Évaluation des facteurs relatifs à la vie privée de la Système d'information de santé des Forces canadiennes (Capacité limitée)

Autheur : Peter Pakeman, PAKEMAN & Associates
Version : 2.0 (rapport final)
Date : Le 26 may 2004

Résumé

Le présent rapport décrit les résultats de l'analyse des facteurs relatifs à l'incidence sur la vie privée (AFIVP) pour le Système d'information de santé des Forces canadiennes (SISFC), surtout en fonction de sa capacité limitée (CL). Il s'appuie sur les conclusions et les recommandations émises à la suite de l'analyse préliminaire de l'incidence des renseignements personnels réalisée par le groupe des services de santé des Forces canadiennes (février 2003) et de l'évaluation des menaces et des risques associés au SISFC (mars 2001).

Le rapport a été préparé en fonction des lignes directrices du Conseil du Trésor s'appliquant à la réalisation des analyses AIVP, qui intègrent les dix principes du code modèle de l'Association canadienne de normalisation (CSA) en vue des évaluations relatives aux méthodes justes de traitement des renseignements personnels. Tout au long du processus, on a consulté de nombreuses ressources documentaires et humaines et confirmé les informations recueillies grâce à des moyens de recoupement incorporés aux logiciels AIVP et aux stratégies d'échange d'information.

Les principales constatations, recommandations et conclusions du présent rapport concordent avec celles de l'analyse préliminaire de l'incidence des renseignements personnels réalisée en février 2003. Nous sommes arrivés à la conclusion que le Groupe des services de santé des FC (GSSFC) et l'étude des versions limitées du SISFC pourront remédier à l'ensemble des risques au moyen de stratégies d'atténuation conformes aux pratiques optimales en matière de protection des renseignements personnels.

La section suivante expose les principales constatations et recommandations visant à atténuer les risques potentiels au niveau des renseignements personnels contenus dans le SISFC CL, selon un cadre de référence conforme aux 10 principes régissant le traitement approprié des renseignements personnels.

Principe 1 - Responsabilité

On a établi un poste de responsable de la protection de la vie privée, qui est actuellement confié à un entrepreneur. Il faudra poursuivre les efforts en vue de rendre ce poste permanent.

Principe 2 - Détermination des fins

Le GSSFC doit établir, tenir à jour et soumettre au Conseil du Trésor des descriptions tirées d'une base de données sur les renseignements personnels (BDRP). Ces descriptions s'avèrent essentielles au bon fonctionnement des activités internes du GSSFC, au même titre que les instructions sur les services de santé (ISS). La BDRP contiendra des énoncés descriptifs touchant l'utilisation prévue, les usages compatibles ainsi que les méthodes de conservation et d'élimination. Les données du SISFC CL (soit le registre médical électronique) servent à des fins qui coïncident avec la description dans le document sur la BDRP (DND PPE 810).

Principe 3 - Consentement

La Loi sur la protection des renseignements personnels exige le consentement du sujet lorsque les renseignements personnels recueillis n'ont pas trait directement à un programme d'exploitation ou ne concordent pas avec ses objectifs. Le SISFC CL renferme des informations recueillies, avec le consentement des intéressés (ex. : résultats des examens médicaux préalables à l'enrôlement) à des fins qui correspondent directement au mandat du GSSFC et qui sont conformes à sa mission, selon la définition dans le document sur la BDRP (DND PPE 810).

Principe 4 - Limitation de la collecte

Selon le principe prescrit par la CSA, les informations recueillies doivent se limiter à celles qui sont nécessaires aux fins indiquées. Un examen des ensembles de données non officiels du SISFC CL n'a pas fait ressortir d'éléments superflus. (Remarque : le processus d'élaboration d'un dictionnaire de données est en cours).

Principe 5 - Utilisation, communication et conservation

Utilisation

On a déterminé les usages premiers et secondaires des données du SISFC CL, qui concordent avec ceux exposés dans le document sur la BDRP (DND PPE 810).

Communication

La communication de données du SISFC CL pour permettre d'inscrire les patients et d'établir leur admissibilité, de fixer les rendez vous et de consigner les vaccinations constitue une forme de divulgation autorisée, conforme aux dispositions de l'ISS FC 2000-003 (Communication de renseignements personnels), qui est déjà prête et qui sera promulguée.

Conservation

Les méthodes de conservation des données du SISFC CL respectent les règles récemment approuvées inscrites dans l'ISS FC 2000 004 (Conservation et élimination des renseignements personnels), mais elles enfreignent les dispositions du document 6610 sur les régimes et services médicaux s'appliquant au système de classification par sujet et de déclassement de la Défense (SCSDD). Il faudra donc harmoniser ces deux ensembles de règles.

Principe 6 - Exactitude

Plusieurs risques ont été relevés quant à l'exactitude des renseignements médicaux. Le projet SISFC porte sur les risques liés à la préparation d'un dictionnaire de données, aux fonctions de fusion/combinaison, à l'établissement de l'indice central des patients et à la gestion des tableaux. Les mesures prises permettront d'atténuer les risques aux plans de la qualité, de l'intégralité, de l'authenticité et de la ponctualité des renseignements recueillis.

Principe 7 - Mesures de sécurité

Le SISFC CL sera utilisé pour tenir à jour et gérer les renseignements ayant la désignation " protégé A ". En gros, les mesures de sécurité instaurées pour protéger les renseignements assortis d'une cote A sont ordinairement minimes. Mais ce n'était pas le cas pour le SISFC CL, qui a été développé suivant l'hypothèse qu'il servirait ultimement à conserver et à gérer les renseignements ayant la désignation " protégé B ". Il y a un risque potentiel que des utilisateurs autorisés puissent modifier les renseignements à leur sujet; toutefois, les moyens de vérification poussés intégrés au SISFC rendent cette menace plutôt improbable.

Principe 8 - Transparence

Comme nous l'avons indiqué précédemment, c'est un agent privé qui occupe actuellement le poste de responsable de protection de la vie privée (RPVP). Il faudra diffuser les coordonnées de la personne ressource et poursuivre l'établissement d'un programme de protection des renseignements personnels (soit messages de sensibilisation, séances d'orientation et de formation, vérifications) de concert avec les services d'accès à l'information et de protection des renseignements personnels (AIPRP), l'OSSI ISS et le QG GIDS, afin d'uniformiser le contenu et la présentation des messages. On a déjà commencé à mettre au point ces mesures.

Principe 9 - Accès aux renseignements personnels

La possibilité pour les membres des FC de consulter individuellement les renseignements à leur sujet est conforme aux dispositions de DAOD 1002 2 (Demandes non officielles d'accès aux renseignements personnels) et de l'ISS CF 2000-002 (Contrôle de l'accès aux renseignements personnels sur la santé). Le SISFC CL permettra aux intéressés (notamment lors de leur inscription) de vérifier si les données recueillies sur eux sont exactes. En outre, le SISFC offrira la possibilité d'imprimer les fiches d'information, d'où une amélioration du processus d'accès non officiel.

Principe 10 - Possibilité de porter plainte en cas de non respect

Les membres des FC peuvent adresser des plaintes au directeur de leur clinique ou au médecin chef de leur base/escadre à propos des renseignements figurant dans leur dossier médical. Si un militaire se trouve dans l'impossibilité de consulter les renseignements réclamés ou s'il est insatisfait des résultats de sa demande d'information, il peut loger officiellement un grief à l'endroit des FC ou se plaindre auprès du Commissaire fédéral à la protection de la vie privée.