée de CHRIS pour superviser les questions liées à la vie privée des patients, à la protection des RPS, au règlement des différends et aux répercussions sur le programme des modifications apportées aux lois et règlements en matière de protection de la vie privée. Le comité est composé de :

  • membres de l’équipe de protection de la vie privée de Santé Ontario;
  • personnes nommées parmi les locataires CHRIS et les équipes Santé Ontario;
  • représentants d’autres établissements de santé communautaires.

Chaque locataire CHRIS est tenu de désigner à Santé Ontario une seule personne-ressource (coordonnateur de la protection de la vie privée du système CHRIS) pour toutes les questions relatives à la vie privée liées au système CHRIS. Un coordonnateur de la protection de la vie privée du système CHRIS peut être un membre d’un organisme locataire, ou un représentant d’utilisateurs autorisés pour le locataire CHRIS. Le coordonnateur de la protection de la vie privée du système CHRIS aura accès aux RPS dans la plateforme partagée CHRIS et assumera la responsabilité au nom du locataire CHRIS de s’assurer que les organismes utilisateurs autorisés sont en conformité avec la LPRPS et les politiques du système CHRIS conçues pour protéger la vie privée.

Politiques

Santé Ontario a élaboré un ensemble de politiques et procédures en matière de protection de la vie privée qui régissent les protocoles appliqués à la plateforme technologique CHRIS.

Nous avons également mis au point un ensemble de politiques relatives à la protection de la vie privée propres aux dépositaires de renseignements sur la santé participant en tant que membres des locataires CHRIS. Les politiques du système CHRIS énoncent les pratiques générales en matière de protection de la vie privée que chaque locataire CHRIS devrait appliquer pour assurer la conformité à la LPRPS, en particulier lorsque des actions coordonnées entre locataires CHRIS ou avec Santé Ontario doivent être menées.

Ententes avec les organismes dépositaires de renseignements sur la santé

Avant l’intégration au système CHRIS, chaque potentiel locataire CHRIS doit signer une entente cadre sur l’échange des données et les services et un calendrier de prestations de services CHRIS. Ces documents décrivent les rôles et responsabilités de Santé Ontario, des locataires CHRIS et des utilisateurs autorisés qui participent au système CHRIS.

Collecte, utilisation, divulgation et conservation des RPS dans le système CHRIS

Collecte des RPS

Santé Ontario fournit des services aux locataires CHRIS afin qu’ils puissent utiliser le système pour collecter, utiliser et divulguer les données des patients. En offrant cette solution, nous agissons en tant que FRIS et que FSÉ, comme décrit dans le Règlement pris au titre de la LPRPS.

En tant que FRIS et FSÉ, nous ne collectons pas les RPS auprès des patients à nos propres fins.

Les locataires CHRIS collectent les RPS auprès des patients pour faciliter la prestation de services de santé à domicile et en milieu communautaire. Les locataires CHRIS peuvent collecter les RPS auprès des patients ou auprès d’un autre locataire CHRIS en utilisant le dépôt partagé CHRIS.

Utilisation des RPS

Les RPS dans le système CHRIS sont utilisés par les locataires et leurs représentants autorisés aux fins pour lesquelles ils ont été collectés (par exemple, pour planifier et offrir des services de santé à domicile ou en milieu communautaire).

Santé Ontario peut utiliser les RPS dans le système CHRIS seulement lorsque cela est nécessaire pour fournir des services de FRIS ou de FSÉ, par exemple :

  • au besoin, pour maintenir et exploiter les systèmes CHRIS;
  • pour réaliser des audits afin de vérifier que l’accès aux RPS dans le système CHRIS est autorisé, limité et approprié;
  • pour enquêter sur des incidents relatifs au respect de la vie privée ou des atteintes à la vie privée.

Divulgation des RPS

Santé Ontario ne divulgue aucun RPS à ses propres fins, toutefois, nous pouvons divulguer des RPS au nom d’un locataire CHRIS qui a donné son autorisation, ou autrement si la loi le permet ou l’oblige.

Les locataires CHRIS utilisent le système CHRIS pour transmettre des RPS à d’autres locataires afin de permettre la planification et la prestation de services de santé à domicile ou en milieu communautaire. Si Santé Ontario agit en tant que mandataire de la LPRPS pour un locataire CHRIS, nous pouvons divulguer les RPS du locataire CHRIS à un représentant autorisé ou un organisme partenaire de ce locataire.

Les locataires CHRIS doivent s’assurer que toutes les activités de collecte, d’utilisation et de divulgation des RPS réalisées par le biais du système CHRIS sont légales et conformes aux obligations d’un dépositaire de renseignements sur la santé en vertu de la LPRPS.

Conservation des RPS

Les délais de conservation des RPS dans le système CHRIS sont contrôlés par le locataire CHRIS qui a apporté les RPS.

Mesures de sécurité pour la protection des RPS dans le système CHRIS

Santé Ontario a mis en place des mesures de sécurité matérielles, administratives et techniques pour protéger les RPS contre la perte, le vol, l’accès non autorisé, la divulgation, la copie, l’utilisation ou la modification des données. Chaque accord-cadre sur l’échange des données et les services conclu avec un locataire CHRIS énonce les mesures de sécurité précises que nous appliquons pour protéger les RPS dans le système CHRIS. Ce qui suit décrit certaines des mesures mises en œuvre pour protéger les RPS.

