Protection de la vie privée et prestation de soins de santé

Livre blanc
Septembre 2010

Howard Simkevitz
Premier conseiller – protection de la vie privée Bell

 

Table des matières

  • L'auteur
  • Résumé
  • 1.0 Introduction
  • 2.0 Protection de la vie privée et confiance – une étroite relation
  • 3.0 Le contexte de la protection de la vie privée
  • 4.0 Protection de la vie privée et soins de santé au Canada
  • 5.0 Utilité d'une analyse économique
  • 6.0 Importance de la protection de la vie privée dans les soins de santé
  • 7.0 Coûts-avantages – trouver un juste milieu
    • 7.1 Plus ou moins de protection? Qu'en pense le citoyen?
  • 8.0 Une solution efficace vers un cadre de protection de la vie privée en entreprise
    • 8.1 Les quatre modalités
    • 8.2 Outils pour les solutions de protection de la vie privée
  • 9.0 Conclusion
 

L'auteur

Howard Simkevitz occupe le poste de premier conseiller – protection de la vie privée et technologie de l'information chez Bell. Il fournit des services-conseils en matière de protection des renseignements personnels dans les domaines suivants : stratégies et cadres de protection de la vie privée dans l'entreprise, outils Web d'évaluation des risques relatifs à la vie privée, analyse des écarts par rapport aux meilleures pratiques et avis juridiques en matière de conformité aux lois. Avant de se joindre à Bell, il travaillait en pratique privée, dans les secteurs de la protection des renseignements personnels et des technologies associées, de la propriété intellectuelle et du droit du commerce électronique. Il est l'auteur de plusieurs articles et un conseiller de confiance du Centre d'excellence en protection des renseignements personnels de Bell. Il est fréquemment invité à titre de conférencier sur de nombreux sujets, notamment la protection des renseignements personnels, les technologies de l'information et la réglementation d'Internet.

Résumé

L'efficacité et l'efficience de la prestation des soins de santé sont tributaires de la capacité de recueillir et de communiquer des renseignements précis et complets tout en assurant des niveaux appropriés de protection de la vie privée et de sécurité. Toute atteinte à la vie privée peut ébranler la confiance du patient et compromettre la sécurité des renseignements et, finalement, la qualité des soins prodigués au patient. Si l'efficience et la confiance sont compromises, les coûts pour le patient, le fournisseur de services de santé et l'ensemble du régime de soins de santé augmentent.

La protection de la vie privée n'est donc pas simplement un processus obligatoire dicté par des critères de conformité. C'est aussi la clé de voûte de la rentabilité, de l'efficience et de l'efficacité de la prestation des soins de santé.

1.0 Introduction

Dans la situation économique actuelle, presque toutes les entreprises vivent à l'heure des restrictions budgétaires et du manque de fonds et de ressources. C'est le cas en particulier du domaine de la prestation des soins de santé au Canada. Au moment de planifier les budgets, il n'est que tout à fait naturel d'affecter des fonds à ce que l'on juge essentiel pour l'efficacité des activités et à ce que l'on croit particulièrement rentable. La protection de la vie privée peut donc se retrouver loin dans la liste des priorités, en raison simplement d'une valeur difficile à cerner et d'une rentabilité incertaine.

Or, la protection de la vie privée est cruciale, du point de vue de la loi et de l'exploitation. L'efficacité et l'efficience de la prestation des soins de santé exigent de recueillir et de communiquer des renseignements précis et complets et, surtout, confidentiels. Toute atteinte à la vie privée peut ébranler la confiance du patient et compromettre la sécurité des renseignements et au bout du compte, la qualité des soins prodigués au patient. Si l'efficience et la confiance sont compromises, les coûts pour le patient, le fournisseur de services de santé et régime de soins de santé dans son ensemble augmentent.

L'absence de bonnes pratiques de protection des renseignements personnels peut entraîner des coûts imprévus, en particulier des coûts réels liés au report de soins ou à des erreurs de diagnostic ou de traitement (p. ex., prescrire des médicaments qui ne conviennent pas). Les conséquences économiques peuvent largement déborder le cadre des soins proprement dits. À cela s'ajoutent les coûts quantifiables des atteintes à la vie privée. Selon les responsables de la protection de la vie privée dans des hôpitaux canadiens, chaque atteinte à la vie privée coûte environ 200 $1.

