Résumé de l'EFVP – Solution de thérapie cognitivo-comportementale en ligne avec soutien d'un thérapeute pour la dépression, l'anxiété et le trouble de stress post-traumatique (Inkblot)

Date du rapport de l'EFVP : 21 octobre 2022 (l'EFVP reflète les renseignements reçus jusqu'à cette date) 

Date de la dernière révision et mise à jour du résumé de l'EFVP : 13 mai 2025

Ce qui suit est un résumé de l'évaluation des facteurs relatifs à la vie privée (EFVP) mentionnée ci-dessus, comprenant un bref aperçu de la solution de thérapie cognitivo-comportementale en ligne avec soutien d'un thérapeute pour la dépression, l'anxiété et le trouble de stress post-traumatique, les principales conclusions, les risques et recommandations, le cas échéant, ainsi que les dates cibles d'achèvement.  Si vous avez des questions, consultez notre page de contact sur la vie privée pour savoir comment contacter le Bureau de la protection de la vie privée de Santé Ontario.

Contexte

Le Centre d'excellence en santé mentale et en lutte contre les dépendances de Santé Ontario a été créé pour soutenir la prestation et la mise en œuvre de la stratégie provinciale en matière de santé mentale et de lutte contre les dépendances. Un élément clé de la réalisation de cette stratégie consiste à offrir un accès coordonné aux services de santé mentale grâce à la mise en œuvre du programme Psychothérapie structurée Ontario (PSO). 

Le programme PSO donne accès à des thérapies cognitivo-comportementales (TCC) et à d'autres approches fondées sur des données probantes, à court terme, pour les Ontariens souffrant de dépression et de troubles anxieux, sans frais à la charge des participants. Le programme est offert par l'intermédiaire de 10 réseaux régionaux de psychothérapie fonctionnant dans le cadre d'un programme provincial coordonné. Adoptant un modèle « en étoile », chaque réseau est composé de plusieurs organismes travaillant en collaboration pour gérer et fournir des services de haute qualité aux personnes (collectivement les « clients » et individuellement un « client ») dans une région donnée de l'Ontario.  

L'accès au programme est centralisé au sein de chaque réseau, ce qui signifie que toutes les personnes sont directement orientées vers un organisme responsable de réseau (ORR) pour le dépistage et l'évaluation. À l'issue du processus centralisé de dépistage et d'évaluation, les clients sont dirigés vers le service qui répond le mieux à leurs besoins, à partir de toutes les données pertinentes et disponibles sur le client. En fonction du suivi continu des progrès du client tout au long du traitement, les clients terminent leur thérapie ou sont renvoyés vers l'ORR pour une réorientation vers un autre service, au besoin. 

Le ministère de la Santé a fourni un financement à Santé Ontario pour ajouter un service de TCCI au programme PSO, en tant qu'option de traitement supplémentaire offerte aux clients admissibles et intéressés. Le Centre d'excellence en santé mentale et en lutte contre les dépendances collabore avec des intervenants externes, notamment le Programme provincial de soutien au système (PPSS) du CTSM et le ministère de la Santé, pour acquérir et mettre en œuvre le service de TCCI. Étant donné que des renseignements personnels sur la santé (RPS) sont recueillis, utilisés, conservés et divulgués dans le cadre de la solution de TCCI, Santé Ontario a exigé qu'une évaluation des facteurs relatifs à la vie privée (EFVP) soit réalisée afin de garantir la protection de la vie privée. Cette EFVP porte sur le service de TCCI offert par Inkblot, qui sera intégré au modèle du PSO et mis en œuvre comme option de service disponible auprès de chacun des ORR. 

Principales conclusions

L'EFVP a été réalisée sur une période de deux mois, à partir du 22 août 2022, et l'évaluation repose sur les renseignements disponibles jusqu'au 21 octobre 2022 inclusivement. Conformément à la politique et aux procédures de gestion des risques en matière de vie privée de Santé Ontario, le directeur général de la protection de la vie privée (DGPVP) de Santé Ontario approuve et entérine les résultats de l'EFVP et du processus de gestion des risques. Si un ou plusieurs risques ne peuvent être atténués à un niveau de tolérance jugé acceptable (mineur), le responsable désigné du secteur d'activités ou du portefeuille concerné doit :  

• examiner et signer le formulaire d'acceptation des risques;  
• préparer une documentation à l'appui (note d'information) traitant des conséquences possibles liées à l'acceptation du ou des risques et à la non-mise en œuvre des recommandations formulées par le portefeuille « Affaires juridiques, vie privée et gestion des risques »; et  
• soumettre le formulaire d'acceptation des risques et la documentation à l'appui au responsable exécutif du portefeuille concerné ainsi qu'au responsable exécutif du portefeuille « Vie privée, affaires juridiques et risques » pour examen et approbation.  

