Évaluation préliminaire des facteurs relatifs à la vie privée de la Système d'information de santé des Forces canadiennes (Capacité totale)

Autheur : Peter Pakeman, PAKEMAN & Associates
Version : 2.0 (rapport final)
Date : Le 1er juin 2004

Sommaire

Le présent rapport porte sur l'évaluation préliminaire des facteurs relatifs à la vie privée (EPFVP) applicable au projet du Système d'information sur la santé des Forces canadiennes (SISFC) du point de vue de sa capacité totale (CT). Il s'appuie sur les conclusions et les recommandations formulées dans le rapport sur l'évaluation des facteurs relatifs à la vie privée (EFVP) applicable au SISFC du point de vue de sa capacité limitée (CL), terminé en janvier 2004.

Ce rapport a été compilé conformément aux lignes directrices sur l'EFVP publiées par le Conseil du Trésor, y compris les dix principes énoncés dans le code type de protection des renseignements personnels de l'Association canadienne des normes (CSA).

Les grandes conclusions et recommandations visant à limiter les risques éventuels pour la protection de la vie privée au sein du SISFC CT sont énoncées ci-après, selon une présentation qui reprend les dix principes du code de protection des renseignements :

Premier principe 1 - Responsabilité

Un poste d'officier de protection de la vie privée (OPVP) a été créé et un entrepreneur y est nommé pour le moment. Les efforts déployés pour doter ce poste en permanence se poursuivent.

Il n'a pas été établi si le GSSFC a conclu des ententes officielles (p. ex., des accords sur les niveaux de service) avec ses tiers fournisseurs de soins de santé en vue de déterminer ses exigences en matière de protection des renseignements personnels. Une fois les processus administratifs du SISFC terminés et les différents intervenants identifiés, il y aura lieu de déterminer s'il existe effectivement de telles ententes et, le cas échéant, si elles garantissent une protection acceptable des renseignements personnels.

Dans le récent rapport intitulé Data Sharing & Privacy: Common Data Holdings and the Master Patient Index v 0.1 (9 mars 2004), on reconnaît que le SISFC pourrait avoir besoin de renseignements supplémentaires de systèmes connexes (p. ex., le SGRH). Ces données pourraient correspondre ou non à la définition du terme dépôts de données communes (registre central des patients du SISFC, tel qu'il est défini dans le rapport MPI Update Analysis and Recommendation de février 2004). Ce rapport a été publié aux fins d'examen et de formulation de commentaires. Il est prévu que la mise en œuvre des recommandations formulées renforcera le premier principe, celui de la responsabilité.

Deuxième principe - Détermination des fins de la collecte des renseignements

Le récent rapport intitulé Data Sharing & Privacy: Common Data Holdings and the Master Patient Index v 0.1 (9 mars 2004) contient un certain nombre de recommandations pour remédier aux préoccupations concernant le fichier de renseignements personnels (FRP). Il a récemment été décidé de confier à l'OPVP le soin d'amorcer la mise en œuvre des recommandations suivantes :

• Réviser le FRP PPE 810 pour veiller à ce que le dossier médical corresponde aux dossiers papier (p. ex., les CF 2034) et aux dossiers sur autres supports (p. ex., électroniques) et pour les adapter aux ISS récemment approuvées en matière de protection des renseignements personnels et de gestion de l'information/des dossiers.
• Mettre au point un modèle servant à définir les fins et les utilisations possibles des données sur la santé.
• Rédiger un avis qui décrit l'engagement du GSSFC à protéger les renseignements personnels et des énoncés qui décrivent comment les renseignements personnels sur la santé des particuliers (p. ex., les membres des FC) seront utilisés et protégés.

Troisième principe - Consentement

Aucun risque n'a été identifié pour le moment en ce qui a trait à la protection des renseignements personnels.

Quatrième principe - Limitation de la collecte

En vue de déterminer si les données cueillies sont nécessaires, il faut savoir quelles données sont effectivement cueillies et à quoi elles doivent servir. Certaines démarches ont été engagées en ce sens à la phase 1, sous la forme du développement partiel d'un dictionnaire des données - activité qui a été reprise en partie par le projet des DSIG. On s'attend à un écart considérable entre le nombre de données évaluées/mises en correspondance par les DSIG et le nombre saisi par le SISFC. Il est recommandé de poursuivre les efforts visant la constitution d'un dictionnaire de données de base qui définit les éléments de données du SISFC.