L'absence d'une gestion proactive des renseignements personnels peut souvent causer divers problèmes dont les coûts tendent à augmenter de façon appréciable, surtout s'il faut procéder à la mise à niveau technique de systèmes actuels. Les frais irrécupérables, comme ceux associés aux atteintes à la réputation, peuvent également être quantifiés. Ainsi, si des patients cessent d'aller à un hôpital ou à une clinique en raison de l'inefficacité de ses pratiques de protection de la vie privée, la diminution de la clientèle pourra se répercuter sur les niveaux de financement.

La protection de la vie privée est donc une clé de voûte de l'efficacité des activités d'un établissement de soins de santé, et non pas simplement un processus dicté par des critères de conformité qui définissent des normes de protection des renseignements personnels sur la santé. Le présent livre blanc porte sur la valeur et sur les caractéristiques économiques de la protection de la vie privée dans la prestation de soins de santé. Il définit également un cadre permettant d'établir et de promouvoir une culture de protection de la vie privée dans les activités liées aux soins de santé.

2.0 Protection de la vie privée et confiance – une étroite relation

Dans le régime de soins de santé, la protection de la vie privée s'enracine dans la conviction que le responsable des données se contentera de recueillir, d'utiliser et de communiquer des informations conformément au consentement donné par le patient. C'est un facteur important, en particulier pour évaluer l'importance des renseignements personnels sur la santé dans la relation médecin-patient, pour laquelle une divulgation complète est indispensable à l'efficacité des soins.

Des études révèlent que la majorité des Canadiens font confiance à leur médecin. Il est intéressant de constater, cependant, que plus on s'éloigne du fournisseur de soins de première ligne (celui qui recueille les données), plus la confiance dans l'entité qui traite les renseignements personnels sur la santé s'érode.2

On constate malheureusement que les décideurs se concentrent souvent sur un seul aspect de la protection de la vie privée : la protection des données et les grands défis technologiques associés à la protection des réseaux et à l'élaboration de politiques de protection des renseignements personnels. Malgré l'importance indéniable de ces démarches, il reste que la confiance, la protection de la vie privée et la sécurité seraient mieux assurées si la conception des systèmes tenait compte systématiquement des relations entre les personnes et les institutions. Autrement dit, le « facteur humain » doit être pris en compte dans les cadres de protection de la vie privée intégrés aux systèmes. Il faut donc aller au-delà du contrôle des données et favoriser la confiance à l'égard du système.

3.0 Le contexte de la protection de la vie privée

La protection de la vie privée dans l'industrie des soins de santé peut être analysée à la lumière de quatre activités : la collecte des renseignements, le traitement des renseignements, la communication des renseignements et les intrusions dans la vie privée. La collecte des renseignements désigne la façon de recueillir des données sur les patients ou sur les soins de santé.

Le traitement des renseignements englobe les diverses façons de relier des données à une personne, ainsi que le regroupement de données, l'identification et les utilisations secondaires, notamment le rapprochement de divers systèmes de données pour créer des associations. Selon la nature des liens établis, les renseignements risquent d'être utilisés sans un consentement éclairé, ou l'on peut omettre de divulguer de quelle façon les données pourraient être utilisées à l'avenir.3

La communication des renseignements peut causer de nombreux problèmes relatifs à la vie privée, notamment des comportements destinés à révéler des renseignements personnels ou à menacer de divulguer ces renseignements, par exemple, des manquements à l'obligation de confidentialité (divulgation de renseignements confidentiels) et la divulgation ou la communication non autorisée de renseignements confidentiels.

Les intrusions ou les incursions dans la vie privée d'une personne peuvent être directement associées à la divulgation de renseignements personnels, celle-ci étant souvent la conséquence d'activités indiscrètes de collecte de renseignements. Quelle que soit la méthode employée, l'intrusion dans les renseignements personnels sur la santé peut être assimilée à la pire forme d'interférence, en raison de la nature confidentielle des renseignements visés.

Une fois connus ces problèmes relatifs à la protection de la vie privée, on peut ensuite estimer les coûts qui s'y rattachent. Bien sûr, pour bien faire valoir l'argument de l'importance des investissements dans la protection de la vie privée, il suffit de s'adresser au public cible : les patients canadiens.

4.0 Protection de la vie privée et soins de santé au Canada

Des études nous apprennent que les Canadiens accordent une importance relative à la protection de la vie privée. En effet, selon un rapport récent d'Industrie Canada, 82 % des Canadiens ont exprimé des préoccupations à l'égard de la protection de la vie privée et de la sécurité dans le cadre de l'utilisation d'Internet. Toutefois, la plupart des personnes sondées ont également affirmé que la commodité d'Internet l'emporte sur les problèmes de sécurité et de protection de la vie privée (environ un tiers seulement des répondants ont indiqué que les problèmes de protection de la vie privée devraient constituer la principale préoccupation).4 D'autre part, la protection de la vie privée peut avoir un sens tout à fait différent dans un contexte de soins de santé.

