Résumé de l'EFVP de la messagerie sécurisée OTNhub

Date du rapport de l'EFVP : Septembre 2018 (l'EFVP reflète les renseignements reçus jusqu'à cette date) 

Date de la dernière révision et mise à jour du résumé de l'EFVP : 9 mai 2025

Messagerie sécurisée (iOS, Android, OTNhub) : EFVP complète et EFVP différentielle

Messagerie sécurisée (fonctionnalités supplémentaires d'OTNhub et préparation du déploiement provincial) : Énoncés de risque

Ce qui suit est un résumé de l'évaluation des facteurs relatifs à la vie privée (EFVP) susmentionnée pour la messagerie sécurisée, y compris un bref aperçu du projet, les principales conclusions et recommandations ainsi que la date cible d'achèvement. Si vous avez des questions, consultez notre page de contact sur la vie privée pour savoir comment contacter le Bureau de la protection de la vie privée de Santé Ontario.

Contexte

Santé Ontario possède et exploite OTNhub, une plateforme de soins virtuels offrant à des milliers d'utilisateurs l'accès à plusieurs services principaux, notamment eVisite et eConsultation. Les commentaires recueillis sur le terrain ont révélé un besoin pour un service de messagerie non structurée permettant la collaboration ponctuelle, les questions rapides et la coordination des soins. En réponse à cette demande, Santé Ontario a conclu une entente avec un nombre limité de membres d'OTNhub afin de lancer un projet pilote de validation de concept (PVC) visant à offrir une fonctionnalité de messagerie sécurisée à ces membres. 

La première phase du projet pilote de messagerie sécurisée a permis d'offrir cette fonctionnalité, par l'entremise de l'application OTNConnect, à un nombre restreint de membres d'OTNhub utilisant des appareils iOS. Une EFVP complète a été réalisée pour cette phase du projet en septembre 2018. Les phases ultérieures du projet ont permis d'activer la messagerie sécurisée pour certains membres d'OTNhub utilisant la version de bureau (navigateur) et les appareils Android, également par l'application OTNConnect. Afin d'identifier les risques associés au déploiement de cette fonctionnalité sur ces nouvelles plateformes, Santé Ontario a réalisé une EFVP différentielle pour les phases Android et OTNhub du projet pilote en mars 2019. 

À la suite de cette EFVP différentielle, la portée du projet a été élargie pour inclure des fonctionnalités supplémentaires sur la version OTNhub. Un énoncé de risque a donc été réalisé en septembre 2019 afin d'évaluer cette portée supplémentaire. Un dernier énoncé de risque a été réalisé en mars 2020 pour s'assurer de la préparation au déploiement provincial prévu de la fonctionnalité de messagerie sécurisée. 

Principales conclusions

Les quatre évaluations décrites ci-dessus ont permis d'identifier un total de quinze risques. La politique d'EFVP de Santé Ontario recommande que tous les risques élevés et modérés soient atténués à un niveau acceptable avant la mise en service d'un projet. Ainsi, les recommandations suivantes devraient être mises en œuvre avant ou lors du lancement du projet. Les recommandations devraient permettre de réduire les cotes de «  élevé » à « modéré » et de « modéré » à « faible ». Les risques jugés faibles devraient être atténués dans un délai raisonnable déterminé par l'équipe de protection de la vie privée. 

Risques et recommandations

L'EFVP formule les risques et recommandations suivantes :

EFVP de la messagerie sécurisée iOS et EFVP différentielle de la messagerie sécurisée Android et OTNhub 

Risque 1 : Les utilisateurs finaux pourraient ne pas se souvenir des modalités et conditions qu'ils sont tenus de respecter en vertu des ententes pertinentes, ce qui pourrait entraîner la collecte, l'utilisation ou la divulgation non autorisée de renseignements sensibles, notamment des renseignements personnels et des renseignements personnels sur la santé (RP/RPS). 

Niveau de risque : Modéré

Recommandations : Un court avis de non-responsabilité devrait être présenté à l'utilisateur final chaque fois qu'il se connecte à OTNhub, afin de lui rappeler l'objectif de la fonctionnalité de messagerie sécurisée. L'avis devrait informer les utilisateurs que toute collecte, utilisation, divulgation ou gestion de RP/RPS est assujettie à la LPRPS, y compris dans les cas où un patient a retiré son consentement. Le libellé devrait également avertir les utilisateurs des risques associés à la copie, au collage et/ou à l'exportation de données susceptibles d'entraîner la collecte, l'utilisation, la divulgation ou la gestion non autorisée de RP/RPS. 

