31 mars 2021

Introduction

La mise en œuvre des équipes Santé Ontario (ESO) est essentielle au plan du gouvernement visant à établir un système de soins de santé moderne, durable et intégré qui relie mieux les fournisseurs de soins de santé et fournit des services axés sur le patient/client. Les ESO ont besoin d'un accès rapide et partagé à des données et des renseignements de qualité pour permettre une prestation de soins efficace et efficiente.

L’élaboration et la mise en œuvre d'un plan harmonisé de gestion de l'information (PHGI) solide et résilient permettra de mettre l'accent sur l'acquisition et la gestion des données et des renseignements nécessaires pour atteindre les objectifs de soins intégrés des ESO, tout en protégeant la vie privée. Cela comprend des plans pour permettre aux membres autorisés d'une ESO de recueillir en toute sécurité des renseignements personnels sur la santé et de les divulguer les uns aux autres lorsque cela est nécessaire aux fins de prestation des soins intégrés, de planification (par exemple, la mise en commun ou l'agrégation des renseignements pour comprendre les besoins de santé de la population et les facteurs de coût, pour la segmentation de la population, la conception des voies d’accès aux soins intégrés, etc.), d’amélioration de la qualité et d’évaluation.

Le PIGH guiderait également les activités des ESO en matière de protection de la vie privée et de confidentialité des renseignements personnels sur la santé des particuliers et des renseignements personnels, le cas échéant, afin de garantir que les exigences légales sont respectées et que des normes élevées en matière de protection de l'information et de pratiques conformes à la déontologie sont observées de manière cohérente par tous les membres des ESO. Les ESO devraient prendre en compte leurs besoins en matière de collecte, d'utilisation et de divulgation des renseignements personnels sur la santé, ainsi que les cas où des renseignements statistiques/agrégés et/ou des données dépersonnalisées seraient suffisants. Le plan peut également aborder les répercussions sur la sécurité des données.

Le but du présent document d'orientation est de fournir quelques concepts communs et des liens vers des ressources pour aider les ESO à élaborer leur PHGI, lequel doit être fondé sur les circonstances uniques de chaque ESO. Le présent document n'est pas destiné à être une ressource exhaustive et peut être modifié sans préavis. Il ne vise pas à fournir des conseils juridiques ou sur la conformité aux exigences en matière de protection de la vie privée, car les membres des ESO devraient rechercher leurs propres conseils juridiques indépendants dans le cadre de l’élaboration et de la mise en œuvre de leurs plans.

Conformément à l'accord de paiement de transfert pour le soutien à la mise en œuvre conclu entre le ministère de la Santé (le ministère) et chaque ESO, il sera demandé à l'ESO de résumer son PHGI dans un modèle qui servira confirmer l'achèvement du PHGI de l'ESO. Notez que le ministère n'approuvera pas les PHGI et qu’il n'a pas besoin d'examiner les éléments détaillés d'un PHGI.

Le ministère utilisera le résumé présenté dans le modèle dans le cadre du dialogue continu afin de comprendre les besoins et les priorités des ESO, de cerner les pratiques exemplaires et les obstacles auxquels font face les ESO, et de déterminer les soutiens supplémentaires qui pourraient être nécessaires en 2021-2022 et au-delà.

Principaux sujets à inclure dans un PHGI

(le PHGI détaillé ne doit pas être soumis au ministère)