La norme d'EFVP de Santé Ontario recommande que tous les risques très élevés, élevés et modérés soient atténués à un niveau acceptable (mineur) avant la mise en service d'un projet. Tout risque identifié comme mineur ou inférieur doit également faire l'objet d'un plan d'atténuation. Pour IB, l'analyse de la vie privée a permis d'identifier seize (16) risques et de formuler vingt-trois (23) recommandations pour les atténuer. Les définitions des niveaux de risque utilisées pour évaluer chaque écart identifié sont disponibles sur demande. Les risques ont été évalués comme suit : 

• Un risque jugé très élevé 
• Neuf risques jugés modérés 
• Six risques jugés mineurs 

Risques et recommandations

L'EFVP formule les risques et recommandations suivantes :

Risque 1 : Inkblot utilise sa politique de confidentialité publique comme fondement pour obtenir un « consentement éclairé » de la part des clients. Le libellé de la politique actuelle de confidentialité démontre une approche incomplète du consentement. Cela crée un risque de non-conformité à un aspect précis de la LPRPS, à savoir le « consentement éclairé ». 

Niveau de risque : Très élevé

Recommandations :

• Il est fortement recommandé de revoir le processus de consentement dans la politique de confidentialité publique afin qu'il soit conforme au principe du consentement. Des modifications devraient être envisagées pour corriger les inexactitudes, incohérences, omissions, problèmes de normalisation terminologique et de pertinence. Les modifications envisagées pourraient mener à une mise à jour de la politique.  
• Inkblot devrait élaborer et mettre en œuvre des processus et procédures internes pour aborder ces complexités. Par exemple, si un client choisit de se retirer du programme en cours de route, que signifie ce retrait sur le plan de la conservation des renseignements recueillis jusqu'à ce moment? Qui aura accès à ces renseignements conservés et pour quelles raisons? 

État : Terminé

Risque 2 : La politique de confidentialité publique d'Inkblot ne décrit pas clairement comment elle s'aligne sur les pratiques équitables en matière de renseignements ni comment elle se conforme à la LPRPS. Cela crée un risque de non-conformité à la Loi. 

Niveau de risque : Modéré

Recommandations : Il est fortement recommandé qu'Inkblot envisage de réécrire sa politique de confidentialité publique afin qu'elle soit conforme aux pratiques équitables en matière de renseignements et qu'elle décrive comment elle se conforme à la LPRPS.

État : Terminé

Risque 3 : Bien qu'Inkblot dispose de plusieurs politiques fondamentales, il manque une documentation procédurale claire permettant d'opérationnaliser les principaux aspects de la LPRPS. Cela crée un risque de non-conformité à la Loi.

Niveau de risque : Modéré

Recommandations :

• Il est recommandé qu'Inkblot élabore une documentation procédurale démontrant comment les demandes d'accès seront traitées. Les procédures pourraient inclure, par exemple, des renseignements sur les données accessibles (par exemple, fichier CSV, notes de dossier) et sur la forme sous laquelle les demandes seront satisfaites. 
• Il est recommandé qu'Inkblot élabore une documentation procédurale démontrant comment les demandes de correction seront traitées. Les procédures pourraient inclure, par exemple, des renseignements sur le type d'informations pouvant être corrigées (p. ex. données figurant dans un fichier CSV), sur l'existence éventuelle de délais applicables aux corrections et sur le rôle, au sein d'Inkblot, chargé d'effectuer les corrections. 
• Il est recommandé qu'Inkblot élabore une documentation procédurale expliquant pourquoi et comment les RPS sont agrégés, en s'assurant que ces procédures soient conformes aux lignes directrices de Santé Ontario sur l'agrégation. 
• Il est recommandé qu'Inkblot élabore une documentation procédurale expliquant pourquoi et comment les RPS sont dépersonnalisés, en s'assurant que ces procédures soient conformes aux lignes directrices du CIPVP sur la dépersonnalisation des RPS. 
• Il est recommandé que la « Politique de classification des données » soit accompagnée d'informations sur la manière de mettre en œuvre la classification des données. 
• Il est recommandé que l'approche d'Inkblot en matière de notification des atteintes à la vie privée soit révisée afin de répondre aux exigences contractuelles de Santé Ontario. L'examen devrait porter une attention particulière à la manière dont la notification sera effectuée et à la forme qu'elle prendra. 
• Il est recommandé qu'Inkblot élabore des protocoles et processus de gestion des risques, en mettant particulièrement l'accent sur la gestion des risques liés à la vie privée et à la sécurité. 

