Les lois sur la protection de la vie privée et l’exercice de l’ergothérapie

Practice Guidance Notice

As of June 1, 2023, the updated Standards of Practice will apply to all occupational therapists. The College’s practice guidance documents, case studies, Q&As, and other materials are currently being updated to reflect these changes.

In case of discrepancies, please refer to the Standards of Practice, 2023 for the most current information. If you have any questions, please contact the College’s Practice Resource Service practice@coto.org.

FR

Les lois sur la protection de la vie privée et l’exercice de l’ergothérapie

Supporting Information

Introduction

Les ergothérapeutes ont besoin de recueillir, d’utiliser et de divulguer des renseignements de nature délicate au sujet de leurs clients pour pouvoir effectuer leurs tâches. Le respect de la vie privée des clients est un aspect fondamental de la confiance. La protection de la vie privée comprend le maintien de la confidentialité et de la sécurité des renseignements des clients ainsi que la conformité à certaines règles concernant l’accès à ces renseignements par les clients.

Les pratiques en matière de protection de la vie privée adoptées par les ergothérapeutes en Ontario sont orientées par les lois en vigueur, les normes de l’Ordre, les politiques organisationnelles, les décisions du Commissaire à l’information et à la protection de la vie privée de l’Ontario et la jurisprudence des tribunaux.

Le présent document d’orientation de la pratique vise à aider les ergothérapeutes à appliquer les règles pertinentes en matière de protection de la vie privée dans l’exercice de leur profession. Les renseignements fournis ne remplacent pas l’obtention de conseils juridiques. Les lois sur la protection de la vie privée peuvent changer et les ergothérapeutes devraient se tenir au courant des règles en vigueur dans leur pratique.

1. Lois sur la protection de la vie privée

Il y a trois principales lois sur la protection de la vie privée qui peuvent s’appliquer à l’exercice de l’ergothérapie :

  1. Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS)
  2. Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)
  3. Loi sur la protection des renseignements personnels (LPRP)

Les services fournis dans des communautés autochtones ou à des clients autochtones peuvent être visés par des lois supplémentaires, des traditions ou des règles impliquant les membres des Premières Nations, les Inuits ou les Métis.

La loi applicable dépendra de différents facteurs : (1) si les services fournis (comme des évaluations liées au lieu de travail ou des évaluations indépendantes) sont considérés comme étant des soins de santé ou non; (2) le type d’organisme qui finance ou fournit les services (gouvernement municipal, provincial ou fédéral, ou services fournis à des communautés autochtones). Vous trouverez plus de détails sur chaque loi dans les pages suivantes.

Pour trouver à qui vous adresser en cas de problème lié à la protection de la vie privée, consultez https://www.priv.gc.ca/fr/signaler-un-probleme/leg_info_201405/.

a. Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS)

La Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS) est une loi ontarienne qui établit des règles concernant la collecte, l’utilisation et la divulgation de renseignements personnels sur la santé pour tous les dépositaires de renseignements sur la santé. La LPRPS s’applique à la plupart des pratiques d’ergothérapie en Ontario.

La LPRPS précise les responsabilités des dépositaires de renseignements sur la santé en matière de protection des renseignements personnels sur la santé : obtenir le consentement pour la collecte, l’utilisation et la divulgation de ces renseignements; répondre aux demandes de divulgation de ces renseignements à des tiers; faciliter le droit d’accès des clients à leurs propres renseignements sur la santé et leur droit de faire corriger leur dossier de santé.