Cinquième principe - Limitation de l'utilisation, de la communication et de la conservation (des renseignements)

Tel qu'il a été indiqué ci-dessus (voir le deuxième principe - Détermination des fins de la collecte des renseignements), la décision a récemment été prise de mettre en œuvre la principale recommandation du rapport Data Sharing & Privacy: Common Data Holdings and the Master Patient Index v 0.1 (9 mars 2004).

Utilisation

Les chargés du projet du SISFC sont en train de documenter les procédés administratifs, ce qui contribuera à déterminer les fins auxquelles les renseignements sont utilisés. Lorsqu'ils auront terminé, les utilisations principales et secondaires des renseignements seront plus faciles à comprendre et pourront être versées au modèle (voir le deuxième principe - Détermination des fins de la collecte des renseignements) en vue de définir les fins et les utilisations des renseignements personnels en matière de santé. On s'attend à ce que les principales fins auxquelles servent les renseignements soient essentiellement les mêmes que celles figurant dans le FRP PPE 810.

Communication

Tel qu'il est indiqué ci-dessus, les chargés du projet sont en train de documenter les procédés administratifs. Lorsqu'ils auront terminé, il y aura lieu d'établir quels renseignements sont communiqués à qui et par quels moyens, afin d'éviter les communications non autorisées.

La communication de données contenues dans le SISFC se fera conformément aux modalités de l'ISS FC 2000-003 (communication de renseignements personnels), qui est en cours de publication.

La Loi sur la protection des renseignements personnels exige que l'on consigne toute communication de renseignements personnels. De plus, l'article 62.4.6 du SISFC exige la tenue d'un dossier indiquant qui a eu accès à quels renseignements du DES, en plus de précisions sur les renseignements imprimés ou communiqués - les particularités de l'exigence en question ne sont pas encore au point. L'OPVP travaille actuellement à la rédaction d'un rapport sur la demande de décision concernant la vérification, qui contribuera à définir l'article 62.4.6. L'OPVP, l'OSSI, le QG GI/GD et le gestionnaire des archives médicales préparent la demande de décision.

Conservation

Le Système de classification par sujet, de conservation et d'élimination des documents de la Défense (SCSCEDD) est un système de gestion des dossiers sanctionné par les Archives nationales du Canada (AN). Les unités du MDN/des FC doivent utiliser le SCSCEDD pour organiser leurs fonds de renseignements. La rubrique sur les plans et services médicaux de cette section (6610) contient des renseignements erronés sur le stockage, la récupération, l'utilisation et l'élimination des dossiers/documents sur la santé. Il faut modifier l'article 6610 du SCSCEDD pour distinguer les sources autorisées régissant la gestion des archives médicales, telles qu'elles sont définies dans l'ISS FC 2000-000, et pour éviter toute confusion. L'OPVP, le QG GI/GD et le gestionnaire des archives médicales sont en train de rédiger les modificatifs nécessaires.

Sixième principe - Exactitude

Un certain nombre de risques concernant l'exactitude des renseignements en matière de santé ont déjà été repérés dans le cadre de l'EFVP (janvier 2004). Voici un suivi/une mise à jour sur ces risques.

Dictionnaire de données

Pour évaluer l'exactitude des données, il faut définir ou décrire les éléments de données que le SISFC servira à compiler. Il est recommandé que l'équipe du projet élabore un dictionnaire de données de base où elle définira les éléments de données de base (voir le quatrième principe - Limitation de la collecte) afin d'éviter la confusion et les méprises et de limiter les risques associés au projet.

Avis de correction

Il faut (en vertu de la Loi sur la protection des renseignements personnels) diffuser des avis de correction aux tiers partis à qui des renseignements erronés ont été communiqués dans les deux années précédant la correction. À cette fin, le SISFC doit pouvoir retracer : (a) quels renseignements ont été communiqués et (b) quels renseignements ont été corrigés. Il est recommandé que l'équipe du projet examine comment et si le SISFC peut exécuter une telle tâche (voir le cinquième principe - Limitation de l'utilisation, de la communication et de la conservation (des renseignements)). L'OPVP et le QG GI/GD rédigeront un modificatif à l'ISS FC 2000-003 (communication de renseignements personnels) pour faire état de cette exigence en matière de protection des renseignements personnels.