  • Les objectifs des activités cliniques et des programmes ou services de l'ESO 2021-2022 (par exemple, pour les soins cliniques, l'intégration des services, la coordination des soins et l'impact sur les patients/clients), et les objectifs liés à la gestion des ressources d'information pour atteindre ces objectifs.
  • La détermination des besoins de l'ESO en matière de gestion de l'information (GI) et les priorités d’après le modèle de l’ESO, c'est-à-dire les besoins communs des membres de l'ESO en vue d'atteindre le quadruple objectif (santé de la population, expérience du patient/client, efficacité et expérience du fournisseur).
  • Les plans et les tactiques de l'ESO en matière de GI et de vie privée, et de sécurité le cas échéant, qui permettraient d'atteindre les objectifs ci-dessus, avec les échéanciers et les étapes clés associés.
  • La détermination des lacunes, des défis et des risques connus liés à la gestion de l'information et à la protection de la vie privée, et les stratégies d'atténuation.
  • Composants pertinents :
    • Structures et processus de gouvernance de l'information et de responsabilité (y compris la clarification de l'obligation de rendre compte, des responsabilités et de la prise de décision), notamment pour la gestion des données et la confidentialité.
    • La gestion des données – comprendrait l'identification des ensembles de données de base et des sources de données, ainsi que les flux de données entre les membres de l'ESO et avec d'autres partenaires du système de santé, afin de permettre la collecte/l’utilisation/la divulgation des renseignements personnels sur la santé, et le partage des renseignements statistiques/agrégés et/ou des données dépersonnalisées. Les sujets connexes pourraient être les besoins en matière de partage des données, les accords, la qualité des données et les normes entre les membres de l'ESO. Les diagrammes de flux de données et les analyses des flux de données aideraient à déterminer les effets et/ou les répercussions tout au long des différentes étapes de la GI (planification, création, collecte, organisation et stockage, utilisation et élimination).
    • Le cas échéant, les plans décriraient les solutions numériques de santé disponibles à l'échelle provinciale (par exemple, les visualiseurs cliniques provinciaux) ou d'autres solutions numériques de santé que l'ESO utilise ou propose d'utiliser pour soutenir la mise en œuvre de ses plans et tactiques pour la gestion de l'information.
    • Les considérations et les répercussions relatives à la protection de la vie privée, telles que les principaux résultats de l'évaluation de la protection de la vie privée, les autorités chargées de la protection de la vie privée, l'harmonisation des politiques, des pratiques et des procédures en matière de protection de la vie privée, ainsi que les contrôles et les garanties visant à assurer la protection des renseignements personnels sur la santé (par exemple, la surveillance de l'accès aux systèmes par le biais d'audits programmés ou ponctuels, l'accès basé sur les rôles, les notifications en cas de violation, la gestion des consentements, etc.)
    • Toute considération technique et de sécurité soulignant toute mesure supplémentaire qui pourrait devoir être mise en place.

Au niveau provincial, le ministère a reçu des commentaires sur les problèmes potentiels entravant la mise en œuvre de l'ESO vers l'état final de maturité pour ce qui est, par exemple, du partage des renseignements au sein de l'ESO à des fins de planification de la santé de la population. Les ESO devraient indiquer dans leurs plans les problèmes de GI qui entravent la mise en œuvre de l’ESO, et des approches pour atteindre les résultats dans l'environnement actuel (par exemple, compte tenu du paysage opérationnel, financier, législatif et réglementaire actuel).

Le PHGI comme outil de soutien au développement jusqu’à maturité

Étant un document évolutif qui devrait évoluer au fil du temps, le PHGI initial refléterait les objectifs à court terme de l'ESO dans l'environnement actuel (par exemple, en ce qui concerne les populations cibles actuelles, les priorités de la refonte des soins, le paysage financier, législatif et réglementaire, etc.). Au fur et à mesure que les ESO prennent de la maturité, les plans intégreront des stratégies et des tactiques de GI à plus long terme visant à organiser et à prodiguer des soins qui sont mieux interconnectés pour les patients/clients dans leurs communautés locales.

Idéalement, le PHGI devrait être revu régulièrement aux fins de mise à jour (par exemple, tous les ans) et être révisé lorsque des changements importants ont un impact sur les plans de mise en œuvre, par exemple, lorsque de nouveaux membres sont ajoutés, lorsque les populations sont élargies ou lorsque les plans s'élargissent pour englober l’exigence relative au flux de données supplémentaires.

Références clés

Les sujets et ressources suivants peuvent aider les ESO à créer leur PHGI.

Planification de la GI et de la confidentialité

Un plan solide documente l'approche à adopter pour traiter les facteurs de GI et de protection de la vie privée qui influencent les services et les objectifs précis planifiés d'une ESO, complétant les plans opérationnels, financiers, de ressources humaines, de technologie de l'information et d’autres plans connexes, afin de cibler le quadruple objectif (santé de la population, expérience du patient/client, efficacité et expérience du fournisseur).

