Résumé de l'EFVP relative à la gestion des soins à distance (GSD)

Date du rapport de l'EFVP : 19 juin 2024 (l'EFVP reflète les renseignements reçus jusqu'à cette date) 

Date de la dernière révision et mise à jour du résumé de l'EFVP : 26 mai 2025

Ce qui suit est un résumé de l'évaluation des facteurs relatifs à la vie privée (EFVP) mentionnée ci-dessus, y compris un bref aperçu de la solution de gestion des soins à distance (GSD), les principales conclusions, les risques et les recommandations, le cas échéant. L'EFVP relative à la gestion des soins à distance (GSD) a été menée par un consultant externe spécialisé en EFVP et complétée en juin 2024. Si vous avez des questions, consultez notre page de contact sur la vie privée pour savoir comment contacter le Bureau de la protection de la vie privée de Santé Ontario.

Contexte

La gestion des soins à distance (GSD) de Santé Ontario est un modèle de soins soutenu par la technologie visant à offrir des soins de haute qualité fondés sur des données probantes et à promouvoir l'autogestion par les patients. Santé Ontario a retenu les services de TELUS Solutions Santé Inc. (TELUS) pour offrir la nouvelle solution GSD. La solution GSD de TELUS, commercialisée sous le nom « Surveillance de la santé à domicile (SSD) », est une solution de logiciel en tant que service (SaaS) acquise auprès de TELUS. TELUS héberge le service et assure le soutien du logiciel et du service géré.  La GSD soutient la prise en charge des maladies chroniques et les soins préventifs, palliatifs et chirurgicaux, ainsi que de nombreux autres parcours cliniques. Jusqu'à l'exercice 2021-2022, Santé Ontario offrait une plateforme provinciale qui soutenait les programmes de GSD en Ontario, regroupant environ 40 organismes membres participants et plus de 12 000 patients uniques inscrits à l'un des 25 différents parcours cliniques offerts.  Il est prévu que la nouvelle solution GSD prenne en charge un nombre similaire d'organismes membres participants et de patients, avec des plans de croissance et de mise à l'échelle significatifs au cours des prochaines années.     

Le rôle de Santé Ontario est de favoriser et de soutenir le développement d'un programme de GSD efficace et durable afin d'appuyer les différentes régions de la province et les autorités sanitaires responsables de l'administration régionale des services de santé publics de la province.     

La solution SSD offre aux patients :   

• Accès à une application sur tablette mobile, en ligne ou sur leur propre appareil, utilisable à domicile.   
• Utilisation d'une application intuitive et guidée, fondée sur des questionnaires préétablis auxquels les patients peuvent répondre.    
• Intégration fluide avec des dispositifs médicaux électroniques (par exemple, tensiomètres) permettant de recueillir des données de santé et de les partager avec les fournisseurs de soins de santé par l'intermédiaire de la solution SSD. Possibilité de communiquer avec leur fournisseur de soins de santé (FSS) par clavardage instantané, messagerie sécurisée ou vidéoconférence.   
• Accès à du matériel éducatif téléchargé par les fournisseurs selon leurs besoins spécifiques en matière de soins.      

La solution SSD offre aux fournisseurs de soins de santé :   

• Accès à une vue centralisée de leurs patients, permettant de personnaliser les flux de travail, protocoles et interventions, et de créer des plans de soins adaptés à la condition et à l'état du patient.   
• Analyse simplifiée des résultats, permettant aux prestataires d'ajuster les traitements selon les lignes directrices et protocoles fondés sur les données probantes.   
• Alertes et rappels à l'intention des fournisseurs de soins de santé générés en fonction de déclencheurs configurés pour les patients, tels qu'une alerte d'hypertension.   
• Coordination sophistiquée des soins grâce à la surveillance des données de santé des patients et à des stratégies d'encadrement en santé adaptées.   
• Gestion simplifiée des actifs, facilitant le suivi des dispositifs, y compris leur emplacement et attribution. 

Principales conclusions

Dans le cadre du programme de gestion des soins à distance (GSD), l'analyse de la protection de la vie privée a permis d'identifier 12 risques.  Conformément à la politique et aux procédures de gestion des risques en matière de vie privée de Santé Ontario, ainsi qu'à sa norme sur les évaluations des facteurs relatifs à la vie privée (EFVP), le directeur général de la protection de la vie privée (DGPVP), ou son délégué, approuve et entérine les résultats de l'EFVP détaillée et du processus de gestion des risques. Si un ou plusieurs risques ne peuvent être atténués à un niveau de tolérance jugé acceptable (mineur), le responsable désigné du secteur d'activités ou du portefeuille concerné doit :  

• examiner et signer le formulaire d'acceptation des risques;  
• préparer une documentation à l'appui (note d'information) traitant des conséquences possibles liées à l'acceptation du ou des risques et à la non-mise en œuvre des recommandations formulées par le portefeuille « Stratégie, planification, protection de la vie privée et analytique »; et  
• soumettre le formulaire d'acceptation des risques et la documentation à l'appui au responsable exécutif du portefeuille concerné ainsi qu'au responsable exécutif du portefeuille « Stratégie, planification, protection de la vie privée et analytique » pour examen et approbation. 