Le Canada compte 23 lois sur la protection des renseignements personnels appliquées par divers secteurs et diverses administrations. La prémisse sous-jacente à la protection de la vie privée dans le domaine des soins de santé est liée à la collecte, l'utilisation et la communication de renseignements personnels sur la santé, que l'on peut assimiler à un sous-ensemble de renseignements personnels. Selon une étude faite conjointement par Inforoute Santé du Canada, Santé Canada et le Commissariat à la protection de la vie privée du Canada, les Canadiens estiment que la protection des renseignements personnels sur leur santé est légèrement « différente » de la protection des renseignements personnels, en général.

De fait, les Canadiens estiment que les renseignements personnels sur la santé forment l'une des principales catégories de renseignements à protéger. Du même coup, la plupart des répondants de l'étude ont affirmé qu'ils accordaient une confiance « raisonnable » aux personnes chargées d'enregistrer et de conserver des données personnelles sur la santé et aux mécanismes utilisés pour protéger ces données.5 Ce niveau de confiance est nettement plus élevé que celui qui est accordé à la protection des renseignements personnels en général.6 Pourtant, la confiance à l'égard de la protection des renseignements personnels sur la santé n'est pas liée à la confiance des patients à l'égard des outils légaux ou réglementaires. De fait, très peu de Canadiens connaissent les lois ou les organismes de protection qui jouent un rôle de surveillance dans ce domaine.7

D'où vient cette confiance à l'égard de la protection des renseignements personnels sur la santé? Peut-être de l'hypothèse voulant que les renseignements personnels soient bien protégés. Selon cette étude, les manquements à l'obligation de protéger les renseignements personnels sur la santé sont peu fréquents. En effet, seulement 4 % des répondants ont indiqué avoir eu connaissance d'une utilisation inappropriée ou sans leur consentement de renseignements sur leur santé. Le tiers d'entre eux, toutefois, ont attribué à des membres de la famille ou à d'autres personnes ces manquements à la confidentialité de ces renseignements ou la communication inappropriée de renseignements personnels. Le rapport comprend quelques exemples à ce sujet, notamment : « [Un] réceptionniste parlait de moi à un ami commun » et « J'ai reçu une lettre au sujet d'une activité de collecte de fonds pour une maladie que j'ai eue. La lettre venait de l'hôpital où j'ai été traité(e). Autrement dit, quelqu'un s'est servi de cette information pour vérifier si je serais susceptible de faire un don. » Bon nombre des manquements signalés venaient donc de personnes dignes de confiance et de sources internes, et non pas de menaces externes.8 Il est important de préciser, cependant, que les Canadiens ont indiqué également qu'ils font davantage confiance à leur médecin de famille, puis aux infirmières et aux pharmaciens.

5.0 Importance d'une analyse économique

On pose toujours l'hypothèse sous-jacente que la collecte, l'utilisation et la communication de renseignements personnels sur la santé par un fournisseur de soins de santé visent l'efficacité du traitement. Que ce but soulève des doutes au sujet de la protection de la vie privée tient à son impact sur le patient – impact qui est parfois positif (quand un urgentologue obtient des informations vitales), parfois négatif (sollicitation non désirée).

Les avantages plus discrets, ainsi que les coûts ou les facteurs de risque moins évidents, sont généralement moins bien compris. Chaque fois qu'un patient est en relation avec un fournisseur de soins de santé, il doit comparer les « coûts » et les avantages possibles de la communication de renseignements personnels sur sa santé avec la possibilité de les protéger. Cette réflexion, fondée sur des craintes réelles ou perçues, est en fait une analyse économique.

Dans son livre blanc sur les facteurs économiques de la protection de la vie privée, Hal Varian donne un exemple d'un processus décisionnel personnel et institutionnel en matière de protection de la vie privée. Ainsi, une personne sait que les fumeurs paient des primes d'assurances plus élevées, mais elle ne veut pas communiquer ce renseignement personnel. Comme le renseignement est lié au montant d'une proposition d'assurance, deux forces s'opposent : l'acheteur ne veut pas dire qu'il est fumeur, et le vendeur tient à connaître ce renseignement.9 Le vendeur (la compagnie d'assurances) a donc intérêt à diriger la transaction de manière à ce que cette information soit communiquée.