Un plan solide comprendrait des activités pour assurer un accès opportun et partagé par les membres de l'ESO à des données et des renseignements de qualité à des fins de prestation de soins intégrés, de planification, d'amélioration de la qualité et d'évaluation. La planification tiendrait compte des mesures de confidentialité et de sécurité pour assurer la gestion sécurisée des données et des renseignements tout au long de leur cycle de vie.

Gestion de l'information (GI)

Qu'est-ce que la GI?

La GI désigne la planification, la mise en œuvre, la supervision et le contrôle de processus, de procédures et de structures explicites et itératives qui régissent la collecte, l'utilisation, la divulgation, la conservation et l'élimination des renseignements conformément à la loi, à la politique et aux normes. Elle comprend l'établissement de pratiques disciplinées et cohérentes liées à la gestion stratégique du cycle de vie de la GI : la planification, la création, la collecte, la protection et l’évaluation/l’élimination des données et des fonds de renseignements.

Pourquoi est-ce important pour les ESO?

Une GI et des flux de données efficaces entre les membres et avec d'autres partenaires du système de santé sont essentiels pour atteindre les buts et objectifs des ESO :

  • Pour les fournisseurs - cela leur permet d'accéder aux renseignements de qualité dont ils ont besoin, au moment où ils en ont besoin, et à des moyens simplifiés de prestation des services, afin qu'ils puissent fournir des soins de qualité.
  • Pour les organisations, cela permet de doter les ESO de politiques et de processus de GI leur permettant de concentrer leurs efforts sur la prestation de soins aux patients/clients, tout en minimisant le temps perdu en activités inefficaces et redondantes liées aux données et aux renseignements.
  • Pour les patients/clients et les fournisseurs de soins, cela offre l'assurance que la vie privée et la confidentialité des renseignements personnels sur la santé des personnes sont protégées et que l'accès à leurs renseignements personnels sur la santé est approprié. Cela signifie également que les patients/clients n'ont pas besoin de raconter leur histoire encore et encore. Parmi les autres avantages, citons :
    • expliquer clairement aux patients/clients la façon dont leurs renseignements sont utilisés par les membres de l'ESO pour améliorer leurs soins;
    • donner aux patients/clients et aux fournisseurs de soins des conseils sur la manière d'aborder les questions liées aux renseignements, par exemple pour les demandes d'accès ou en cas de violation.

Pourquoi un plan de GI « harmonisé » ?

L'élaboration de plans visant à harmoniser les approches entre les membres de l'ESO au fil du temps, lorsque cela est pertinent et réalisable, aidera à faciliter l’atteinte des objectifs de l'ESO. Le terme « harmonisé » est censé refléter la manière dont les membres de l'ESO ont évalué ensemble leurs besoins, leurs priorités et leurs risques, et ont élaboré des plans qui peuvent refléter, par exemple, des politiques et des pratiques nouvelles ou communes, l'adoption de normes, l'éducation et la formation, ou la gestion des affaires, en ce qui concerne l'activité de GI de l'ESO.

Il pourrait s'agir de tirer parti des processus, structures et documents existants et d'adopter des pratiques exemplaires au fil du temps, tout en offrant la possibilité de cerner des approches innovantes. Le plan prendrait également en compte les responsabilités individuelles et collectives des membres de l'ESO et cernerait les approches pour la prise de décision commune relativement à la gestion de l'information et à la confidentialité, le cas échéant.

Compte tenu du large éventail de membres au sein d'une ESO, l’élaboration d’un PHGI fournirait un mécanisme pour faciliter les discussions préliminaires sur la gouvernance de l'information et les structures et processus de responsabilité, par exemple pour la gestion de la qualité des données, la confidentialité et la sécurité. Cela permet également de définir les objectifs communs parmi les membres de l'ESO.