Renseignements personnels sur la santé

L’expression « renseignements personnels sur la santé » est définie dans le paragraphe 4(1) de la LPRPS. La définition comprend tous les renseignements identificatoires concernant un particulier si, selon le cas, 

  1. ils ont trait à la santé physique ou mentale du particulier, y compris aux antécédents de sa famille en matière de santé;
  2. ils ont trait à la fourniture de soins de santé au particulier, notamment à l’identification d’une personne comme fournisseur de soins de santé de ce dernier;
  3. (c.1) ils constituent un programme qui énonce les services de soins à domicile et en milieu communautaire que doit fournir à un particulier un fournisseur de services de santé ou une équipe Santé Ontario conformément au financement accordé en vertu de l’article 21 de la Loi de 2019 pour des soins interconnectés;
  4. ils ont trait aux paiements relatifs aux soins de santé fournis au particulier ou à son admissibilité à ces soins ou à cette assurance;
  5. ils ont trait au don, par le particulier, d’une partie de son corps ou d’une de ses substances corporelles ou découlent de l’analyse ou de l’examen d’une telle partie ou substance;
  6. ils sont le numéro de la carte Santé du particulier;
  7. ils permettent d’identifier le mandataire spécial d’un particulier.

Dépositaire de renseignements sur la santé

Tel que défini dans le paragraphe 3(1) de la LPRPS, « dépositaire de renseignements sur la santé » s’entend d’une personne ou d’une organisation visée dans la présente loi qui a « la garde ou le contrôle de renseignements personnels sur la santé par suite ou à l’égard de l’exercice de ses pouvoirs ou de ses fonctions ».

Les ergothérapeutes sont des dépositaires de renseignements sur la santé pour ce qui est des dossiers de santé générés dans le cadre de leur pratique indépendante. Toutefois, lorsque les ergothérapeutes sont engagés par un organisme (comme un hôpital, un établissement de soins de longue durée ou une équipe de santé familiale), l’organisme est généralement le dépositaire de ces renseignements. Si des ergothérapeutes travaillent dans une pratique de groupe, il se peut que le groupe soit considéré comme le dépositaire.

Les ergothérapeutes doivent déterminer qui est le dépositaire dans le cadre de leur pratique. Le dépositaire de renseignements sur la santé est responsable de ces renseignements et des actions de ses mandataires.

Les dépositaires de renseignements sur la santé doivent :

  • prendre des mesures raisonnables pour veiller à ce que les renseignements personnels sur la santé soient protégés contre le vol, la perte et toute utilisation, divulgation, modification ou élimination non autorisée – ceci comprend la mise en place de mesures de sécurité physiques, techniques et administratives appropriées pour protéger les dossiers de santé;
  • veiller à ce que les renseignements personnels sur la santé soient entreposés, transférés et éliminés de façon sécuritaire;
  • s’assurer que les dossiers de santé sont accessibles sur demande des clients;
  • répondre aux demandes de correction;
  • élaborer et mettre en œuvre des politiques et des procédures pour donner suite à des directives en matière de consentement, notamment la gestion appropriée de renseignements de diffusion restreinte (format papier ou électronique);
  • répondre à des directives en matière de consentement (demandes de verrouillage);
  • avoir des politiques en place pour assurer la protection de la vie privée et signaler toute atteinte au commissaire à l’information et à la protection de la vie privée;
  • veiller à ce que tous les membres du personnel, étudiants et sous-traitants obtiennent la formation requise et se conforment ӑ la LPRPS;
  • veiller à ce que les ententes conclues avec des mandataires, partenaires communautaires et fournisseurs précisent les attentes en matière de protection de la vie privée;
  • élaborer et mettre en œuvre des politiques et procédures pour recueillir, utiliser et partager les renseignements sur la santé sans le consentement du client, lorsque cela est permis par la LPRPS.

Mandataire du dépositaire de renseignements sur la santé

Aux termes de la LPRPS, un « mandataire » est une personne qui est autorisée à fournir des services ou à réaliser des activités au nom d’un dépositaire de renseignements sur la santé. Le mandataire peut être une personne ou un organisme qui conclut une entente avec le dépositaire, est embauché par celui-ci ou est un étudiant ou un bénévole travaillant avec le dépositaire.

Le mandataire doit se conformer aux politiques du dépositaire en matière d’entreposage, de sauvegarde, de rétention, d’élimination et de demande d’accès et de correction des dossiers de santé.