L'analyse économique de la protection de la vie privée n'est pas aussi évidente pour le simple citoyen, qui prend des décisions concernant sa vie privée sans toujours connaître tous les tenants et aboutissants. De plus, les décisions sur la protection de la vie privée ne sont pas toujours prises par une personne seulement. Les institutions doivent tenir compte des coûts et des avantages dans la conception de systèmes de renseignements personnels sur la santé.

6.0 Importance de la protection de la vie privée dans les soins de santé

Les gens sont fortement incités à fournir des renseignements personnels étant donné que les fournisseurs de soins de santé consacrent beaucoup de temps à recueillir ces renseignements et qu'ils comptent sur l'exactitude et l'exhaustivité de ces informations. L'absence de communications complètes et sans entraves entre le patient et le fournisseur de soins de santé accroît le risque des erreurs de diagnostic et de traitement, de non-conformité et d'inefficacité des soins, de blessures passibles de poursuites judiciaires et de décès.10 On s'attend donc à ce que le patient communique pleinement avec le fournisseur de soins de santé et qu'il lui fournisse des renseignements complets et exacts, sans attendre qu'on les lui demande.

Si la protection de la vie privée repose sur la confiance et que celle-ci facilite la libre circulation de l'information entre le patient et le fournisseur de soins de santé, il est logique de conclure qu'il faut intégrer la protection de la vie privée aux systèmes de soins de santé. Comment s'y prendre? La réponse n'est pas évidente. Ce manque de clarté nuit à la prise de décisions sur la protection de la vie privée, parce que les intervenants ont du mal à bien définir les enjeux à cet égard. Les décideurs misent donc sur l'efficacité de la prestation des soins aux patients, qui se prête à des évaluations plus faciles à comprendre. Afin de prendre de bonnes décisions concernant la protection de la vie privée, il faut privilégier une méthode globale qui permet de bien cerner les problèmes à cet égard et de les résoudre de façon efficace.

7.0 Coûts-avantages – trouver un juste milieu

Les perceptions relatives à la protection de la vie privée et à la sécurité dans le domaine des technologies de l'information (TI) ont beaucoup évolué. Selon un sondage récent fait par IDC Canada auprès de gestionnaires des TI, la protection de la vie privée remplace maintenant la sécurité au chapitre des principales priorités des entreprises canadiennes en matière de gouvernance, de risque et de conformité, avec des dépenses cumulatives de l'ordre de 700 millions de dollars.11 Le domaine des soins de santé n'y échappe pas. Bien que la technologie de l'information soit un facteur dans la promotion et la protection de la vie privée, elle peut aussi amplifier les problèmes dans ce domaine.

Des outils interactifs permettent de suivre les activités des utilisateurs avec une précision jamais vue. Bien que l'établissement de profils puisse aider à bien définir les préférences des utilisateurs, il peut également servir à exclure des personnes ayant des caractéristiques moins intéressantes.12 De plus, ces pratiques peuvent conduire à des utilisations ultérieures assimilées à des intrusions dans la vie privée, y compris le vol d'identité. Ainsi, la mise en oeuvre de ces systèmes sans tenir compte des incidences sur la vie privée comporte des coûts qui peuvent prendre une ampleur insoupçonnée. La multiplication possible des problèmes relatifs à la protection de la vie privée, en raison du recours à la technologie, a stimulé la nécessité impérieuse d'évaluer de quelle façon les personnes visées par la collecte de données et les institutions qui recueillent ces données prennent des décisions en matière de protection de la vie privée.

7.1 Plus ou moins de protection. Qu'en pense le citoyen?

Le consentement est un bon indicateur du processus décisionnel employé par les particuliers et les institutions à l'égard de la protection de la vie privée. Le consentement est le principal moyen par lequel la personne visée exprime ses préférences pour la collecte, l'utilisation et la communication de renseignements à la partie qui les conserve. Des études sur le consentement ont permis de mieux connaître l'importance que les gens accordent aux renseignements personnels qui les concernent et les méthodes employées par les institutions pour gérer les attentes des gens.

Le dossier de santé électronique (DSE) est un bon exemple pour évaluer les décisions en matière de consentement. Les dirigeants du Programme de cybersanté de l'Ontario ont indiqué que le but ultime de la stratégie adoptée vise à établir un dossier de santé électronique pour chaque Ontarien d'ici 2015.13 Toutefois, l'utilisation de ce dossier et la possibilité de faciliter le couplage de données s'accompagnent bien sûr de problèmes de protection de la vie privée et de confiance. S'ils en avaient le choix, à quelles utilisations les Canadiens consentiraient-ils?