État : Terminé

Risque 4 : Inkblot n'informe pas les clients qu'il installera des témoins (cookies) sur leur appareil ni qu'il effectuera des mises à jour de la plateforme. Cela crée un risque de non-conformité aux exigences de la LCAP, qui impose la communication d'un tel avis dans les conditions d'utilisation ou la politique de confidentialité.  

Niveau de risque : Modéré

Recommandations : Il est recommandé qu'Inkblot mette à jour sa politique de confidentialité afin d'informer les clients si elle prévoit installer des programmes logiciels (comme des témoins) sur leur appareil, d'en expliquer la raison, et de préciser que des mises à jour logicielles seront effectuées, pour lesquelles les clients seront avisés. 

État : Terminé

Risque 5 : D'après les entrevues et la documentation fournie, il semble que la formation des employés et des thérapeutes d'Inkblot accorde une attention insuffisante à la LPRPS. Cela pourrait entraîner un risque d'atteinte involontaire à la confidentialité des RPS. 

Niveau de risque : Modéré

Recommandations : Conformément à l'article 1.09 de l'entente de services, il est recommandé qu'Inkblot réoriente la formation de ses employés et de ses thérapeutes afin qu'elle mette davantage l'accent sur la LPRPS et qu'elle fournisse à Santé Ontario une copie du module de formation mis à jour pour examen. 

État : Terminé

Risque 6 : Outre la politique de confidentialité, les clients ne reçoivent pas d'information sur les mesures de protection de la vie privée lors de leur inscription et de leur participation au programme. Cela crée un risque d'accès ou d'utilisation inappropriés des renseignements dans le cadre du programme de TCCI (par exemple, par des membres de la famille). 

Niveau de risque : Modéré

Recommandations : Il est recommandé qu'Inkblot collabore avec les ORR afin de s'assurer qu'un libellé standard soit fourni aux clients concernant leurs obligations en matière de protection de la vie privée avant leur orientation vers Inkblot. Inkblot pourrait envisager de s'appuyer sur les lignes directrices élaborées par le CIPVP sur le travail en environnement de soins virtuels afin d'éduquer les clients au moyen d'une ressource mise à leur disposition.

État : Terminé

Risque 7 : Le CTSM a été désigné comme mandataire d'Inkblot mais n'a jusqu'à présent signé aucune entente précisant ses obligations en matière de protection de la vie privée. Cela crée un risque que le CTSM enfreigne involontairement la confidentialité, faute de directives claires dans une entente.  

Niveau de risque : Modéré

Recommandations : Il est recommandé qu'Inkblot conclue une entente de mandataire avec le CTSM avant tout partage de données. 

État : Terminé

Risque 8 : Sans davantage de précisions sur l'approche d'Inkblot en matière de conformité à la LAPH, il existe un risque qu'Inkblot soit en situation de non-conformité à la Loi et à l'entente de services. 

Niveau de risque : Modéré

Recommandations : Il est recommandé qu'Inkblot fournisse à Santé Ontario une attestation confirmant sa conformité aux exigences de la LAPH, conformément à l'article 3.12 de l'entente de services.

État : Terminé

Risque 9 : L'approche d'Inkblot en matière de tenue de dossiers semble incomplète, ce qui crée un risque de difficultés liées au traitement des demandes d'accès et à la gestion des atteintes à la vie privée.

