Orientation électronique Ontario – Les patients avant la paperasse (PB4P) – Sommaire de l'EFVP de la Passerelle provinciale de coordination des soins (PPCS)
Date du rapport de l'EFVP : 31 mars 2025
Date de la dernière révision et mise à jour du résumé de l'EFVP : 22 septembre 2025
Voici un résumé de l'EFVP du programme Les patients avant la paperasse (PB4P) de la Passerelle provinciale de coordination des soins (PPCS), y compris un bref historique, les principales conclusions et les risques et recommandations, le cas échéant. Consultez notre page Nous contacter pour savoir comment communiquer avec le Bureau de la protection de la vie privée de Santé Ontario si vous avez des questions.
Contexte
Le gouvernement de l'Ontario s'engage à offrir des soins connectés et pratiques aux Ontariens. En février 2023, le gouvernement de l'Ontario a annoncé le programme Votre santé : Un Plan pour des soins connectés et pratiques (le Plan), dans lequel l'objectif de « supprimer définitivement le télécopieur » a été énoncé pour soutenir les bons soins au bon endroit. Le Plan décrit l'engagement de remplacer « les télécopieurs obsolètes par des alternatives de communication numérique » au cours des cinq prochaines années.
Cet engagement du ministère de la Santé de l'Ontario (MS) répondra aux préoccupations en matière de confidentialité liées aux télécopieurs qui sont désormais au centre des préoccupations. Les commissaires à la protection de la vie privée à travers le Canada ont adopté une position publique claire et cohérente concernant l'utilisation du télécopieur et d'autres technologies non sécurisées pour la communication de renseignements personnels sur la santé.
Pour permettre cette transformation clinique, le MS et Santé Ontario ont élaboré une proposition globale visant à moderniser les communications avec les fournisseurs de soins grâce à une initiative appelée Les patients avant la paperasse (Pb4P). Cette initiative quinquennale vise à réduire la charge administrative des fournisseurs de soins de première ligne en créant un système plus transparent et connecté numériquement, pouvant être utilisé par les fournisseurs de soins de santé pour exploiter, planifier, coordonner et fournir des soins aux patients. Plus précisément, Pb4P mettra en œuvre un ensemble coordonné et intégré de solutions numériques pour les fournisseurs de première ligne grâce à un programme de changement cliniquement guidé axé sur les soins primaires.
La vision de Pb4P vise à placer les patients avant la paperasse, en apportant des améliorations et en développant des solutions de santé numériques visant à alléger les tâches administratives les plus contraignantes auxquelles sont confrontés les fournisseurs et leurs patients.
Dans le cadre de l’initiative « Les patients avant la paperasse » (PB4P), le mandat de Santé Ontario est d’élaborer un processus clinique intégré qui comprend des outils de communication numérique pour les références, ainsi qu’un accès amélioré et des temps d’attente réduits pour l’IRM, la tomodensitométrie et l’échographie diagnostique grâce à la création de processus d’admission centraux régionaux.
Cette EFVP sera basée sur le développement de la solution de la Passerelle provinciale de coordination des soins (PPCS). La Passerelle provinciale de coordination des soins est un actif numérique de Santé Ontario qui prend en charge le routage des références dans le nouveau réseau de orientations électroniques. La solution de la PPCS est détenue, gérée par Santé Ontario et fournie des services de santé compréhensifs à la province, qui s'appuie sur la Passerelle One d'accès (POA) pour prendre en charge le flux de travail de référence de bout en bout.
Elle garantit que les références sont livrées électroniquement de la source à la destination sans nécessiter d'intégration point à point pour connecter le RMS du praticien référent et le RMS du fournisseur destinataire. Elle s'appuiera sur la POA pour garantir que seuls les fournisseurs de soins approuvés soient en mesure d'envoyer des transactions de référence. La PPCS collabore avec les principaux actifs provinciaux de Santé Ontario (Répertoire provincial des services de santé (RPSS), ONE ID, formulaires électroniques (eForms) provinciaux, etc.) pour créer un réseau de référence efficace et sécurisé.
Le service permettra un routage en temps réel, permettant de collecter les temps d'attente en temps réel aux différents états d'une référence. Toutes les transactions passant par la PPCS seront répertoriées et suivies. Les informations sur les rendez-vous seront versées au répertoire de orientation électronique pour faciliter le calcul du temps d'attente, l'accès des patients et les rappels de rendez-vous. La cartographie HL7-v2 sera prise en charge par la solution de la PPCS, permettant une meilleure interopérabilité entre les systèmes communautaires et hospitaliers.
Le développement de la PPCS est basé sur le guide de mise en œuvre des ressources d'interopérabilité rapide des soins de santé (FHIR). Le Guide de mise en œuvre des FHIR pour la référence et la consultation électronique de l'Ontario (IG) a été rédigé pour aider les responsables de la mise en œuvre des systèmes qui utiliseront HL7 FHIR pour soutenir la communication entre les professionnels de la santé et les fournisseurs de services effectuant des renvois électroniques de patients et/ou des consultations électroniques dans la province de l'Ontario. Il fournit un contexte commercial, des cas d'utilisation et des flux d'informations spécifiques à l'écosystème de orientation électronique et de consultation électronique de l'Ontario. Il est conçu pour être suffisamment générique pour prendre en charge de nombreux parcours différents.