Mesures de sécurité matérielles

  • Mesures de contrôle pour sécuriser les locaux, y compris l’accès contrôlé aux bureaux.
  • Niveau secondaire de mesures de contrôle d’accès pour certaines zones de travail où il peut y avoir des données sensibles.
  • Identification appropriée des employés.
  • Vidéosurveillance à des fins d’expertise légale.

Mesures de sécurité administratives

  • Politiques relatives au respect de la vie privée qui énoncent la façon dont Santé Ontario et les locataires CHRIS protègeront les RPS dans le système CHRIS.
  • Conditions utilisateurs énonçant les responsabilités des utilisateurs autorisés pour l’accès aux données sécurisées et leur conservation dans le système CHRIS.
  • Formation sur la confidentialité et la sécurité pour renforcer les protocoles pour la protection des RPS :
    • formation sur la confidentialité et la sécurité de Santé Ontario;
    • les locataires CHRIS sont tenus de respecter la Politique relative à la formation sur la confidentialité CHRIS.
  • Pratiques de gestion des incidents relatifs au respect de la vie privée pour identifier, contenir les incidents et les atteintes à la vie privée et enquêter à leur sujet puis produire des rapports;
    • Si nous recevons un avis d’incident lié à des données dans le système CHRIS, nous communiquons avec le représentant chargé de la protection de la vie privée du locataire CHRIS qui a apporté les RPS dès que cela est raisonnablement possible. Nos représentants respecteront les protocoles généraux énoncés dans le document Politique et procédure de gestion des incidents liés à la protection des renseignements personnels.
    • Les locataires CHRIS doivent repérer et résoudre les incidents relatifs à la vie privée en conformité avec la Politique de gestion des incidents liés à la protection des renseignements personnels CHRIS.
  • Santé Ontario réalisera des évaluations des risques liés à la sécurité et la protection des renseignements personnels pour s’assurer que ces risques relatifs à la plateforme CHRIS sont repérés, atténués et gérés de façon responsable. Nos représentants suivront les lignes directrices énoncées dans la Norme d’évaluation des incidences sur la protection des renseignements personnels et de la Politique de gestion des risques liés à la protection des renseignements personnels.

Mesures de sécurité techniques

  • Adoption des normes de l’industrie pour assurer la sécurité des RPS dans le système CHRIS.
  • Chiffrement appliqué aux données sensibles lors des transmissions.
  • Système de connexion, de surveillance et d’audit pour consigner les consultations et les transferts des RPS.
    • Lors de la réalisation d’un audit sur les consultations de données dans CHRIS, nous respecterons notre Politique d’audit sur la protection des renseignements personnels et de conformité.
    • Les locataires CHRIS sont tenus de réaliser des audits de système pour leurs utilisateurs autorisés, comme décrit dans la Politique d’audit sur la protection des renseignements personnels CHRIS.

Gestion du consentement dans le système CHRIS

En tant que dépositaire de renseignements sur la santé, le locataire CHRIS a la responsabilité d’obtenir et de gérer le consentement des patients.

Chaque locataire CHRIS ayant apporté des RPS dans le système CHRIS devra déterminer la méthode de consentement privilégiée (exprès ou implicite) appliquée. Les locataires CHRIS doivent respecter une directive de consentement donnée expressément par le patient. La plateforme technique CHRIS offre des mécanismes qui peuvent aider un locataire CHRIS à consigner l’obtention du consentement, à mettre en œuvre les directives de consentement ou à retirer ou refuser le consentement, comme décrit dans la Politique sur la gestion du consentement CHRIS.

Consultation ou correction des RPS dans le système CHRIS

Si Santé Ontario reçoit une demande de consultation ou de correction des RPS dans un dossier de patient conservé dans le système CHRIS, la demande sera transmise au locataire CHRIS qui a fourni les RPS, dès que cela sera raisonnablement possible.

Toutes les demandes de patients de consulter leurs RPS doivent être envoyées au locataire CHRIS concerné, qui doit y répondre. Si un patient demande la correction de ses RPS dans le système CHRIS, la demande doit être envoyée au locataire CHRIS concerné, qui doit y répondre.

Les locataires CHRIS sont tenus de gérer les demandes de consultation et de correction dans le système CHRIS, conformément à la Politique de consultation et de correction des données CHRIS et à leurs obligations en tant que dépositaires de renseignements sur la santé en vertu de la LPRPS.

Coordonnées des services de protection des renseignements personnels du système CHRIS

Si vous avez des questions sur la protection de la vie privée liées au système CHRIS ou sur les pratiques connexes de Santé Ontario, ou si vous avez des préoccupations au sujet d’un locataire CHRIS, veuillez nous envoyer un courrier ou un courriel.

Adresse postale :
Chef de la protection des renseignements personnels Services juridiques, confidentialité et risques
Santé Ontario
500-525, avenue University
Toronto, ON M5G 2L7

Courriel : privacy@ontariohealth.ca

Vous avez également le droit de faire part de vos préoccupations ou plaintes au sujet des pratiques de gestion de l’information du système CHRIS à la Commissaire à l’information et à la protection de la vie privée de l’Ontario.

Commissaire à l'information et au respect de la vie privée de l'Ontario
2, rue Bloor Est, Bureau 1400
Toronto, ON M4W 1A8

Téléphone : 416-326-3333 ou 1-800-387-0073
ATS : 416-325-7539
Courriel : info@ipc.on.ca

Dernière mise à jour: 24 août 2023