La plupart des Canadiens affirment qu'ils acceptent d'emblée l'idée que le DSE permette de prévoir des crises en matière de santé, ou encore de contrôler ou prévenir l'utilisation abusive du système de soins de santé. Lorsque le consentement a été accordé, les chercheurs du domaine de la santé peuvent comparer des renseignements personnels sur la santé avec d'autres données pouvant être assimilées à des résultats en matière de santé. Toutefois, bien que les Canadiens appuient majoritairement l'utilisation du DSE à des fins de recherche, l'appui à ces études chute fortement si les renseignements personnels à leur sujet ne sont pas supprimés.14

Bien que les patients jugent utile de communiquer ces renseignements, ils veulent aussi avoir le choix avant la communication des données. Il reste encore à trouver la meilleure façon de faire ces choix et de veiller à ce qu'ils restent à jour.15 Les institutions doivent connaître, toutefois, les critères sur lesquels s'appuient les gens pour prendre des décisions à cet égard, afin de concevoir des systèmes qui favoriseront l'efficacité optimale de la collecte et de la communication des données du DSE.

Le consentement est également un moyen utile d'évaluer le processus décisionnel des institutions en matière de protection de la vie privée. Une étude a porté sur la méthode employée par les comités d'éthique de la recherche pour évaluer la nécessité d'un consentement personnel à des recherches exigeant l'accès au dossier médical. La plupart des comités ont indiqué que le consentement est exigé, en principe, si des renseignements nominatifs sont extraits des dossiers. Toutefois, des comités ont aussi indiqué qu'ils n'exigeaient aucun consentement.

À l'exemple des particuliers, les institutions peuvent utiliser des facteurs semblables, comme des définitions internes de la confiance, pour prendre des décisions sur la protection de la vie privée. De même, elles peuvent aussi employer des définitions opérationnelles et tenir compte de facteurs externes qui influent sur la prise de décisions en matière de protection de la vie privée.

8.0 Une solution efficace vers un cadre de protection de la vie privée dans les entreprises

Les mécanismes qui régissent la protection de la vie privée doivent être souples et pouvoir s'adapter à la protection même de la vie privée et à ce qui l'entoure. De même, comme on peut tenir compte des coûts et des avantages, il faut également trouver un juste équilibre entre l'excès et l'insuffisance des contrôles relatifs à la protection de la vie privée. Les défis se situent dans la recherche d'un bon équilibre. Une solution efficace pour l'entreprise devra donc :

  • Être exhaustive, et pouvoir s'adapter à l'évolution des besoins;
  • Tenir compte de la diversité des problèmes en matière de protection de la vie privée et du contexte dans lequel surviennent ces problèmes;
  • Pouvoir appuyer une culture de protection de la vie privée et promouvoir la confiance.

8.1 Les quatre modalités

Afin d'établir une structure adaptable qui peut tenir compte des nombreux aspects de la protection de la vie privée, un cadre de gestion exhaustif dans ce domaine devrait comprendre quatre modalités générales, chacune ayant ses propres liens avec la protection de la vie privée :

  1. Les actions
  2. L'infrastructure
  3. Le leadership en matière de protection de la vie privée
  4. Les connaissances

L'approche globale associée à un cadre de gestion de la protection de la vie privée en entreprise entraînera un degré important de chevauchements et de rétroactions entre les groupes. Ces modalités complémentaires sont illustrées dans la figure 1, ci-dessous, et encerclent le coeur de cette démarche : la culture de protection de la vie privée.

Cadre de gestion de la protection de la vie privée en entreprise

Figure 1: Cadre de gestion de la protection de la vie privée en entreprise

Ces modalités agiront de la manière suivante au sein de l'entreprise :