Cette EFVP Pb4P est limitée au développement de la solution de la PPCS uniquement. D'autres EFVP sont prévus et débuteront en janvier 2025 pour la solution globale impliquant les fournisseurs et l'intégration des solutions de système de gestion des références (RMS) des fournisseurs.
Principales conclusions
L'EFVP conclut que l'Ontario a un rôle principal à jouer dans la collecte, l'utilisation et la divulgation des renseignements personnels sur la santé (RPS) dans le cadre de l'initiative de orientation électronique de l'Ontario :
« Rôle de fournisseur de réseau de renseignements sur la santé (FRRS) » – dans la fourniture de services liés aux RPS aux dépositaires de renseignement sur la santé (DRS) participants.
L'autorité de Santé Ontario pour ce rôle se trouve dans les ententes entre les DRS et Santé Ontario; dans la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS).
Entente entre fournisseur de réseau de renseignements sur la santé (FRRS) avec tous les DRS participants; et les exigences relatives au fournisseur/FRRS en vertu de l'alinéa 10(4) de la LPRPS et de l'article 6 du Règlement sur la LPRPS.
Pour la solution de la PPCS, l'analyse initiale de la confidentialité de l'initiative a identifié dix (10) risques liés à la confidentialité, y compris, selon notre matrice d'exposition aux risques : un (1) risque élevé, dix (9) risques moyens. La plupart de ces risques ont été abordés et résolus; ceux qui demeurent ouverts sont présentés ci-dessous, accompagnés des recommandations correspondantes.
Conformément à la politique et aux procédures de gestion des risques liés à la vie privée de Santé Ontario, le Directeur général de la protection de la vie privée (DGPVP) approuve et entérine les résultats de l'EFVP et du processus de gestion des risques. Dans le cas où un ou plusieurs risques ne peuvent être atténués à un niveau acceptable (soit un niveau mineur), le responsable désigné du secteur d'activités ou du portefeuille concerné doit :
- examiner et signer le formulaire d'acceptation des risques;
- préparer une documentation à l'appui (note d'information) traitant des conséquences possibles liées à l'acceptation du ou des risques et à la non-application des recommandations formulées par l'équipe Stratégie, planification, protection de la vie privée, analytique et risques; et
- soumettre le formulaire d'acceptation des risques et la documentation à l'appui au responsable exécutif du portefeuille concerné ainsi qu'au cadre supérieur responsable de la stratégie, de la planification, de la protection de la vie privée, de l'analytique et des risques pour examen et approbation.
La norme d'EFVP de Santé Ontario recommande que tous les risques élevés et modérés soient atténués à un niveau acceptable (faible) avant le lancement d'un projet.
Risques et recommandations
L'EFVP formule les risques et recommandations suivantes :
Risque n° 1 : L'absence d'évaluation des menaces et des risques avant la mise en service de la solution de la PPCS pourrait conduire à l'exploitation de vulnérabilités inconnues entraînant des dommages à la réputation et des violations de la vie privée.
Recommendation : Il est fortement recommandé de procéder à une évaluation complète des menaces et des risques sur la solution de la PPCS avant sa mise en service.
Statut : Fermé
Risque n° 2 : L'absence de test d'intrusion pour la solution de la PPCS peut conduire à la divulgation non autorisée d'informations sensibles, entraînant des dommages à la réputation.
Recommandation : Il est recommandé aux équipes de projet d'effectuer un test d'intrusion avant la mise en service de la solution de la PPCS. Le test permettra d'identifier les faiblesses de sécurité pouvant être exploitées par des personnes non autorisées.
Remarque : Au moment de l'évaluation, l'équipe du projet a indiqué que le test d'intrusion serait terminé en janvier 2025. Les faiblesses identifiées doivent être atténuées en fonction de leur niveau de gravité.
Statut : Fermé
Risque n° 3 : La configuration non sécurisée de l'actionneur peut exposer des informations sensibles au personnel non autorisé.
Recommandation : Pour garantir la confidentialité et l'intégrité de l'application et de ses données, l'équipe de projet doit configurer et sécuriser correctement les points de terminaison de l'actionneur avant la mise en service de la solution. L'équipe du projet doit également mettre en œuvre les activités de remédiation identifiées dans le rapport VA. Au moment de cette évaluation, l'équipe chargée du projet travaillait à la correction de cette vulnérabilité.
Remarque : Cette vulnérabilité a été identifiée dans le rapport VA.
Statut : Fermé
Risque n° 4 : L'absence de matériel de formation pour la solution de orientation électronique de la PPCS pourrait entraîner des erreurs ou des omissions administratives ou techniques.