Vie privéefootnote *

La vie privée est un droit fondamental conféré à tous les Ontariens. Afin de protéger ce droit, les lois de l'Ontario, y compris la Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP) et la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS) contiennent des règles visant à protéger les renseignements personnels sur la santé et les IP des personnes, notamment des règles sur la façon dont les renseignements personnels sur la santé et les renseignements personnels sont recueillis, utilisés et divulgués.

Pourquoi est-ce important pour les ESO?

Aux fins de prestation des services de santé, les ESO devraient examiner collectivement le domaine de la protection des renseignements personnels sur la santé et les obligations et responsabilités connexes en vertu de la loi. La législation ontarienne sur la protection de la vie privée prévoit d'importantes obligations, qui s'appliquent respectivement aux personnes, au personnel des fournisseurs, à la direction, aux organisations et aux conseils d'administration, y compris, dans certains cas, aux entreprises privées.

Les ESO doivent examiner et déterminer les pratiques de GI en fonction de leurs objectifs de soins interconnectés. Le respect de la vie privée doit être au cœur de la planification et de la conception des soins intégrés. Les services fournis et le modèle de soins intégrés devraient éclairer et diriger les examens parmi les partenaires des ESO, y compris la prise en compte des mesures de protection coordonnées pour protéger la vie privée et la confidentialité. Les ESO devraient examiner leurs besoins et leurs autorisations légales pour la collecte, l'utilisation et la divulgation des renseignements personnels sur la santé et des renseignements personnels, ainsi que les cas où des données statistiques/agrégées ou des données dépersonnalisées seraient suffisantes.

L'harmonisation au fil du temps des politiques et procédures pertinentes en matière de protection de la vie privée contribuerait à assurer des normes, des pratiques et des processus communs pour tous les membres de l'ESO, par exemple pour la gestion des atteintes à la vie privée et pour la gestion des plaintes et des demandes de renseignements.

Définitions clés

Les renseignements personnels sur la santé comprennent les renseignements identificatoires sous forme verbale ou écrite concernant un particulier, si ces renseignements ont trait à la santé physique ou mentale de ce particulier, y compris aux antécédents de sa famille en matière de santé; à l'identification d’une personne comme fournisseur de soins de santé de ce dernier; aux paiements relatifs aux soins de santé ou à l'admissibilité à ces soins; le numéro de la carte 9 Santé du particulier, tel que défini dans la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS).

Les objectifs de la LPRPS comprennent, sans s'y limiter, l'établissement de règles pour la collecte, l'utilisation et la divulgation des renseignements personnels sur la santé afin de protéger la vie privée des personnes, tout en facilitant la prestation efficace de soins; de fournir aux personnes un droit d'accès aux renseignements personnels sur la santé les concernant et le droit de demander la correction de ces renseignements, sauf dans des cas particuliers; de fournir des recours efficaces pour les contraventions à la loi.

Notez qu'en vertu de la LPRPS, les renseignements personnels sur la santé comprennent également les renseignements identificatoires d'un particulier qui ne sont pas liés à la santé, mais qui sont contenus dans un dossier qui comprend des renseignements personnels sur la santé concernant le particulier. Ces dossiers sont appelés « dossiers mixtes » et sont considérés comme des renseignements personnels sur la santé.

Les renseignements personnels sont des renseignements consignés concernant un particulier identifiable (comme le nom, l'adresse, le numéro de téléphone, l'âge, etc.) en vertu de

  • la Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP) et
  • la Loi sur l'accès à l'information municipale et la protection de la vie privée (LAIMPVP).

Les renseignements peuvent être consignés sous n'importe quel format, comme des documents papier, des documents électroniques, des photographies numériques, des vidéos ou des cartes.

La LAIPVP stipule également que les particuliers jouissent d’un droit d'accès aux renseignements (renseignements non personnels) dont les « institutions » assujetties à cette loi ont la garde ou le contrôle, et exige que les organisations gouvernementales protègent les renseignements personnels et donnent aux particuliers un droit d'accès à leurs renseignements personnels. Certaines organisations membres de l'ESO (par exemple, les hôpitaux) sont des institutions au sens de la LAIPVP.