  • Actions – Cette modalité désigne les mesures proactives prises par une organisation afin d'établir un programme de protection de la vie privée. Les actions sont prises au fil des interventions des gens dans le système. Ainsi, une infirmière voit dans le dossier d'un patient un signal d'alarme indiquant que des mesures spéciales doivent être prises pour protéger les renseignements personnels. Toutefois, ces actions peuvent être mises en oeuvre seulement si l'on dispose de l'infrastructure appropriée pour empêcher un employé mal intentionné de consulter des renseignements personnels sur la santé visés par le signal d'alarme.
  • Infrastructure – Cette modalité comprend les installations et les systèmes de base de l'entreprise qui assurent la protection de la vie privée, notamment le système de communication qui ajoute le signal d'alarme au dossier du patient, ainsi que la base de données qui gère les droits et les autorisations d'accès en fonction des besoins et de la situation des intervenants. De plus, l'infrastructure sert à authentifier les autorisations et offre la possibilité de restreindre la collecte de renseignements personnels et d'anonymiser les informations, dans la mesure du possible. Le système de gestion des consentements permet également au patient de restreindre l'accès aux renseignements qui le concernent.
  • Connaissances – Cette modalité désigne la connaissance cumulative ou collective du domaine de la protection de la vie privée par une organisation et sa traduction dans des pratiques opérationnelles. Elle comprend la connaissance des problèmes et du contexte de la protection de la vie privée, ainsi que des exigences réglementaires et de celles prévues par les lois. La connaissance désigne le fait de comprendre les coûts et les avantages de la protection de la vie privée et leurs répercussions sur le processus décisionnel personnel et institutionnel.
  • Leadership en matière de protection de la vie privée – L'efficacité d'un cadre de gestion exige un leadership spécialisé bien au fait des problèmes et du contexte de la protection de la vie privée et de la façon de résoudre ces problèmes. Le leadership en matière de protection de la vie privée vient d'une personne ou d'une équipe centrale qui « incarne » la protection de la vie privée, qui comprend l'interaction des modalités du cadre de gestion et qui peut définir l'orientation stratégique des exigences opérationnelles en s'appuyant sur une approche globale.

8.2 Outils pour les solutions de protection de la vie privée

On ne peut établir un cadre de gestion sans utiliser des outils de travail. Plusieurs outils de travail peuvent se révéler fort utiles à cet égard.

  • Politiques et procédures – Elles doivent être exhaustives, claires, concises et adaptées au public cible interne ou externe.
  • Formation continue – Les organisations peuvent avoir un ensemble exhaustif de politiques et de procédures, mais celles-ci seront tout à fait inutiles si le personnel ne les lit pas ou ne reçoit de directives pertinentes. La formation est une des clés pour que les employés sachent comment se comporter à cet égard.
  • Communications – À l'exemple des politiques et des procédures, les communications doivent être claires et bien ciblées. Leur efficacité tient autant au message proprement dit qu'au choix des moyens de diffusion appropriés. Elles doivent avoir une portée générale et s'adresser à tous les secteurs de l'organisation. Les gens doivent savoir à qui ils peuvent adresser leurs questions au sujet de la protection de la vie privée. La nécessité de communications efficaces devient encore plus évidente quand il faut gérer un incident touchant la protection de la vie privée. Il faut établir un mécanisme pour tenir compte de tous les processus pertinents, depuis la prévention jusqu'aux avis (au besoin).
  • Évaluation des facteurs relatifs à la vie privée – Ces évaluations aident les institutions à élaborer un plan pour éviter ou atténuer les conséquences négatives de la collecte, de l'utilisation et de la communication de renseignements personnels. Elles permettent de déceler les écarts dans les pratiques actuelles et d'élaborer des stratégies permettant de combler ces écarts. Avec quelques conseils préalables et une boîte à outils pour l'évaluation des facteurs relatifs à la vie privée qui est adaptée aux caractéristiques de chaque secteur d'activité et de chaque administration appropriée, les institutions devraient pouvoir se doter de leurs propres ressources internes pour faire ces évaluations.

9.0 Conclusion

Les fournisseurs de soins de santé devraient reconnaître que la protection de la vie privée n'est pas un obstacle, mais bien un atout pour l'efficacité et l'efficience de la prestation des soins de santé. Comme la protection de la vie privée met l'accent sur l'utilisation et la saine gestion des données, les décideurs des fournisseurs de soins de santé doivent y voir plus qu'une simple question de respect des lois. Elle doit plutôt faire partie d'une stratégie opérationnelle synonyme de valeur économique.

Sans protection de la vie privée, il ne peut y avoir de lien de confiance et, partant, les renseignements personnels sur la santé peuvent être falsifiés, incomplets ou dissimulés. Les lacunes qui en résultent comportent des coûts réels. Les organisations doivent donc établir une culture qui tient compte de la valeur de la protection de la vie privée et prendre des mesures pour établir une approche équilibrée. Les patients pourront ainsi protéger leur vie privée tout en ayant la possibilité d'échanger des informations avec les fournisseurs de soins de santé. À cette fin, les organisations doivent prendre le temps de déceler les problèmes en matière de protection de la vie privée, et le contexte, afin d'établir des pratiques efficaces et bien ciblées.

La sensibilité aux notions de confiance doit dicter la prise de décisions sur la protection de la vie privée fondées sur une compréhension claire des enjeux économiques. Une analyse économique peut faciliter l'évaluation tant des besoins que de l'approche relative aux problèmes et aux solutions connexes en matière de protection de la vie privée.