Fonctionnalité de fusionnement/combinaison

Il existe un risque réel de créer des fichiers en double, et il est essentiel de se doter de moyens de fusionner ou de combiner certains dossiers. Pour en arriver à la conception d'une solution pertinente, il faut comprendre la structure des rencontres avec les patients et s'entendre à ce sujet. Certains aspects de la fonctionnalité requise ont été développés, et les efforts se poursuivent pour ce qui est de résoudre les autres.

Registre principal des patients (RPP)

Les intervenants continuent d'exprimer de l'inquiétude quant à la qualité (y compris l'opportunité) d'alimenter le SISFC au moyen des données du SGRH. À l'heure actuelle, les utilisateurs des sites pilotes n'ont signalé aucun problème; néanmoins, il est recommandé que l'équipe du projet continue de demander de la rétroaction aux utilisateurs du SISFC au fur et à mesure qu'il entrera en service d'un bout à l'autre du pays et, le cas échéant, de prendre les mesures correctives qui s'imposent.

Les numéros d'identification uniques utilisés aux fins du SISFC peuvent prendre trois formes : (a) numéros matricules; (b) numéros générés par le SISFC; et (c) numéros inscrits manuellement. Il y a donc un risque de créer plus d'un numéro d'identification (ou dossier) pour une même personne, puisque les numéros inscrits manuellement ne sont pas validés/vérifiés. Il est recommandé que l'équipe du projet veille à empêcher les dédoublements.

Saisie des visites chez des fournisseurs de soins externes

Compte tenu que les procédés de la phase II continueront de s'appuyer sur la version papier du formulaire CF 2034, l'inscription des visites de patients à des fournisseurs de soins externes au SISFC pourrait incorporer les éléments suivants :

• un rappel visuel aux cliniciens de demander le CF 2034 et de prendre connaissance de la nature de la visite, du diagnostic, du traitement et du résultat;
• un rappel (ou déclencheur électronique) qui signale aux archives médicales de s'attendre à recevoir copie des registres des traitements de fournisseurs externes;
• un rappel (ou déclencheur électronique) qui signale aux gestionnaires des demandes de remboursement de s'attendre à recevoir une demande de remboursement;
• des rapports de contrôle de la qualité visant à assurer le suivi relatif aux articles attendus ou à venir (p. ex., copies des registres des traitements).

L'activité est comparable à celle des commandes et des résultats, où l'on s'attend à un résultat donné (dans le cas présent, copie des registres des traitements ou une demande de remboursement) lorsqu'une commande est donnée (dans le cas présent, l'inscription d'une visite/rencontre chez un fournisseur externe). Il est recommandé que l'équipe du projet envisage des moyens de saisir les visites de patients chez des fournisseurs de soins externes qui donneraient un profil complet et exact de toutes les visites faites par les patients - l'occasion pourrait également se prêter à établir un lien dans le SISFC renvoyant à des renseignements provenant de tiers, nommément les fournisseurs externes.

Septième principe - Mesures de sécurité

Le dispositif de sécurité du SIFC vise à protéger les renseignements contenus ou acheminés dans le système contre l'accès non autorisé. La CT du SISFC permet d'emmagasiner et de gérer des renseignements désignés Protégé B.

Plusieurs des risques de sécurité identifiés dans l'EFVP (janvier 2004) ont trait à des recommandations formulées dans une évaluation de la menace et des risques (EMR) antérieure (mars 2001). Ils sont décrits en détails à la section Analyse des facteurs relatifs à la vie privée du présent rapport. Les éléments sommaires énumérés ci-dessous constituent des exigences qui sont en cours d'application et qui doivent être terminées avant la phase 2 en qualité d'étapes obligatoires relativement au transfert des activités à Borden (SSED) :

• mise en œuvre du programme de sécurité TI du SISFC - en cours;
• mise en œuvre du programme officiel de sécurité des supports TI - en cours.

