Service fédéral de traitement des demandes de soins de santé (SFTDSS)
Institution gouvernementale
Ministère de la Défense nationale (MDN)
Fonctionnaire du gouvernement responsable de l’évaluation des facteurs relatifs à la vie privée (EFVP)
Col Natasha Singh
Directrice – Prestation des services de santé
Responsable de l’institution fédérale ou délégué pour l’article 10 de la Loi sur la protection des renseignements personnels
Anne Bank, directrice
Directeur – Accès à l’information et protection des renseignements personnels
Catégorie de documents standards ou propres à l’institution :
MDN BSS 496
Traitement des demandes de services de santé et de prestations
Fichier de renseignements personnels standards ou propres à l’institution :
MDN PPU 819
Système fédéral de traitement des demandes de soins de santé (SFTDSS)
Contexte
Le ministère de la Défense nationale et les Forces armées canadiennes (MDN/FAC) offrent à leurs membres un large éventail de prestations et de services de soins de santé. Parmi ceux-ci figure la couverture des traitements médicaux, dentaires et autres fournis par des professionnels de la santé. Ils comprennent également les soins de santé préventifs et les fournitures, les médicaments prescrits, les frais de déplacement et de réadaptation liés à la santé, ainsi que les soins de longue durée. Bien que les cliniques des FAC soient les principaux fournisseurs de services de santé des membres actifs, ces derniers ont parfois recours aux systèmes de santé provinciaux, aux institutions et aux praticiens d’exercice privé.
En 2014, pour faciliter la gestion des demandes de services de santé, le MDN et les FAC, en partenariat avec Anciens Combattants Canada (ACC) et la Gendarmerie royale du Canada (GRC), ont conclu un contrat (le « contrat SFTDSS ») avec un tiers pour gérer l’ensemble du traitement des demandes (« l’administrateur des demandes »). L’administrateur des demandes possède et exploite une solution en matière de service fédéral de traitement des demandes de soins de santé (la « solution SFTDSS »), qui comprend un portail en ligne pour les utilisateurs. Elle permet la réception, le traitement et le règlement sécurisés de toutes les demandes de soins de santé des membres. La solution SFTDSS permet également de surveiller et de garantir le respect des politiques ministérielles, y compris les exigences en matière de vérification, de rapports et de finances.
Bien qu’ACC soit le responsable du projet pour le SFTDSS, le MDN et les FAC sont responsables de déterminer l’admissibilité des militaires. Une fois qu’un centre de services de santé ou une unité dentaire des FAC a évalué le statut et l’admissibilité d’un client, ainsi que la nécessité de l’orienter vers un fournisseur de soins civil, le SFTDSS assume la responsabilité de la gestion, du suivi, de l’établissement de rapports et du traitement électronique de la demande de soins de santé. Les clients ou leurs fournisseurs de soins de santé soumettent des demandes de services par le biais d’un portail en ligne, qui sont reçues et examinées par l’administrateur des demandes. L’administrateur des demandes traite la demande conformément aux conditions du régime de prestations du client et approuve le règlement de la demande. Les règlements peuvent être versés directement au fournisseur de soins de santé ou aux clients membres sous forme de remboursements.
Raison d’être de l’EFVP
Le premier contrat de SFTDSS a été attribué par le gouvernement du Canada en 1989. Depuis 1999, le MDN et les FAC, ACC et la GRC se sont associés pour gérer les autorisations de services de santé et les services de traitement des demandes pour les militaires actifs, les vétérans et leurs familles, en utilisant un seul contrat de SFTDSS. Le contrat actuel de SFTDSS, attribué à Croix Bleue Medavie en 2014, se termine en septembre 2026.
Bien que le contrat actuel de SFTDSS soit prévu pour plusieurs années encore, Services publics et Approvisionnement Canada (SPAC), en collaboration avec le Secrétariat du Conseil du Trésor du Canada (SCT), le MDN et les FAC, ACC et la GRC, ont lancé un processus visant à garantir la mise en place d’un nouveau contrat de SFTDSS attribué de manière concurrentielle pour octobre 2026. L’établissement des exigences de service liées au nouveau contrat de SFTDSS est en cours, et SPAC dirige les présentations au Conseil d’examen de l’architecture intégrée du gouvernement du Canada en vue de l’approbation de l’architecture conceptuelle de la nouvelle solution SFTDSS. Cette approbation servira alors à soutenir l’élaboration d’un appel d’offres ou d’une demande de proposition officiel et d’une présentation au Conseil du Trésor.
Dans le cadre du contrat de SFTDSS, l’entrepreneur et l’administrateur des demandes retenus devront soutenir le développement d’une nouvelle solution SFTDSS. La nouvelle solution SFTDSS devrait permettre au MDN et aux FAC, à ACC et à la GRC d’améliorer les capacités des services et des solutions existants. Au fil des ans, la qualité et la cohérence du SFTDSS ont souffert de l’obsolescence de la technologie sur laquelle la solution SFTDSS a été construite. Comme indiqué précédemment, la solution SFTDSS actuelle a été développée en 2013-2014. Cette solution et les systèmes qui l’accompagnent nécessitent désormais des interventions manuelles pour fonctionner comme prévu et ont récemment fait l’objet de critiques de la part des utilisateurs parce qu’ils n’offraient pas une expérience moderne à l’utilisateur. Le service actuel est également fortement tributaire du traitement papier et de la saisie manuelle des données, ce qui entraîne un risque pour la qualité et l’intégrité des données. Plus important encore, la solution SFTDSS actuelle ne dispose pas de technologies d’authentification modernes essentielles pour améliorer sa position en matière de sécurité et ses capacités de protection des données.