Par exemple, un mandataire pourrait être un ergothérapeute qui est engagé par un établissement de soins de longue durée qui est le dépositaire des renseignements sur la santé. L’ergothérapeute doit se conformer à la LPRPS et aux pratiques de l’établissement en la matière.

Un mandataire doit aviser le dépositaire de renseignements sur la santé lorsque :

  • des renseignements personnels sur la santé dont le mandataire a la charge ont été volés, perdus ou consultés par des personnes non autorisées;
  • le mandataire reçoit une demande d’accès ou de divulgation de renseignements personnels sur la santé;
  • le mandataire reçoit une demande de correction d’un dossier de santé dont le dépositaire a la garde;
  • le mandataire reçoit une directive en matière de consentement.

Un mandataire doit redonner tous les renseignements personnels sur la santé au dépositaire lorsqu’il cesse de fournir des services ou ne travaille plus pour le dépositaire.

Directive en matière de consentement (verrouillage)

La directive en matière de consentement (directive de verrouillage) est un terme utilisé pour décrire une situation lorsqu’un client demande expressément à ce que certains renseignements ne soient pas divulgués à d’autres fournisseurs de soins de santé de qui il reçoit des services.

Lorsqu’un client demande à ce que des renseignements cliniques ne soient pas partagés avec un autre fournisseur de soins de santé ayant le même dépositaire de renseignements sur la santé, on parle d’une « utilisation limitée ou restreinte ». Lorsqu’un client désire prévenir la divulgation de renseignements sur la santé à des fournisseurs de soins de santé externes (qui ne partagent pas le même dépositaire de renseignements sur la santé), il s’agit plutôt d’une « divulgation limitée ou restreinte ».

Voici des lignes directrices concernant l’utilisation d’une directive en matière de consentement :

  • Élaborer et mettre en œuvre des politiques et des procédures pour la gestion appropriée de renseignements restreints (sur papier ou électroniques)
  • Expliquer aux clients les risques possibles de l’utilisation d’une directive restrictive en matière de consentement
  • Prévenir l’accès non autorisé à tous les renseignements verrouillés
  • Veiller à ce que les instructions concernant la directive en matière de consentement soient bien indiquées dans le dossier de santé du client, que ces instructions soient conservées pendant la période de temps requise et qu’elles soient accessibles au client ou à d’autres personnes qui sont légalement autorisées à consulter ces renseignements

Dans des situations où des renseignements verrouillés ne peuvent pas être divulgués à un autre fournisseur de soins de santé mais l’ergothérapeute croit que la divulgation de ces renseignements est raisonnablement nécessaire pour fournir les services requis, l’ergothérapeute doit aviser l’autre fournisseur que des renseignements ont été retenus. Le contenu de ces renseignements retenus ne peut toutefois pas être divulgué.

Les renseignements qui sont visés par une directive en matière de consentement peuvent être divulgués si l’ergothérapeute a des motifs raisonnables de croire que cette divulgation est nécessaire pour réduire ou éliminer un risque important de préjudice grave pour une personne ou un groupe de personnes.

Les ergothérapeutes qui travaillent pour un dépositaire de renseignements sur la santé devraient confirmer avec l’organisme le processus en vigueur pour mettre en œuvre une directive en matière de consentement. Les ergothérapeutes qui ont une pratique indépendante devraient établir des politiques et procédures à l’avance pour savoir quoi faire si cette situation se présente.

Cercle de soins et consentement tacite

Le « cercle de soins » n’est pas défini dans la LPRPS mais il est sous-entendu qu’il inclut des situations où les dépositaires de renseignements sur la santé et leurs mandataires assument qu’ils ont le consentement tacite des clients de recueillir, utiliser et divulguer des renseignements personnels sur la santé à un autre dépositaire ou mandataire afin de fournir des soins de santé.

