eReferral Ontario – Intégration du transfert électronique de données (TED) au portail provincial de coordination des soins (PCCG) Résumé de l’analyse d’impact relative à l’application EIPVP

Date du rapport complémentaire EIPVP : 29 janvier 2026

Date de la dernière révision et mise à jour du résumé de l' EIPVP : 18 février 2026

Ce qui suit est un Résumés de l’ évaluation d'impact sur la vie privée (EIPVP) mentionnée ci-dessus, y compris un bref contexte, les principales conclusions et les risques et recommandations, le cas échéant. Consultez notre  page « Contact sur la protection de la vie privée » pour savoir comment contacter le Bureau de la protection de la vie privée en matière de santé de l’Ontario si vous avez des questions.

Contexte

Dans le cadre de l’initiative Patients Before Paperwork (Pb4P), Ontario Health fait progresser une approche provinciale intégrée en matière d’orientation et de coordination des soins par l’intermédiaire du Provincial Care Coordination Gateway (PCCG). Le PCCG soutient les flux de travail d'orientation numérique visant à améliorer l'accès aux soins, à réduire les temps d'attente et à permettre une expérience d'orientation plus cohérente et transparente pour les patients, les praticiens référents et les fournisseurs de soins receveurs dans tout l'Ontario.

Cette résumé de l’ évaluation d'impact sur la vie privée (EIPVP) de Delta se concentre spécifiquement sur l'introduction de la fonctionnalité de transfert électronique de données (TED), en tant que service supplémentaire au sein de la solution PCCG existante. Cette évaluation s'appuie sur les évaluations d'impact sur la protection des données (EIPVP) précédemment réalisées pour la solution Pb4P PCCG et l'intégration de PCCG avec OceanMD et ne réévalue donc pas les risques liés à la protection de la vie privée déjà évalués dans le cadre de ces initiatives. Au lieu de cela, cette EIPVP de Delta identifie des considérations nouvelles ou incrémentales découlant de l'utilisation du TED pour acheminer les références vers des destinations qui ne sont pas encore activées pour l'intégration directe eReferral - PCCG.

Bien que l’objectif à long terme de l’initiative Pb4P soit de permettre des références numériques de bout en bout grâce à des solutions de référence électronique normalisées, une part importante des volumes de références dans toute la province continue de s’appuyer sur des flux de travail qui relèvent de la catégorie plus large du transfert électronique de données (TED), qui comprend les processus traditionnels basés sur le fax et fournis par le biais des capacités eFax/fax. De nombreux prestataires de soins, notamment les cliniques spécialisées, les sites hospitaliers et les centres régionaux d'accueil centralisé (CI), ne sont pas encore techniquement prêts à recevoir directement des eReferrals complets. Afin de soutenir la continuité des soins et les objectifs d’adoption pendant cette période de transition, Ontario Health active la fonctionnalité TED (y compris la télécopie électronique) au sein du PCCG à titre de solution provisoire.

Dans le cadre de la mise en œuvre de la phase 1, la fonctionnalité TED ne sera disponible que pour les références provenant du système de gestion des références (RMS) d' OceanMD et acheminées via PCCG vers les destinations TED désignées. Dans ce flux de travail, les informations de référence saisies dans les formulaires de référence standardisés (SRF) sont converties en documents lisibles par les cliniciens (par exemple, des PDF) dérivés des messages FHIR et transmis via TED aux prestataires destinataires jusqu'à ce que l'adoption complète de l' eReferral soit atteinte. Bien que cette approche transitoire favorise la continuité des flux de travail d'orientation et réduise la dépendance à l'égard de la télécopie manuelle, elle introduit des risques en matière de confidentialité associés aux technologies héritées, aux processus de traitement manuel et à la perte de visibilité de bout en bout une fois que les informations quittent l'environnement technique d'Ontario Health.

Santé Ontario exploite le PCCG en tant que fournisseur de réseau d’information sur la santé (HINP) en vertu de la Loi sur la protection des renseignements personnels sur la santé (PHIPA). En conséquence, cette évaluation examine le service TED à travers le prisme du HINP, en évaluant les implications en matière de responsabilisation, de garanties, de journalisation et de surveillance, d'exactitude, de formation, d'accords, ainsi que de rôles et de responsabilités entre Ontario Health, les dépositaires de l'information sur la santé (HIC) participants, OceanMD et les destinataires du service TED.

Principales conclusions

L’évaluation a identifié cinq (5) risques liés à la protection de la vie privée.  Chaque risque, ainsi que les recommandations correspondantes et son état actuel, sont décrits ci-dessous.