Étant donné que les besoins du MDN et des FAC et du SFTDSS n’existent pas actuellement au sein du gouvernement du Canada (GC) et que les partenaires ministériels (MDN/FAC, ACC, GRC) n’ont pas l’expertise organisationnelle nécessaire pour développer eux-mêmes un système de traitement des demandes, un processus d’approvisionnement complet est prévu pour solliciter des entrepreneurs qui construiront le nouveau système et fourniront des services d’expertise opérationnelle de soutien. La nouvelle solution SFTDSS devra se conformer aux pratiques exemplaires en matière de gestion, de gouvernance et de sécurité des données. La nouvelle solution devra également être conçue de manière à répondre aux exigences en matière de traitement des données de la Loi sur la protection des renseignements personnels et de ses politiques connexes.
Portée de l’EFVP
L’objectif de l’EFVP du SFTDSS était de veiller à ce que les risques pour la vie privée propres aux clients des FAC soient déterminés dès la conception de la nouvelle solution SFTDSS, et de réfléchir aux risques pour la vie privée associés au contrat et au service actuels du SFTDSS. La présente EFVP, menée par le Groupe des Services de santé des Forces canadiennes (SSFC), répond à l’engagement du MDN et des FAC de veiller à ce que les EFVP soient menées en rapport avec les activités administratives de base, conformément à la Directive sur l’évaluation des facteurs relatifs à la vie privée du SCT.
Le processus d’EFVP était centré sur l’examen de l’externalisation des demandes en cours du SFTDSS et des propositions de traitement des demandes dans le cadre du nouveau contrat et de la nouvelle solution SFTDSS. Il comprenait un examen de l’étude de définition et des plans de développement de la nouvelle solution, ainsi que l’énoncé des besoins et l’énoncé des travaux prévus à l’appui de son acquisition. L’EFVP comprenait également un examen des plans et programmes de gestion de la protection des renseignements personnels mis en place par les SSFC à l’appui du nouveau contrat et de la nouvelle solution SFTDSS.
Résumé des résultats
Sur la base des résultats de l’EFVP, les risques en matière de protection des renseignements personnels découlant du Programme anthropométrique pour les acquisitions du système du soldat des FAC (PAASSF) devraient être modérés. Toutefois, le MDN et les FAC gèrent correctement les incidences potentielles sur la vie privée des plaignants grâce à des mesures juridiques, politiques et techniques visant à protéger les renseignements personnels. Les recommandations formulées dans l’EFVP devraient réduire les risques du programme à un niveau faible (ou acceptable).
Détermination et catégorisation des secteurs de risque
| Type de programme ou d’activité | Niveau de risque |
|---|---|
| Un programme ou une activité qui implique une décision concernant une personne identifiable. | 4 |
| Type de renseignement personnel concerné et contexte | Niveau de risque |
|---|---|
| Les renseignements personnels sensibles, y compris les caractéristiques biométriques, l’ADN, les données génétiques, sanitaires ou financières, qui peuvent être particulièrement sensibles dans certains contextes. | 5 |
| Participation de partenaires du programme ou de l’activité et du secteur privé | Niveau de risque |
|---|---|
| Les partenaires du programme peuvent comprendre des organisations du secteur privé. | 4 |
| Durée du programme ou de l’activité | Niveau de risque |
|---|---|
| Le programme est de longue durée (5 à 10 ans). | 4 |
| Population du programme | Niveau de risque |
|---|---|
| Le programme utilise les renseignements personnels à des fins administratives externes et ne concerne que certaines personnes. | 4 |
| Technologie et vie privée | Niveau de risque |
|---|---|
| Le programme ou l’activité, nouveau ou modifié, exige-t-il la mise en œuvre d’un nouveau système électronique, logiciel ou programme d’application, y compris un logiciel de collaboration (ou logiciel de groupe) mis en œuvre pour soutenir le programme ou l’activité en matière de création, de collecte ou de traitement de renseignements personnels? | Oui |
| Le programme ou l’activité, nouveau ou modifié, nécessite-t-il des modifications importantes de systèmes ou services informatiques existants? | Non |
| Le programme ou l’activité, nouveau ou modifié, exige-t-il la mise en œuvre de technologies susceptibles de porter atteinte à la vie privée? | Non |
| Transmission de renseignements personnels | Niveau de risque |
|---|---|
| Les renseignements personnels sont utilisés dans un système connecté à au moins un autre système. | 4 |
| Les renseignements personnels peuvent être transmis au moyen de technologies sans fil. |
| Incidence du risque sur la personne ou l’employé | Niveau de risque |
|---|---|
| Inconvénient. | 5 |
| Atteinte à la réputation. | |
| Préjudice psychologique. | |
| Sécurité physique. |
| Incidence du risque sur le ministère | Niveau de risque |
|---|---|
| Embarras pour les fonctionnaires. | 5 |
| Une perte de crédibilité institutionnelle à court terme. | |
| Préjudice financier. | |
| Action en justice. | |
| Une diminution durable de la confiance du public envers l’institution, ou la nécessité d’une restructuration ou d’une réforme organisationnelle. |