La norme d'EFVP de Santé Ontario recommande que tous les risques très élevés, élevés et modérés soient atténués à un niveau acceptable (mineur) avant la mise en service d'un projet. Par conséquent, les recommandations suivantes devraient être mises en œuvre avant ou lors du lancement du projet.

Risques et recommandations

L'EFVP formule les risques et recommandations suivantes :

Risque 1 : Il existe un risque que Santé Ontario ne soit pas en mesure de s'assurer que les dépositaires de renseignements sur la santé (DRS) puissent respecter leurs obligations en matière de conservation et de tenue de dossiers conformément à leurs politiques et procédures, relativement aux renseignements personnels sur la santé (RPS).  

Niveau de risque : Modéré 

Recommandations : Santé Ontario devrait collaborer avec TELUS et les organismes membres afin d'établir un calendrier de conservation commun pour la solution SSD. 

État : Terminé

Risque 2 : Il existe un risque que le rôle de Santé Ontario à titre d'agent en vertu de la LPRPS, tel que défini dans l'entente, ne soit pas conforme à la définition d'agent prévue par LPRPS. Par conséquent, l'absence de rôles, responsabilités et obligations clairement définis pourrait mener à un manque de compréhension et de mise en œuvre opérationnelle. 

Niveau de risque : Modéré

Recommandations : Santé Ontario devrait examiner, avec TELUS, la possibilité d'amener les fournisseurs de soins de santé à accepter l'avis de confidentialité au moyen d'un lien ou d'une fenêtre contextuelle lors de la création de leur compte.  

État : Terminé

Risque 3 : Il existe un risque que les fournisseurs de soins de santé ne soient pas conscients de leurs obligations en matière de protection de la vie privée s'ils ne sont pas tenus d'accuser réception de l'avis de confidentialité au moment de la création de leur compte.

Niveau de risque : Modéré

Recommandations : Santé Ontario devrait examiner, avec TELUS, la possibilité d'amener les fournisseurs de soins de santé à accepter l'avis de confidentialité au moyen d'un lien ou d'une fenêtre contextuelle lors de la création de leur compte.  

État : Terminé

Risque 4 : Le plan d'atténuation des risques identifiés dans l'évaluation des menaces et des risques (EMR) n'a pas encore été élaboré.  Sans plan d'atténuation convenu, le niveau de risque pourrait ne pas être réduit au seuil de tolérance de Santé Ontario. 

Niveau de risque : Modéré

Recommandations : Santé Ontario devrait s'assurer qu'un plan d'atténuation soit en place afin de réduire le risque à un niveau tolérable, conformément aux politiques et procédures de gestion des risques liés à la protection de la vie privée.

État : Terminé

Risque 5 : Il existe un risque que Santé Ontario et TELUS ne soient pas en mesure de gérer les incidents de protection de la vie privée conformément au contrat-cadre de services de gestion des soins à distance, en l'absence d'une procédure conjointe de gestion de la vie privée, entraînant ainsi une non-conformité aux obligations légales et aux exigences en matière de protection de la vie privée. 

Niveau de risque : Modéré

Recommandations : Santé Ontario et TELUS devraient élaborer un processus conjoint de gestion des incidents de protection de la vie privée ou un diagramme RACI (matrice d'attribution des responsabilités) afin de gérer les incidents et les atteintes à la vie privée. 

État : Terminé

Risque 6 : Il existe un risque de non-conformité à la LPRPS puisque Santé Ontario n'a pas encore élaboré de description en langage clair des services à communiquer aux organismes membres et au public. 

Niveau de risque : Modéré

Recommandations : Santé Ontario devrait élaborer une description en langage clair du programme de GSD, comprenant une présentation générale des mesures de protection en place, et la partager avec les organismes membres et le public.