Si l'on croit que la protection de la vie privée fait partie d'une stratégie opérationnelle, celle-ci ne doit pas être élaborée de façon isolée. Le cadre de gestion de la protection de la vie privée adopté par l'entreprise doit donc reposer sur une approche globale et intégrée qui tient compte de tous les aspects de l'organisation. L'efficacité de ce cadre de gestion viendra de l'interaction de toutes les modalités et de leur aptitude à s'adapter à l'afflux de nouvelles informations et à l'évolution de la situation globale et des coûts et avantages connexes. Cette approche permettra de trouver la bonne formule pour établir une culture de protection de la vie privée.16

Parlez à Bell

Bell allie une connaissance approfondie des meilleures pratiques en médecine clinique à l'innovation, le sens des affaires, l'expertise technologique et une connaissance exhaustive de l'industrie des soins de santé pour vous aider à optimiser vos services de santé. Notre infrastructure de communication et de technologie de l'information (CTI) de classe mondiale repose sur un réseau fiable et puissant soutenu par une équipe multidisciplinaire d'experts. Nos professionnels hautement compétents possèdent une expertise diversifiée dans les solutions de santé électronique, de l'évaluation initiale de vos besoins jusqu'à la conception, la mise en oeuvre et le soutien des solutions.

Pour en savoir plus, communiquez avec votre conseiller en communications de Bell ou cliquez ici pour qu'un conseiller de Bell communique avec vous.

 

1 Andy Greenberg, « MetaData: The Rising Price of Data Breaches » Forbes.com (2 février 2009). En ligne, dans la section « Business and Financial News » du site Forbes.com, à l'adresse http://www.forbes.com/2009/01/30/security-hacking-enterprise-technology-security_0202_data_breach.html.

2 Les Associés de recherche EKOS. « Sondage sur les renseignements de santé électroniques et la protection de la vie privée : Le point de vue des Canadiens – 2007 » (août 2007), pages 26 et 27.

3 Ibid.

4 L'Économie numérique du Canada. « Opinions du public relatives à la protection de la vie privée et à la sécurité sur Internet ». En ligne dans le site d'Industrie Canada, à l'adresse < http://www.ic.gc.ca/eic/site/ecic-ceac.nsf/fra/gv00394.html >.

5 Ibid. page 2. Par exemple, 79 % des répondants estiment que les renseignements personnels sur leur santé sont au moins modérément bien protégés ou en sécurité.

6 Trente-sept pour cent des répondants ont affirmé que les renseignements au sujet de leur santé sont moins bien protégés qu'il y a cinq ans; 53 % sont du même avis au sujet de leurs renseignements personnels.

7 Voir la note 5 ci-dessus

8 Ibid., page 28

9 Hal Varian, « Economic Aspects of Privacy » (6 décembre 1996). En ligne à la UC Berkeley School of Information, à l'adresse < http://people.ischool.berkeley.edu/~hal/Papers/privacy/ >.

10 Santé Canada, Système de soins de santé. « 'Certaines circonstances' Équité et sensibilisation du système de soins de santé quant aux besoins des populations minoritaires et marginalisées ». En ligne à l'adresse < http://www.hc-sc.gc.ca/hcs-sss/pubs/acces/2001-certain-equit-acces/part1-doc1-sec2-fra.php >.

11 Informations recueillies; janvier 2008, IDC #CA8AS7, volume 1; onglet « Users »

12 John Schwartz, « Giving the Web a Memory Cost Its Users Privacy », (The New York Times, 4 septembre 2001). En ligne dans le site du New York Times à l'adresse< http://query.nytimes.com/gst/fullpage.html?res=9B0DE1D61639F937A3575AC0A9679C8B63 >

13 « L'Ontario regroupe les activités de cybersanté en un seul organisme » (communiqué du 29 septembre 2008). En ligne dans le site Web du ministère de la Santé et des Soins de longue durée, à l'adresse < http://www.health.gov.on.ca/french/mediaf/news_releasesf/archivesf/nr_08f/sepf/nr_20080929f.html >.

14 Voir la note 5 ci-dessus

15 Donald J. Willison, Lisa Schwartz, Julia Abelson, Cathy Charles, Marilyn Swinton, David Northrup et Lehana Thabane, « Alternatives to Project-specific Consent for Access to Personal Information for Health Research: What Is the Opinion of the Canadian Public? » (2007) J Am Med Inform Assoc. 14:706 –712.