Ceci se produit le plus souvent dans des milieux où les ergothérapeutes travaillent avec une équipe interprofessionnelle, comme dans des hôpitaux, dans des établissements de soins de longue durée, dans des établissements de soins primaires et dans un contexte offrant des services à domicile et en milieu communautaire. Toutefois, un consentement tacite peut également s’appliquer au partage de renseignements personnels sur la santé avec des fournisseurs de soins de santé externes, comme des ergothérapeutes qui partagent des renseignements sur un client avec un fournisseur de soins en milieu communautaire offrant des services au même client (comme un médecin de famille).

Les dépositaires de renseignements sur la santé ont le droit d’assumer qu’ils ont le consentement tacite du client de recueillir, utiliser et divulguer les renseignements personnels sur la santé du client à d’autres fournisseurs de soins directs qui sont également des dépositaires du dossier, à des fins de soins de santé, sauf indication contraire du client.

Le partage de renseignements au sein du cercle de soins ne s’applique pas si le consentement est retiré ou retenu. Dans ce cas, il faut obtenir un consentement explicite pour toute collecte, utilisation ou divulgation future de renseignements sur le client.

Avant de divulguer des renseignements recueillis auprès de clients, les ergothérapeutes devraient se demander si un autre fournisseur de soins de santé fait partie du cercle de soins. Les employeurs, compagnies d’assurance, établissements d’enseignement et banques sont des exemples de tierces parties qui ne font pas partie du cercle de soins et pour qui l’obtention d’un consentement explicite est requis pour obtenir ces renseignements, sauf si cela est permis ou exigé par la loi.

Utilisation secondaire de renseignements personnels sur la santé

Lorsque des renseignements personnels sur la santé sont recueillis, utilisés ou divulgués pour toute raison autre que la prestation de soins de santé à un client, on parle d’une utilisation secondaire des renseignements. Ceci peut comprendre la planification de programmes, la gestion de risques, l’amélioration de la qualité, la recherche, la formation de personnel et la réponse à des procédures juridiques. Les ergothérapeutes ne devraient pas recueillir, utiliser ou divulguer des renseignements personnels sur la santé pour toute raison autre que la prestation de soins de santé sans obtenir au préalable le consentement du client ou confirmer que la collecte, l’utilisation ou la divulgation prévue est permise ou requise par la loi.

Dans certaines circonstances, la LPRPS permet aux dépositaires de renseignements sur la santé de faire une utilisation secondaire des renseignements sans obtenir le consentement du client. Toutefois, le type d’activité qui peut être réalisée et les personnes qui peuvent le faire varient selon la situation, comme dans le cas d’un rapport requis par la loi. Les ergothérapeutes qui sont des mandataires et non pas des dépositaires de renseignements sur la santé ne devraient pas utiliser des renseignements personnels sur la santé à des fins secondaires sans obtenir d’abord l’autorisation du dépositaire.

b. Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est une loi fédérale qui régit la collecte, l’utilisation et la divulgation de renseignements personnels recueillis dans le cadre d’activités commerciales.

Dans l’exercice de l’ergothérapie, la LPRPDE peut s’appliquer au domaine de l’assurance pour des services facturables ou à des évaluations médico-légales qui sont réalisées pour aider un assureur, employeur ou tiers à déterminer l’admissibilité à des prestations ou à une couverture, plutôt qu’à des bienfaits thérapeutiques ou à la prestation de services de soins de santé à des clients. Généralement, si des ergothérapeutes vont fournir des services à des clients à la suite d’une évaluation demandée ou financée par un tiers, la LPRPDE peut s’appliquer aux dossiers créés par les ergothérapeutes. 