Risques et recommandations

L' EIPVP formule les risques et recommandations suivantes :

Risque n° 1 : Il existe un risque que des vulnérabilités inconnues dans les systèmes existants utilisés pour prendre en charge TED entraînent un accès non autorisé ou une violation de la vie privée.

Recommandations : S'assurer que les services utilisés ont été évalués au regard des vulnérabilités connues.  S'assurer que les correctifs et mises à jour les plus récents sont appliqués aux systèmes et services utilisés. S’assurer que les résumé de l’ évaluation d'impact sur la vie privée (EIPVP) sont effectuées sur les services utilisés.

S’assurer que tous les systèmes et services utilisés pour prendre en charge TED, y compris ceux qui sont évalués pour les vulnérabilités connues, maintenus à jour avec les correctifs actuels et pris en charge par des évaluations de sécurité et des EIPVP complètes.

Statut : Complété

Risque n° 2 : En l'absence de formation sur la gestion des flux de travail TED, il existe un risque d'accès non autorisé et de violation de la vie privée pouvant entraîner une infraction à la législation et des dommages à la réputation.

Recommandations : S’assurer que les HIC sont conscients de leurs responsabilités et former les utilisateurs à la gestion des flux de TED, y compris le tableau RACI.  S’assurer que le matériel de formation est en place et que les utilisateurs sont formés à la suppression/purge des télécopies électroniques une fois qu'elles ont rempli leur objectif afin d'empêcher la divulgation de données sensibles ou l'accès non autorisé aux PI et PHI.  Les supports de formation devraient également préciser quand choisir les destinations des centres de réception centralisés et les critères de sélection de ces centres.  S'assurer que des contrôles de sécurité appropriés sont en place pour protéger les données sensibles.

S'assurer que les risques identifiés lors de l'évaluation de la sécurité sont atténués en fonction de leur niveau de gravité.  Les ententes devraient préciser les obligations des HIC en matière de gestion des services TED par l’intermédiaire d’ eReferral Ontario.

Statut :  Ouvrir

Risque n° 3 :  La saisie manuelle des informations requises pour certains processus TED peut accroître le risque d'erreurs pouvant entraîner une divulgation non autorisée ou une violation de la vie privée, avec des conséquences néfastes pour la réputation.

Recommendation : Mettre en œuvre et établir un processus de validation pour garantir l'exactitude des informations de contact, y compris les procédures et processus de saisie manuelle des données dans les flux de travail TED. S’assurer que les établissements de santé reçoivent une formation appropriée sur la fonctionnalité TED et que des pratiques d’enregistrement et de suivi sont en place pour la surveillance des transmissions TED dans le cadre de la solution PCCG.

Statut :  Ouvrir

Risque n° 4 : Une solution TED provisoire peut être sujette à des atteintes à la vie privée ou à des problèmes de qualité, de sécurité et de fiabilité, ce qui peut entraîner une incapacité à se conformer à la réglementation et, par conséquent, des dommages à la réputation.

Recommendation : Élaborez un plan de transition assorti d'échéanciers réalistes pour éliminer progressivement les orientations basées sur les tests électroniques. S’assurer que des accords contractuels sont en place décrivant clairement les responsabilités des HIC en matière de protection des PI et PHI, y compris les exigences de suppression/purge des TED après qu’elles aient rempli leur objectif afin d’empêcher tout accès ou divulgation non autorisés de données sensibles. S’assurer que les risques identifiés dans le projet sont atténués avant la mise en service, maintenir l’exactitude et la fiabilité des informations dans PHSD et s’assurer que la surveillance et l’audit sont configurés pour suivre l’utilisation de TED.

Statut :  Ouvrir

Risque n° 5 : Les accords actuels entre Ontario Health, OceanMD et les pays à revenu élevé pourraient ne pas inclure les services TED nouvellement ajoutés.  L’absence d’accords, d’attentes, de garanties et de responsabilités mis à jour peut créer un flou, engendrant des risques pour la protection de l’information et pouvant entraîner des dommages à la réputation.

Recommendation :  Ocean Legal et Ontario Health devraient collaborer pour s'assurer que les services TED soient inclus dans les ententes.  Veillez à ce que les accords incluent la protection des informations sensibles et définissent les rôles et responsabilités en matière de gestion des processus de TED.  Mettre à jour la description en langage clair du programme eReferral Ontario et s'assurer que les nouvelles destinations TED ont des accords appropriés en place pour toutes les parties concernées : Santé Ontario, OceanMD et les HIC. 

Statut :  Ouvrir