Résumé de l'EFVP Registre des utilisateurs

Date du rapport de l'EFVP : Octobre 2011

Date de la dernière révision et mise à jour du résumé de l'EFVP : 2 décembre 2025 (Redéfinition de la marque)

Ce qui suit est un résumé de l’évaluation des facteurs relatifs à la vie privée (EFVP) mentionnée ci-dessus, y compris un bref contexte, les principales conclusions et les risques et recommandations, le cas échéant. Consultez notre page Contact – Vie privée pour savoir comment contacter le Bureau de la protection de la vie privée de Santé Ontario si vous avez des questions.

Contexte

Le Registre des utilisateurs est un élément clé des systèmes d'information fondamentaux de CyberSanté Ontario et a été conçu et réalisé par le programme d'identité, d'accès et de protection de la vie privée de CyberSanté Ontario. L’initiative du Registre des utilisateurs a été élaborée pour fournir une solution unique permettant de contrôler l’accès des utilisateurs aux services de santé en ligne et de suivre les identités électroniques des personnes et des organismes fournisseurs potentiels qui interagissent avec les systèmes de CyberSanté Ontario. Le registre des utilisateurs sert de service d’authentification et d’autorisation pour l’accès des utilisateurs finaux aux services de santé en ligne tels que le Système de gestion des maladies chroniques - Registre des cas de diabète (SGMC - RCD), le Système d'information de laboratoire de l’Ontario (SILO) et la base de données du Programme de médicaments de l’Ontario (PMO).

Le concept de fédération est la pierre angulaire du registre des utilisateurs. Une fédération est une association d'organisations qui ont endossé les rôles de fournisseur d'identité ou de fournisseur de services. Les fournisseurs de services, tels que CyberSanté Ontario, offrent des services aux utilisateurs et font confiance aux fournisseurs d'identité pour authentifier les utilisateurs et fournir des renseignements précis sur les utilisateurs au fournisseur de services, lesquels sont utilisés pour donner l'autorisation d'accès aux services. Le registre des utilisateurs est un élément clé permettant de mettre en œuvre le modèle de confiance fédérée avec les organisations partenaires et de garantir un accès sécurisé aux renseignements personnels sur la santé (RPS).

Lorsque les fournisseurs soumettent des demandes de service pour accéder aux services de santé en ligne, le registre des utilisateurs valide et enregistre les demandes et associe les identités fédérées des utilisateurs (telles qu'indiquées dans la demande) aux identités réelles des fournisseurs, que l'on trouve dans le registre des fournisseurs (RF) de CyberSanté Ontario. Si cette étape de validation est réussie, une demande d'autorisation de service est alors soumise au Registre des utilisateurs pour accéder aux services de CyberSanté Ontario. Le Registre des utilisateurs autorise l'accès au service en vérifiant que l'utilisateur dispose du niveau de confiance requis pour accéder au service demandé, conformément à la législation, à la réglementation et aux politiques applicables (telles que représentées par les règles d'accès enregistrées dans le Registre des utilisateurs). Le Registre des utilisateurs attribue aux utilisateurs des rôles prédéfinis en fonction de leurs attributs et accorde ou refuse l'accès au service demandé.

Le Registre des utilisateurs ne recueille, n'utilise ni ne divulgue aucun RPS tel que défini par la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS) de l'Ontario. Les informations utilisées par le Registre des utilisateurs pour la validation et l'octroi des services comprennent des informations sur le fournisseur, telles que le numéro de licence, le nom de famille et le statut auprès de son ordre professionnel. Les informations reçues et utilisées par le Registre des utilisateurs à des fins d’autorisation comprennent une quantité limitée de renseignements personnels (RP), tels que définis dans la Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP). Une EFVP est requise parce que le Registre des utilisateurs reçoit et utilise des RP provenant du RF; elle s'interface avec des systèmes qui recueillent, utilisent ou divulguent des RP/RPS; et elle est en fin de compte responsable de l'authentification/l’autorisation de l'accès des utilisateurs finaux aux RP et aux RPS au sein de l'infrastructure de CyberSanté Ontario.

Principales conclusions

L'EFVP physique du Registre des utilisateurs prend en compte tous les composants et fonctionnalités de l'environnement de production du Registre des utilisateurs, y compris la version actuellement utilisée (production 1), et jusqu'à la production 2 du Registre des utilisateurs incluse, telle qu'elle sera déployée dans le cadre du SGMC-RCD (prévu pour novembre 2011). Plus précisément, la portée de l’EFVP du Registre des utilisateurs comprend le flux d’informations vers, à l’intérieur et en provenance du RU vers les systèmes connectés; les processus opérationnels qui impliquent l’acquisition, l’enregistrement, le stockage, l’utilisation ou le partage d’informations dans le Registre des utilisateurs; et l’autorité législative en vertu de laquelle CyberSanté Ontario peut exploiter et gérer le Registre des utilisateurs. L’EFVP examine également les mesures de protection techniques, administratives et physiques mises en place pour garantir que tous les flux de données se déroulent de manière sécurisée et respectueuse de la vie privée, et qu’ils sont conformes aux exigences législatives, aux accords pertinents, aux meilleures pratiques telles que décrites dans le Code de confidentialité de l’Association canadienne de normalisation et les politiques de protection de la vie privée de CyberSanté Ontario.

L’EFVP conclut que CyberSanté Ontario possède l’ensemble des pouvoirs législatifs nécessaires à l’exploitation et à la gestion du registre des utilisateurs. Par ailleurs, CyberSanté Ontario dispose d’une infrastructure robuste pour le traitement et la protection des données sensibles, avec des politiques et des pratiques visant à protéger la vie privée des Ontariens et la sécurité des renseignements conservés par CyberSanté Ontario.

L’EFVP recommande plusieurs mesures pour garantir que, dans le cadre de l’initiative du Registre des utilisateurs, CyberSanté Ontario respecte la législation pertinente, ainsi que les politiques, les procédures et les meilleures pratiques en matière de protection de la vie privée de CyberSanté Ontario.

Risques et recommandations

L’EFVP physique formule un certain nombre de recommandations relatives à l’initiative du Registre des utilisateurs, résumées ci-dessous :

1. CyberSanté Ontario utilisera les informations améliorées du profil du fournisseur (EPPI) (comprenant le sexe et la date de naissance) obtenues à partir du RF conformément aux termes de l’accord entre l’Ordre des diététistes de l’Ontario et CyberSanté Ontario, ou modifiera l’accord au besoin.
2. Il convient de consulter les groupes de protection de la vie privée et de sécurité de CyberSanté Ontario lors de la définition et de la mise en œuvre des règles d’accès dans le RU afin de vérifier que l’accès aux RPS ou aux RP accordé par les règles est approprié.
3. CyberSanté Ontario devrait s’assurer que sa banque de renseignements personnels est à jour en ce qui concerne les RP utilisés par le RU.

CyberSanté Ontario est actuellement en train de mettre en œuvre chacune des recommandations identifiées dans l’EFVP physique pour le registre des utilisateurs de 2011.