Renseignements personnels 

Aux termes de la LPRPDE, on entend par « renseignement personnel » tout renseignement concernant un individu identifiable qui a été communiqué ou consigné. Ceci comprend entre autres les renseignements suivants : 

  • l’âge, le nom, un numéro d’identification, le revenu, l’origine ethnique ou le groupe sanguin;
  • une opinion, une évaluation, un commentaire, le statut social ou une mesure disciplinaire;
  • le dossier d’un employé, un dossier de crédit ou de prêt, un dossier médical, l’existence d’un différend entre un consommateur et un commerçant ou le projet d’une personne (par exemple, l’intention d’acquérir des biens ou des services ou de changer d’emploi). (Commissariat à la protection de la vie privée du Canada)

Application de la LPRPDE

Plusieurs des exigences en matière de protection de la vie privée de la LPRPDE sont jugées essentiellement similaires à celles de la LPRPS. Ceci peut viser par exemple la responsabilité des dépositaires de renseignements de sauvegarder les renseignements personnels, l’obtention du consentement pour la collecte, l’utilisation et la divulgation de tels renseignements, la fourniture de l’accès aux dossiers qui renferment des renseignements et le signalement de toute atteinte aux personnes affectées. Si des ergothérapeutes ont fourni des services qui sont soumis aux dispositions de la LPRPDE et ne sont pas certains de la meilleure façon de traiter une demande ou un problème lié à la protection de la vie privée, ils devraient obtenir des conseils juridiques.

c. Loi sur la protection des renseignements personnels (LPRP)

La Loi sur la protection des renseignements personnels (LPRP) s’applique à la façon dont le gouvernement du Canada et d’autres organismes fédéraux recueillent, utilisent et divulguent des renseignements personnels.

La LPRP s’applique à l’exercice de l’ergothérapie lorsque des ergothérapeutes sont employés ou engagés sous contrat par un organisme fédéral, comme Anciens combattants Canada, Service correctionnel Canada ou Postes Canada. La loi peut également s’appliquer à des services financés par l’entremise du gouvernement fédéral et à des services fournis à des membres des Premières Nations qui vivent dans des réserves fédérales. Si un ergothérapeute fournit des services à un membre des Premières Nations, un Inuit ou un Métis, il devrait vérifier si d’autres lois s’appliquent dans ce cas.

Renseignements personnels

Aux termes de la LPRP, on entend par « renseignement personnel » tout renseignement consigné concernant un individu identifiable. Ceci comprend :

  • les renseignements relatifs à sa race, à son origine nationale ou ethnique, à sa couleur, à sa religion, à son âge ou à sa situation de famille;
  • les renseignements relatifs à son éducation, à son dossier médical, à son casier judiciaire et à ses antécédents professionnels;
  • les opérations financières auxquelles il a participé;
  • tout numéro ou symbole, ou toute autre indication identificatrice, qui lui est propre (comme un numéro de dossier personnel ou un numéro d’assurance sociale);
  • son adresse, ses empreintes digitales ou son groupe sanguin;
  • toute correspondance de nature privée ou confidentielle envoyée par lui à une institution fédérale;
  • les opinions d’une autre personne qui portent sur un individu identifiable;
  • son nom lorsque celui-ci est mentionné avec d’autres renseignements personnels le concernant ou lorsque la seule divulgation du nom révélerait des renseignements à son sujet;
  • le fait qu’un individu soit un employé d’un organisme fédéral;
  • le type de congé pris par un employé.

Application de la LPRP

Les ergothérapeutes devraient vérifier leurs ententes avec des organismes gouvernementaux (par exemple les principes de PCAP des Premières Nations − un ensemble de normes qui établissent comment les données et informations sur les Premières Nations devraient être recueillies, protégées, utilisées et partagées) pour déterminer si des dossiers ou des services fournis sont régis par des dispositions de la LPRP. Si des ergothérapeutes ont fourni de tels services et ne sont pas certains de la meilleure façon de traiter une demande ou un problème lié à la protection de la vie privée, ils devraient obtenir des conseils juridiques.Consultez l’annexe à la fin du présent document pour une comparaison de ces trois lois sur la protection de la vie privée.

2. Lignes directrices générales

a. Consentement

Le consentement est l’acte légal de donner la permission pour réaliser une activité. Les ergothérapeutes peuvent consigner l’obtention du consentement sur un formulaire ou dans le dossier de santé du client.