État : En cours 

Risque 2 : Il existe un risque d'accès, d'utilisation, de divulgation et de gestion non autorisés de renseignements sensibles, y compris des RP/RPS, dans l'éventualité où l'appareil mobile serait perdu ou volé et que l'utilisateur final n'aurait pas sécurisé l'appareil. En l'absence de fonctions d'authentification de sécurité de l'utilisateur activées, un voleur pourrait accéder au contenu du téléphone, y compris aux messages sécurisés.

Niveau de risque : Modéré

Recommandations : Santé Ontario devrait exiger que les utilisateurs activent les fonctions de sécurité d'authentification sur leur téléphone (par exemple, NIP ou mot de passe et verrouillage automatique après une période d'inactivité), ainsi qu'interdire la connexion aux services de Santé Ontario à partir d'appareils mobiles ayant été déverrouillés. 

État : Terminé

Risque 3 : Il existe un risque que Santé Ontario ne respecte pas ses obligations en tant que fournisseur de réseau de renseignements sur la santé (FRRS) en vertu du paragraphe 6(3) du Règl. de l'Ont. 329/04, puisque les conditions d'utilisation d'OTNhub pour les organismes membres (juin 2018) ne contiennent pas de description claire, exacte et à jour de la fonction de messagerie sécurisée, qui fait partie des services d'OTNhub.

Niveau de risque : Modéré

Recommandations : Avant le déploiement de la fonction de messagerie sécurisée comme service, et après le PVC, Santé Ontario devrait modifier les conditions d'utilisation d'OTNhub pour les organismes membres (juin 2018) afin d'y inclure une description de la fonction de messagerie sécurisée ainsi que de l'objectif pour lequel les membres et utilisateurs peuvent recourir à cette fonctionnalité. 

État : Terminé

Risque 4 : En l'absence d'une description publique de la fonction de messagerie sécurisée, des politiques, des lignes directrices et des mesures de protection applicables, il existe un risque que Santé Ontario ne respecte pas ses obligations en tant que FRRS conformément au paragraphe 6(3) du Règl. de l'Ont. 329/04.

Niveau de risque : Modéré

Recommandations : Avant le déploiement de la fonction de messagerie sécurisée comme service, et après le PVC, Santé Ontario devrait mettre à jour son site Web afin d'y inclure une description de la fonction de messagerie sécurisée, les politiques et lignes directrices pertinentes, ainsi qu'une description générale des mesures de protection en place. 

État : Terminé

Risque 5 : En l'absence de journaux d'audit exacts et facilement accessibles, il existe un risque de retards dans la réponse aux demandes de journaux d'audit provenant des sites participants en cas d'atteinte à la vie privée ou à la sécurité, ce qui pourrait retarder les efforts de confinement et d'enquête. 

Niveau de risque : Modéré

Recommandations : Santé Ontario devrait élaborer des requêtes et des rapports permettant de capturer automatiquement les champs exigés conformément à l'article 6(3), paragraphe 4 du Règl. de l'Ont. 329/04, afin que ces renseignements soient facilement disponibles sur demande. Des efforts devraient également être faits pour consigner avec précision le DRS du RPS (au lieu de le déduire à partir du nom d'utilisateur). 

Une procédure documentée doit être mise en place afin de garantir que Santé Ontario ne transmet les journaux d'audit sensibles contenant des RPS qu'aux personnes autorisées des sites membres. 

État : Terminé

Risque 6 : Il existe un risque que Santé Ontario ne respecte pas ses obligations en tant que fournisseur de réseau de renseignements sur la santé (FRRS) en vertu de l'art. 6(3) du Règl. de l'Ont. 329/04, en raison de l'absence de dispositions dans l'entente conclue entre Santé Ontario et le fournisseur tiers exigeant que ce dernier respecte les restrictions et conditions nécessaires pour permettre à Santé Ontario de se conformer à ses obligations de FRRS.

Niveau de risque : Modéré

Recommandations : Santé Ontario devrait modifier son entente avec le fournisseur afin d'y inclure des dispositions exigeant que le fournisseur tiers respecte les restrictions et conditions nécessaires pour permettre à Santé Ontario de se conformer à ses obligations de FRRS. 

État : Terminé

Risque 7 : L'Entente d'utilisation d'OTNhub (juin 2018) de Santé Ontario ne comprend pas de description de la fonction de messagerie sécurisée. En l'absence d'une description de la fonction de messagerie sécurisée dans l'entente, il existe un risque d'ambiguïté quant aux rôles et responsabilités de Santé Ontario et des utilisateurs.