État : Terminé

Risque 7 : Santé Ontario n'a pas encore eu l'occasion d'examiner les audits et de vérifier qu'ils saisissent tous les champs requis conformément à l'article 6(3), paragraphe 4, du Règl. de l'Ont. 329/04, qui exige, « dans la mesure du possible, la tenue et la mise à disposition pour chaque dépositaire de renseignements sur la santé, sur demande, d'un registre électronique :  

1. de tous les accès à tout ou partie des renseignements personnels sur la santé associés au dépositaire et conservés dans l'équipement contrôlé par le fournisseur, y compris l'identité de la personne ayant accédé aux renseignements ainsi que la date et l'heure de cet accès; et  
2. de tous les transferts de tout ou partie des renseignements associés au dépositaire effectués au moyen d'un équipement contrôlé par le fournisseur, lequel registre doit indiquer l'identité de la personne ayant transféré les renseignements, la personne ou l'adresse du destinataire, ainsi que la date et l'heure de l'envoi. »   

L'ordonnance HO-013 du Commissaire à l'information et à la protection de la vie privée de l'Ontario (CIPVP) recommande la consignation et la vérification de toutes les activités des patients.  Par conséquent, il existe un risque de non-conformité à la LPRPS sans vérification des journaux.

Niveau de risque : Modéré

Recommandations : Santé Ontario devrait vérifier que les journaux de la solution SSD répondent aux exigences de l'article 6(3), paragraphe 4.  

État : Terminé

Risque 8 : Il existe un risque d'incompatibilité avec les politiques de conservation des dossiers des DRS si les messages de clavardage instantané, pouvant contenir des renseignements personnels (RP)/renseignements personnels sur la santé (RPS), ne sont pas conservés.  

Niveau de risque : Modéré

Recommandations : Les DRS devraient être avisés et invités à inscrire une note de l'échange dans le dossier du patient.

État : Terminé

Risque 9 : Il existe un risque que les fournisseurs de soins de santé ne connaissent pas les pratiques exemplaires recommandées par le CIPVP pour les vidéoconférences. 

Niveau de risque : Mineur

Recommandations : Santé Ontario devrait encourager les DRS à consulter les pratiques exemplaires du CIPVP pour les soins virtuels (« Considérations relatives à la protection de la vie privée et à la sécurité pour les visites de soins de santé virtuels », février 2021) afin de s'assurer qu'ils connaissent les lignes directrices du CIPVP concernant les visites de santé virtuelles.  

État : Terminé

Risque 10 : Santé Ontario n'a pas encore élaboré de module de formation sur la protection de la vie privée pour la solution SSD.  Il existe donc un risque que, sans directives précises relatives à la SSD pour les patients et les fournisseurs de soins de santé, ceux-ci ne soient pas pleinement conscients de leurs obligations en matière de protection de la vie privée.  

Niveau de risque : Mineur

Recommandations : Santé Ontario devrait élaborer un module de formation sur la protection de la vie privée destiné aux fournisseurs de soins de santé, présentant les caractéristiques de confidentialité de la solution GSD.  Les directives relatives à la protection de la vie privée destinées aux patients devraient porter sur l'utilisation de la solution GSD et sur leurs propres responsabilités pour protéger leurs appareils contre tout accès non autorisé.  

État : Terminé

Risque 11 : Il existe un risque de non-conformité à la norme de Santé Ontario, car l'entente entre TELUS et Santé Ontario oblige TELUS à fournir un certificat de destruction; toutefois, l'entente ne précise pas que ce certificat de destruction doit inclure les détails prévus dans la norme de Santé Ontario sur la destruction, l'assainissement et l'élimination des supports de données.

Niveau de risque : Mineur

Recommandations : Santé Ontario devrait modifier l'entente avec TELUS afin d'y inclure l'obligation pour TELUS de se conformer à la norme de Santé Ontario sur la destruction, l'assainissement et l'élimination des supports.  

État : Terminé

Risque 12 : Santé Ontario n'a pas encore élaboré de résumé de l'évaluation des menaces et des risques (EMR), comme l'exige l'article 6(3)(5) du Règl. de l'Ont. 329/04, qui stipule qu'il faut : « effectuer et fournir à chaque dépositaire de renseignements sur la santé concerné une copie écrite des résultats d'une évaluation des services fournis aux dépositaires de renseignements sur la santé portant sur :  

1. les menaces, vulnérabilités et risques pour la sécurité et l'intégrité des renseignements personnels sur la santé; et  
2. la façon dont les services peuvent avoir une incidence sur la vie privée des personnes concernées par ces renseignements. »   

L'absence d'un tel résumé de l'EMR et de son partage avec les organismes membres expose Santé Ontario à un risque de non-conformité à la LPRPS.  

Niveau de risque : Mineur

Recommandations : Santé Ontario devrait élaborer un résumé de l'EMR et le partager avec les organismes membres.  

État : Terminé