L'une des grandes préoccupations qui est ressortie pendant l'EFVP (janvier 2004) réside dans l'absence d'un modèle de contrôle de l'accès qui soit robuste, souple et convivial. Le modèle destiné au SISFC - CL est en cours d'élaboration; les rôles en ont été définis et on projette de l'orienter et de l'adapter au besoin aux fins du SISFC - CT. Les risques d'entrave à la vie privée découlant de ce modèle ne sont pas intrinsèques au modèle, mais relèvent plutôt de sa mise en oeuvre et de la répartition des rôles. C'est-à-dire que si les rôles ne sont pas bien définis ou attribués, alors il y a un risque que les utilisateurs obtiennent l'accès à plus de renseignements qu'il ne leur en faut pour s'acquitter de leur travail. Bien qu'il n'existe aucunes normes en la matière, l'établissement d'une stratégie et d'un programme de vérification peut apporter de l'information supplémentaire visant à équilibrer les exigences relatives à la sécurité et la nature confidentielle des renseignements en vue de mettre les renseignements nécessaires à la disposition des personnes concernées (p. ex., utilisateurs, intervenants) selon le principe du besoin de savoir. L'OPVP, le QG GI/GD et le gestionnaire des archives médicales rédigent actuellement une réponse à la demande de décision portant sur les vérifications.

Huitième principe - Transparence

Tel qu'il a déjà été indiqué, les efforts visant à doter le poste d'officier de protection de la vie privée (OPVP) se poursuivent. Une fois le titulaire nommé, il devra diffuser ses coordonnées comme personne-ressource et de l'information sur le programme de protection des renseignements personnels. Entre-temps, un contrat a été conclu avec un consultant pour qu'il commence à élaborer le programme de protection des renseignements personnels du GSSFC.

Neuvième principe - Accès aux renseignements personnels

Les modalités en vertu desquelles les membres des FC ont accès aux renseignements personnels les concernant sont conformes aux dispositions de la DAOD 1002-2 (Demandes non officielles d'accès à des renseignements personnels) et de l'ISS FC 2000-002 (Contrôle de l'accès aux renseignements personnels sur la santé).

L'élaboration de procédés administratifs précis est en cours. L'un de ces procédés consistera à communiquer les renseignements voulus aux personnes autorisées qui en font la demande. Le SISFC doit pouvoir fournir les renseignements demandés sous forme imprimée - il s'agit d'un critère d'acceptation du système pour la phase 2.

Il existe également une exigence en matière de protection des renseignements personnels en vertu de laquelle les gens qui en font la demande doivent pouvoir obtenir l'accès aux renseignements personnels sur leur santé sur un différent support que le papier. À l'heure actuelle, il n'existe aucun plan visant à fournir des renseignements par d'autre moyen que des documents imprimés. Il est recommandé d'envisager la possibilité d'utiliser d'autres supports (p. ex., supports électroniques, ou CD).

Dixième principe - Possibilité de porter plainte contre le non-respect des principes

Les membres des FC peuvent adresser au gestionnaire de la clinique ou au médecin-chef de la base/l'escadre toute plainte concernant les renseignements contenus dans leur dossier médical. S'ils se sont vu refuser l'accès aux renseignements demandés ou s'ils ne sont pas satisfaits de l'issue de leur demande, ils peuvent déposer une demande officielle de redressement de grief auprès des FC ou déposer une plainte officielle auprès du Commissionnaire à la protection de la vie privée du Canada. Il faut modifier le procédé actuel pour y intégrer le rôle de l'OPVP et le faire connaître dans l'ensemble du GSSFC. La responsabilité en incombe à l'OPVP et doit être énoncée dans le programme de protection des renseignements personnels.

Il n'existe pas non plus de moyen de consigner les demandes ou plaintes reçues en matière de facteurs relatifs à la vie privée ni d'en assurer le suivi, afin de veiller à y répondre dans les délais prescrits par la loi. Il y a lieu de déterminer comment consigner les demandes et les plaintes de membres des FC et d'autres membres adressées au GSSFC et comment en assurer le suivi. La responsabilité en incombe à l'OPVP et est à l'étude.