Recommandation : Pour assurer une transition en douceur, il est recommandé que l'équipe du projet élabore un matériel de formation complet pour une adoption facile. Le matériel de formation doit être facilement accessible à toutes les parties concernées afin de réduire les conséquences négatives.
Statut : Ouvert
Risque n° 5 : L'absence d'avis de consentement et d'ententes pour la solution de la PPCS peut entraîner des violations de la vie privée.
Recommandation : Bien que Santé Ontario soit autorisé à utiliser les RPS qu'il a reçus des DRS sans consentement à des fins liées à la gestion et à la planification du système de santé. L'équipe du projet doit conclure des ententes séparées avec les DRS concernés et toutes les autres parties pour l'utilisation de la nouvelle solution de la PPCS de orientation électronique.
Statut : Fermé
Risque n° 6 : La solution de la PPCS utilise les services Santé Ontario actuels, bien qu'une évaluation de la confidentialité des ententes de service n'ait pas été effectuée pour déterminer si la solution est conforme à la réglementation relative à l'offre de nouveaux services. Le manque de visibilité sur ces ententes existantes présente un risque d'accès, d'utilisation ou de divulgation non autorisés de renseignements personnels (RP) et de renseignements personnels sur la santé (RPS), pouvant entraîner des violations de la vie privée.
Recommandation : Pour des raisons de confidentialité, il est recommandé d'examiner les ententes relatives aux services utilisés pour la PPCS de manière rigoureuse afin de garantir la conformité avec les contrats existants, ce qui éviterait une utilisation excessive ou une collecte excessive de RP/RPS en relation avec la solution de la PPCS.
Statut : Ouvert
Risque n° 7 : En l'absence de documentation des exigences commerciales (DEM), il existe un risque selon laquelle la solution ne réponde pas aux exigences de confidentialité et de sécurité, que la portée du projet ne soit pas claire, qu'il y ait une mauvaise planification, un dépassement ou un sous-budget, un non-respect des délais définis, etc., ce qui peut entraîner des dommages financiers, réglementaires et de réputation.
Recommandation : L'équipe de projet doit élaborer un document complet sur les exigences commerciales illustrant clairement les exigences de confidentialité et de sécurité en matière de protection des informations sensibles. En outre, le DEM doit inclure des détails sur les éléments suivants, sans toutefois s'y limiter : les rôles et responsabilités, les exigences fonctionnelles, la disponibilité de la solution, la reprise après sinistre, etc.,
Statut : Fermé
Risque n° 8 : L'équipe du projet a adopté une approche agile pour le développement de la solution de la PPCS. Ainsi, des cas d'utilisation ont été développés au lieu de suivre le processus traditionnel de DEM. Lors de cette évaluation, bien que les cas d'utilisation aient été consignés, il n'est pas encore établi si d'autres sont nécessaires. La mise en œuvre des cas d'utilisation suivra une approche progressive. Si tous les cas d'utilisation ne sont pas définis et clairement documentés, il est possible que la solution de la PPCS ne réponde pas aux attentes des utilisateurs, qu'elle introduise des risques inconnus et qu'elle entraîne des dommages financiers, réglementaires ou de réputation.
Recommandation : L'équipe de projet doit s'assurer que tous les cas d'utilisation pertinents sont développés et testés avant la mise en service de la solution de la PPCS. En outre, il convient de finaliser le plan de mise en œuvre et l'approche par étapes afin de garantir que les cas d'utilisation sont mis en œuvre dans un ordre spécifique pour éviter tout retard dans le projet. L'équipe du projet doit également réaliser des EFVP delta sur des phases supplémentaires du projet.
Statut : Fermé
Risque n° 9 : Les éléments de données de la solution de la PPCS ne sont pas clairement documentés pour la solution de la PPCS. Bien que les éléments de données soient définis dans le Guide d'implémentation des HL7 FHIR pour la référence et la consultation électronique de l'Ontario, ils sont en version préliminaire au moment de la présente évaluation.
Recommandation : L'équipe de projet doit clairement documenter, confirmer et finaliser les éléments de données de la solution de la PPCS.
Statut : Fermé
Risque n° 10 : Les rôles et responsabilités ne sont pas clairement définis pour la solution de la PPCS. En l'absence de rôles et de responsabilités, il existe un risque de malentendu ou d'incapacité à réagir aux violations de la confidentialité ou de la sécurité en temps opportun.
Recommandation : La solution de la PPCS est une toute nouvelle version, gérée et prise en charge en interne par Santé Ontario. L'équipe de projet doit clairement définir et documenter les rôles et responsabilités pour la gestion de la solution de la PPCS globale. Étant donné que la solution de la PPCS est toute nouvelle, assurez-vous que le personnel dédié soit entièrement formé et que le personnel de secours soit également formé à la gestion des composants clés de la solution de la PPCS.
Statut : Fermé
Dernière Mise à Jour: 05 novembre 2025