Évaluation des risques d'atteinte à la vie privée

Pourquoi est-ce important pour les ESO?

Ce processus garantit que les ESO ont évalué les facteurs liés à la GI et à la vie privée dans le cadre de la planification des ESO, de l'analyse des options et de la prestation finale des services. La documentation, y compris les évaluations des facteurs relatifs à la vie privée (EFRVP) et les évaluations de la menace et des risques (EMR), démontre une approche globale de la planification de la prestation de services et de l'utilisation des pratiques exemplaires pour les ESO. Les principales conclusions et les mesures d'atténuation pertinentes tirées des EFRVP et des EMR seraient prises en compte dans le PHGI de l'ESO au fil du temps.

Une EFVP est un outil officiel de gestion des risques utilisé pour déterminer et documenter les effets réels ou potentiels qu'un système d'information, une technologie ou un programme proposé ou existant peut avoir sur la vie privée des particuliers. Une EFVP permet également de déterminer les moyens d'atténuer les risques pour la vie privée. Veuillez consulter le document Lignes directrices concernant l'évaluation de l’incidence sur la vie privée sous le régime de la Loi sur la protection des renseignements personnels sur la santé de l’Ontario pour un outil d'auto-évaluation sur le site Web du Commissaire à l’information et à la protection de la vie privée.

Échange de renseignements au sein de l'ESO

Pour permettre l’échange de renseignements protégés entre les membres de l'ESO, un examen approfondi des besoins et une analyse des options devraient être effectués. Les options tiendraient compte des approches permettant à l’ESO de répondre à ses besoins, y compris, mais sans s'y limiter, les facteurs entourant les autorisations de recueillir/d’utiliser/de divulguer les renseignements personnels sur la santé dans tout le flux de données, et le consentement exprès par rapport au consentement implicite.

Une évaluation des approches pour échanger les renseignements personnels sur la santé, par exemple, tiendrait compte des autorités et des responsabilités des membres de l'ESO en tant que l’un ou l’autre de ce qui suit (liste non exhaustive) : un dépositaire de renseignements sur la santé, un dépositaire de renseignements sur la santé unique, un non-dépositaire de renseignements sur la santé, un agent, un fournisseur d’un réseau d'information sur la santé; et l'utilisation de la santé numérique et d'autres facilitateurs.

Les ESO devraient savoir que certains membres de l'ESO (par exemple, les conseils scolaires) peuvent ne pas être des dépositaires de renseignements sur la santé en vertu de la LPRPS et que, par conséquent, cela peut nuire à l’échange de renseignements parmi ces organisations.

Veuillez consulter la LPRPS et le site Web du Commissaire à l’information et à la protection de la vie privée pour obtenir un complément d'information.

Ressources clés

Voici quelques ressources que les ESO peuvent utiliser pour élaborer leurs plans :

Commissaire à l'information et à la protection de la vie privée de l'Ontario

Le cercle de soins – Communication de renseignements personnels sur la santé pour la fourniture de soins de santé

Frequently Asked Questions PHIPA (disponible en anglais seulement)

Lignes directrices concernant l’évaluation de l’incidence sur la vie privée sous le régime de la Loi sur la protection des renseignements personnels sur la santé de l’Ontario

De-identification Guidelines for Structured Data (disponible en anglais seulement)

Les renseignements personnels sur la santé dans le contexte de la LPRPS, de la LAIPVP et de la LAIMPVP

La Loi sur l'accès à l'information et la protection de la vie privée de l'Ontario – Petit Guide

Les dépositaires de renseignements sur la santé qui travaillent pour des organismes qui ne sont pas dépositaires – Feuille-info

La Loi sur l'accès à l'information municipale et la protection de la vie privée de l'Ontario – Petit Guide

Autres ressources

Outil d'évaluation des sources de données de l'ICIS

Notes en bas de page

  • note de bas de page[*] Retour au paragraphe Veuillez consulter la LPRPS, la LAIPVP, la MLAIPVP et toute autre loi applicable pour connaître les exigences législatives et réglementaires pertinentes. Certaines ressources sont énumérées à la fin de ce document à titre de complément d’information.