Niveau de risque : Modéré

Recommandations : Avant le déploiement de la fonction de messagerie sécurisée comme service, et après le PVC, Santé Ontario devrait mettre à jour l'Entente d'utilisation d'OTNhub (juin 2018) afin d'y inclure une description de la fonction de messagerie sécurisée et de préciser clairement que celle-ci fait partie des services existants d'OTNhub. Les exigences figurant dans l'entente sont des exigences générales qui s'appliqueront également à la messagerie sécurisée. 

État : Terminé

Risque 8 : Aucun document de procédure officiel de cessation d'accès n'est en place pour les clients de Santé Ontario utilisant les services de Santé Ontario. L'absence de procédures documentées de cessation d'accès peut engendrer des ambiguïtés avec les clients ainsi que des retards potentiels dans le confinement d'atteintes à la vie privée ou à la sécurité impliquant les services de Santé Ontario, lorsque l'accès des utilisateurs doit être révoqué. Une cessation d'accès inadéquate peut également accroître le risque d'accès et d'utilisation non autorisés lorsque des comptes demeurent actifs par erreur, entraînant ainsi une atteinte à la vie privée ou à la sécurité, et augmenter la probabilité de défaillances procédurales lorsque du personnel pertinent quitte l'organisation sans transfert adéquat des connaissances. 

Niveau de risque : Modéré

Recommandations : Santé Ontario devrait rédiger et élaborer des procédures de cessation d'accès abordant la désactivation et la révocation des identifiants pour ses clients utilisant les services de Santé Ontario. Cette procédure documentée devrait être partagée avec les clients qui utilisent les services de Santé Ontario afin de s'assurer qu'ils connaissent les bonnes pratiques et pour faciliter le transfert des connaissances. 

État : Terminé

Risque 9 : Deux adresses différentes sont indiquées pour l'envoi du formulaire de plainte en matière de vie privée à Santé Ontario, ce qui peut prêter à confusion lors de la soumission du formulaire. Dans l'éventualité où l'une des adresses ne serait plus valide, il existe un risque que des formulaires de plainte contenant des renseignements sensibles soient envoyés à la mauvaise adresse. 

Niveau de risque : Modéré

Recommandations : Santé Ontario devrait examiner et mettre à jour tous les formulaires publics afin d'y indiquer l'adresse postale correcte. 

État : Terminé

Risque 10 : Si le PVC/projet pilote est prolongé au-delà du nombre limité de membres de Santé Ontario déjà participants, la présente EFVP pourrait s'avérer insuffisante en raison de son champ d'application restreint. Sans EFVP visant à évaluer les services de messagerie sécurisée au-delà des participants actuels du projet pilote, il existe un risque accru de gestion non autorisée des RPS et de non-conformité aux exigences législatives, contractuelles et administratives de Santé Ontario. 

Niveau de risque : Modéré

Recommandations : Si le projet pilote de la messagerie sécurisée est étendu à un public plus large que les participants actuels, une EFVP doit être menée afin d'évaluer les changements et de s'assurer que toutes les mesures de protection sont en place, y compris l'atténuation des risques et la conformité aux exigences législatives, contractuelles et aux politiques de confidentialité de Santé Ontario. 

Cette EFVP doit également évaluer si des processus et mécanismes sont en place pour garantir que Santé Ontario est en mesure de répondre aux exigences de ses clients, notamment (sans s'y limiter) les exigences en matière de conservation des données et les demandes d'accès individuelles en temps opportun. 

État : Énoncé de risque concernant la protection de la vie privée terminé en février 2020.

Risque 11 : Le lien hypertexte figurant dans l'Entente d'utilisation d'OTNhub (juin 2018) de Santé Ontario, qui redirige les utilisateurs vers la déclaration concernant la protection de la vie privée de Santé Ontario, semble désuet et ne décrit que la collecte de renseignements personnels dans le contexte du site Web de Santé Ontario. En revanche, le lien hypertexte figurant dans l'avis de confidentialité iOS contient une description complète des services offerts par Santé Ontario. En l'absence d'uniformité dans la déclaration concernant la protection de la vie privée de Santé Ontario, il existe un risque de confusion et de manque de clarté quant aux services offerts par Santé Ontario, y compris ses pratiques en matière de collecte, d'utilisation et de divulgation de RP/RPS. 