Pour être valide, le consentement doit :

  • se rapporter à la décision ou l’activité;
  • être éclairé;
  • être donné volontairement;
  • ne pas être obtenu de façon trompeuse ou frauduleuse.

Trois types de consentement s’appliquent aux décisions se rapportant à la protection de la vie privée pour les dossiers créés par les ergothérapeutes :

  1. Consentement explicite : lorsque le client ou son mandataire accepte la collecte, l’utilisation ou la divulgation de renseignements personnels sur la santé
  2. Consentement tacite : lorsque la LPRPS permet à l’ergothérapeute d’assumer que le consentement est accordé pour la collecte, l’utilisation et la divulgation de renseignements à d’autres fournisseurs de soins de santé à des fins de soins de santé, sauf indication contraire du client
  3. Aucun consentement : lorsque la LPRPS ou une autre loi stipule que les renseignements personnels sur la santé peuvent ou doivent être recueillis, utilisés ou divulgués sans obtention d’un consentement explicite ou tacite – aucun consentement n’est requis du client lorsque l’activité est permise ou requise par la loi

Un exemple d’une situation où un ergothérapeute n’a pas besoin du consentement du client est pour un rapport obligatoire qui doit être soumis à l’Ordre lorsqu’un client divulgue de mauvais traitements d’ordre sexuel infligés par un professionnel de la santé réglementé. Dans cette situation, la divulgation de renseignements sur le client est requise par la loi. L’ergothérapeute doit toutefois obtenir le consentement du client pour divulguer son nom.

Un exemple de divulgation permise par la loi est la section de la LPRPS qui donne au dépositaire de renseignements sur la santé la permission d’utiliser des renseignements personnels sur la santé pour l’amélioration de la qualité ou la planification de programmes. Le dépositaire peut (mais n’est pas obligé de le faire) utiliser les renseignements pour améliorer la qualité et il n’est pas requis d’obtenir le consentement du client à cette fin.

Les ergothérapeutes devraient assumer que leurs clients sont capables d’accorder leur consentement pour des décisions sur la protection de la vie privée liées à la collecte, l’utilisation et la divulgation de renseignements personnels sur la santé, sauf s’il y a des motifs d’en croire autrement. La capacité est l’habileté de prendre des décisions pour soi-même. Si un client n’a pas la capacité requise, un mandataire spécial prendra les décisions en son nom sur la protection de sa vie privée. La hiérarchie de la prise de décisions au nom d’autrui (disponible à l’annexe 1 des Normes de consentement) aidera les ergothérapeutes à déterminer qui est le mandataire spécial approprié du client.

b. Tenue des dossiers

Accès

Les clients ont le droit de consulter les renseignements que les fournisseurs ont sur eux. Ceci comprend tous les renseignements personnels sur la santé (si le service vise des soins de santé aux termes de la LPRPS) ou tous les renseignements personnels (si le service est fourni en vertu de la LPRPDE ou de la LPRP), quel que soit l’endroit où les renseignements sont entreposés.

Les ergothérapeutes devraient faire tous les efforts raisonnables pour informer leurs clients sur la façon d’accéder à leur dossier, y compris comment rejoindre le dépositaire de cette information. Le dépositaire des renseignements devrait répondre aux demandes d’accès. Les ergothérapeutes qui sont des mandataires d’un dépositaire devraient confirmer qui est en charge de répondre aux demandes (s’il ne s’agit pas de l’ergothérapeute) et prendre des mesures pour faciliter la communication des demandes à la personne appropriée. Les clients devraient pouvoir obtenir une copie de leur dossier et, lorsque cela est raisonnable, de l’aide pour comprendre les renseignements dans le dossier.

Les demandes d’accès devraient généralement être traitées dans les 30 jours qui suivent. Pratiquement parlant, il est conseillé de répondre aux demandes aussitôt que possible.