Niveau de risque : Modéré

Recommandations : Il est recommandé qu'Inkblot concentre ses efforts sur l'élaboration d'une politique, de processus, de procédures et d'échéanciers relatifs à la tenue de dossiers. 

État : Terminé

Risque 10 : Aucun renseignement n'a été fourni concernant les services d'assistance d'Inkblot. Si des politiques et procédures n'ont pas été élaborées et communiquées à ces services, cela crée un risque d'accès, d'utilisation et de divulgation inappropriés des RPS auxquels les services d'assistance ont accès. 

Niveau de risque : Modéré

Recommandations : Il est recommandé qu'Inkblot élabore des mesures de protection de la vie privée visant à limiter l'utilisation, la divulgation et la conservation des renseignements spécifiquement pour ses services d'assistance.

État : Terminé

Risque 11 : Le programme de protection de la vie privée d'Inkblot est en cours de développement et ne semble pas inclure de mesures permettant d'évaluer la santé et la maturité du programme au fil du temps. Sans ICP intégrés dans le contexte des exigences en matière de vie privée, il existe un risque qu'Inkblot ait de la difficulté à évaluer la suffisance de son approche en matière de conformité, surtout à mesure que les lois et les normes évoluent. 

Niveau de risque : Faible

Recommandations : Il est recommandé qu'Inkblot envisage d'élaborer des mesures de performance pour évaluer (et, le cas échéant, rendre compte de) la santé et la maturité de son programme de protection de la vie privée au fil du temps. 

État : Terminé

Risque 12 : Étant donné que Green Shield Canada (GSC) ne joue aucun rôle dans le projet de TCCI, le mécanisme mis en place par IB pour s'assurer que les RPS ne sont pas partagés avec GSC n'est pas clair. Cela place Inkblot dans une situation de non-alignement avec le principe de responsabilité en matière de vie privée et peut entraîner une non-conformité à la LPRPS. 

Niveau de risque : Faible

Recommandations : Il est recommandé qu'Inkblot fournisse une attestation des ententes contractuelles conclues avec GSC stipulant qu'Inkblot ne partagera pas de RPS.

État : Terminé

Risque 13 : Un document de conception de la solution (DCS) constitue un plan directeur servant de référence globale pour un projet, incluant les orientations et attentes relatives à la phase de mise en œuvre. Inkblot ne dispose pas d'un plan de conception global de la solution. Cela crée un risque de non-conformité à la LPRPS. 

Niveau de risque : Faible

Recommandations : Il est recommandé qu'Inkblot accorde une attention particulière à la description formelle de sa conception de solution, en y incluant des éléments tels que des descriptions détaillées de la technologie, des flux de données et la définition des interfaces.

État : Terminé

Risque 14 : Certains ORR peuvent demander une entente de partage des données. Cependant, aucun modèle standard n'est actuellement utilisé par les ORR, ce qui crée un risque d'obligations disparates en matière de protection de la vie privée pour IB. 

Niveau de risque : Faible

Recommandations : Bien que peu d'ORR aient exprimé un intérêt à ce jour pour la conclusion d'une entente de partage des données, si leur nombre augmente, il est recommandé qu'Inkblot collabore avec les ORR afin d'élaborer un libellé standardisé. REMARQUE : Aucun ORR n'a demandé d'EPD. 

État : Sans objet

Risque 15 : Le nom d'une personne est indiqué dans la politique de confidentialité à des fins de contact. Cela crée un risque de non-conformité à l'exigence de la LCAP selon laquelle les coordonnées de contact doivent demeurer valides pendant 60 jours. 

Niveau de risque : Faible

Recommandations : Il est recommandé qu'Inkblot remplace les coordonnées contenant le nom d'une personne par des coordonnées générales du programme ou du service responsable de la protection de la vie privée.

État : Terminé

Risque 16 : Les demandes des clients visant à corriger des renseignements dans l'application semblent être traitées manuellement par le personnel d'Inkblot. Cette pratique risque d'entraîner des erreurs de transcription ou d'exactitude, pouvant donner lieu à des plaintes et à une non-conformité au principe d'« exactitude » en matière de protection de la vie privée.  

Niveau de risque : Faible

Recommandations : Il est recommandé qu'Inkblot élabore un processus d'assurance de la qualité afin de garantir l'exactitude des mises à jour des renseignements des clients. 

État : Terminé