16 Le présent livre blanc a été adapté de « Why Privacy Matters in Health Care Delivery: a Value Proposition » publié dans 2009 World Congress on Privacy, Security, Trust and the Management of e-Business. Proceedings of a Conference Held August 25 -27, 2009 (Los Alamitos, CA: IEEE Computer Society, 2009), ISBN: 978-0-7695-3805-1.

 

Autres sources utilisées pour la rédaction du document original

  1. Daniel J. Solove, Understanding Privacy, (Cambridge: Harvard University Press, 2008) p. 79.
  2. Les Associés de recherche EKOS. Sondage sur les renseignements de santé électroniques et la protection de la vie privée : Le point de vue des Canadiens – 2007 » (août 2007), pages 26 et 27.
  3. Paul Farrow. « Shredders fly off the shelves as identity theft rises. » The Sunday Telegraph (12 février 2006) (Lexis Nexis).
  4. Wally Hill. « Telemarketing and Consumer Choice » (Speaker, OBA Institute, 2 février 2009) [non publié].
  5. Acquisiti, A. et Grossklags, J. Privacy and rationality in decision making. IEEE Security & Privacy, janvier-février 2005, pp. 24-30.
  6. Warren et Brandeis. « The Right to Privacy » (1890) IV Harvard Law Review 5.
  7. Conseil du Trésor du Canada. « Alors, qu'est-ce que la vie privée exactement? » < http://www.tbs-sct.gc.ca/pgol-pged/piatp-pfefvp/course1/mod1/mod1-2-fra.asp >.
  8. Alan Westin. « Opinion surveys: What consumers have to say about privacy” (témoignage, Comité de l'énergie et du commerce de la Chambre des représentants, 8 mai, 2001), en ligne à l'adresse < http://bulk.resource.org/gpo.gov/hearings/107h/72825.pdf >.
  9. Adam Shostack et Paul Syverson. « What Price Privacy (and why identity theft is about neither identity nor theft) » dans Economics of Information Security, L. Jean Camp et S. Lewis, éd. (Boston, Kluwer, 2004), pp. 132-134.
  10. Bernardo A. Huberman, Eytan Adar et Leslie R. Fine. « Valuating Privacy » En ligne à HP Labs à l'adresse < http://www.hpl.hp.com/research/idl/papers/deviance/ >, page 2.
  11. Santé Canada, Système de soins de santé. « 'Certaines circonstances' Équité et sensibilisation du système de soins de santé quant aux besoins des populations minoritaires et marginalisées ». En ligne à l'adresse < http://www.hc-sc.gc.ca/hcs-sss/pubs/acces/2001-certain-equit-acces/part1-doc1-sec2-fra.php >.
  12. John Schwartz, « Giving the Web a Memory Cost Its Users Privacy » (The New York Times, 4 septembre 2001). En ligne dans le site Web du New York Times, à l'adresse < http://query.nytimes.com/gst/fullpage.html?res=9B0DE1D61639F937A3575AC0A9679C8B63 >.
  13. Service canadien de renseignements criminels. Rapport sur le crime organisé. En ligne à l'adresse < http://www.cisc.gc.ca/annual_reports/annual_report_2008/document/report_oc_2008_f.pdf >, page 39.
  14. « You can build a new identity: Medical data theft; Sensitive material stored in records, experts warn » Calgary Herald (12 mars 2009). Voir aussi 2008 Breach List and Statistics - Identity Theft Resource Center, en ligne dans le site Web NYMITY, à l'adresse < http://www.nymity.com/Free_Privacy_Resources/Previews/ReferencePreview.aspx?guid=ca535416-555f-413a-9645-66a0f04ecac0 >. Pour avoir une vue d'ensemble du vol d'identité dans le domaine des soins de santé, voir Gordon Atherley, Identity theft in Healthcare A White Paper (janvier 2006), en ligne à l'adresse < http://www.teranet.ca/corporate/publications/Identity_Theft_In_Healthcare.pdf >.
  15. « L'Ontario regroupe les activités de cybersanté en un seul organisme » (communiqué du 29 septembre 2008), en ligne dans le site Web du ministère de la Santé et des Soins de longue durée, à l'adresse < http://www.health.gov.on.ca/french/mediaf/news_releasesf/archivesf/nr_08f/sepf/nr_20080929f.html >.
  16. D. J. Willison, C. Emerson, K. V. Szala-Meneok, E. Gibson, L. Schwartz, K. M. Weisbaum, F. Fournier, K. Brazil et M. D. Coughlin. « Access to medical records for research purposes: varying perceptions across research ethics boards » (2008) J Med Ethics; 34:308–314.