Niveau de risque : faible

Recommandations : Santé Ontario devrait mettre à jour le lien hypertexte figurant dans l'Entente d'utilisation d'OTNhub (juin 2018) de Santé Ontario en y insérant le même lien que celui fourni dans l'avis de confidentialité iOS. Lors de la mise à jour du lien dans l'Entente d'utilisation d'OTNhub (juin 2018), Santé Ontario ne devrait pas limiter l'avis de confidentialité à iOS, car le service de messagerie sécurisée sera également déployé pour les appareils Android et le navigateur OTNhub. L'avis de confidentialité devrait donc être inclusif et s'appliquer à tous les utilisateurs d'iOS, d'Android et du navigateur OTNhub. 

État : Terminé

Risque 12 : La déclaration concernant la protection de la vie privée de Santé Ontario ne contient pas de description de la fonction de messagerie sécurisée comme faisant partie des services existants d'OTNhub. En l'absence d'une description de la fonction de messagerie sécurisée dans la déclaration concernant la protection de la vie privée de Santé Ontario, il y a un manque de transparence quant à la manière dont Santé Ontario traite les RP/RPS dans le cadre du service de messagerie sécurisée. 

Niveau de risque : Faible

Recommandations : Avant le déploiement de la fonction de messagerie sécurisée comme service, et après le PVC, Santé Ontario devrait mettre à jour sa déclaration concernant la protection de la vie privée afin d'y inclure la messagerie sécurisée comme fonction faisant partie des services existants d'OTNhub. 

État : Terminé

Énoncé de risque concernant la messagerie sécurisée OTNhub et énoncé de risque concernant le déploiement provincial complet :

Risque 1 : Bien que des plans d'atténuation soient en cours, il existe un risque que les cinq risques modérés en suspens des évaluations précédentes ne soient pas atténués avant le déploiement complet de la solution de messagerie sécurisée. 

Niveau de risque : Modéré

Recommandations : Atténuer tous les risques modérés conformément aux plans d'action documentés avant le déploiement complet de la messagerie sécurisée. 

État : En cours

Risque 2 : Le fait de permettre aux utilisateurs d'exporter, d'enregistrer ou d'imprimer des pièces jointes crée un risque de divulgation non autorisée de RPS par les utilisateurs et/ou les membres. Les ententes actuelles de Santé Ontario ne précisent pas clairement que les utilisateurs ou membres deviennent responsables de la gestion adéquate des RPS exportés/transférés, ce qui crée un risque pour Santé Ontario en cas d'atteinte à la vie privée. 

Niveau de risque : Faible

Recommandations : Santé Ontario devrait envisager d'ajouter, dans la section Obligations de l'utilisateur (section 2c) de l'Entente d'utilisation d'OTNhub, un libellé clair précisant ce qui suit : 

• Tout contenu exporté ou transféré à partir des applications de Santé Ontario devient la responsabilité de l'utilisateur (et/ou du membre associé [DRS]) qui l'a exporté ou transféré. 
• Les utilisateurs doivent s'assurer que tout RPS exporté ou transféré à partir des applications de Santé Ontario est géré conformément aux politiques de confidentialité de leur organisation et à la LPRPS.
• Les utilisateurs doivent suivre les procédures de gestion des atteintes à la vie privée de leur organisation en cas de vol ou d'autre utilisation ou divulgation non autorisée des RPS exportés ou transférés. Le Bureau de la protection de la vie privée de Santé Ontario doit également être informé dans de tels cas. 

Santé Ontario devrait envisager d'ajouter le libellé susmentionné dans la section E, Renseignements personnels sur la santé, des conditions d'utilisation des membres d'OTNhub.

Santé Ontario devrait également envisager d'ajouter le libellé suggéré ci-dessus dans une fenêtre contextuelle ou un message qui apparaît lorsque des informations sont enregistrées, exportées ou imprimées à partir d'une application d'OTNhub. 

État : Terminé

Risque 3 : En conservant indéfiniment les pièces jointes de la messagerie sécurisée, il existe un risque que Santé Ontario conserve des RPS et d'autres informations confidentielles plus longtemps que nécessaire pour atteindre la finalité prévue. 

Niveau de risque : Faible

Recommandations : Santé Ontario devrait envisager de mettre en place une période de conservation définie pour les pièces jointes de la messagerie sécurisée. La période de conservation devrait être suffisamment longue pour permettre aux dépositaires de renseignements sur la santé de se conformer pleinement à leurs exigences en matière de tenue de dossiers (c.-à-d. de 10 à 15 ans), sans toutefois aller jusqu'à une conservation indéfinie. Les pièces jointes pourraient également être supprimées à la demande expresse du ou du ou des dépositaire(s) de renseignements sur la santé concerné(s).

État : En cours L'échéancier de conservation est en cours d'examen et de révision dans le cadre de l'intégration à Santé Ontario.