L’accès aux dossiers devrait être refusé seulement dans certaines situations limitées, notamment lorsque :

  • la transmission du dossier pose un risque de préjudice au client ou à une autre personne;
  • les renseignements ont été fournis confidentiellement par un tiers et l’identité de ce tiers ne doit pas être dévoilée;
  • les renseignements sont assujettis à un privilège juridique;
  • le dossier provient d’un psychologue et comprend des données brutes de tests psychologiques standardisés;
  • le dossier comprend des données de tests standardisés qui n’ont pas été interprétées ou résumées ailleurs dans le dossier;
  • les renseignements ont été recueillis dans le cadre d’une enquête, d’une inspection ou d’un mécanisme similaire, et les procédures, appels ou processus qui en résultent ne sont pas encore achevés;
  • la LPRPS ou une autre loi interdit la divulgation des renseignements.

Accès après la cessation de services

On s’attend à ce que les ergothérapeutes dressent et, lorsque cela est approprié, mettent en œuvre un plan pour que leurs clients aient accès à leur dossier lorsque l’ergothérapeute est absent ou ferme sa pratique. Le plan comprend la rétention et l’entreposage sécuritaires de documents ou leur transfert à une autre personne qui est légalement autorisée à garder ces dossiers ou à un dépositaire de renseignements sur la santé qui lui succède, conformément aux dispositions de la LPRPS.

Correction soumise au dépositaire de renseignements sur la santé

Les clients ont le droit de demander à ce que des corrections soient apportées aux renseignements personnels que les fournisseurs ont sur eux si ces renseignements sont inexacts ou incomplets pour les fins prévues. Les « fins prévues » peuvent être la prestation de soins de santé (LPRPS), de services commerciaux (LPRPDE) ou de services gouvernementaux (LPRP).

À la réception d’une demande de correction, l’ergothérapeute qui a consigné ces renseignements doit déterminer si le client a démontré que les renseignements sont inexacts ou incomplets et si l’erreur ou l’omission affecte les fins prévues de ces renseignements. Si ces deux conditions sont remplies, le dossier doit être corrigé. Un exemple d’une situation qui peut nécessiter une correction pourrait être une erreur, un mauvais classement de l’information, une fraude ou un manque de renseignements, conformément aux Normes de tenue des dossiers de l’Ordre.

Si la section du dossier visée par la demande de correction reflète une opinion ou observation professionnelle faite de bonne foi et que l’auteur de ces renseignements n’est pas d’accord avec la justification pour la demande de correction, le dossier n’a pas besoin d’être corrigé. Le client doit toutefois se voir offrir la possibilité d’ajouter un avis de désaccord dans son dossier. Le client peut aussi déposer un appel auprès du Commissaire à l’information et à la protection de la vie privée.

Les demandes de correction devraient généralement être traitées dans les 30 jours qui suivent. Pratiquement parlant, il est conseillé de répondre aux demandes aussitôt que possible.

c. Atteinte à la vie privée

Une atteinte à la vie privée se produit lorsqu’une personne enfreint une règle d’une loi sur la protection de la vie privée ou des politiques à ce sujet de l’organisme pour lequel elle travaille. Les atteintes les plus évidentes à la protection de la vie privée se produisent lorsque les renseignements d’un client sont perdus, volés ou consultés par/envoyés à une personne non autorisée. Les dépositaires de renseignements sur la santé devraient avoir un protocole en place pour eux-mêmes et leurs mandataires pour traiter toute atteinte à la vie privée.

Lorsqu’il y a une atteinte à la vie privée, des mesures devraient être prises pour limiter celle-ci, c’est-à-dire pour prévenir toute utilisation, divulgation, modification ou élimination ultérieure non autorisée de ces renseignements. Le dépositaire de renseignements sur la santé devrait ensuite déterminer ce qui a causé l’atteinte. Une fois que le dépositaire comprend ce qui est arrivé, il doit aviser les personnes concernées des détails de l’atteinte et des mesures qui sont prises pour remédier à la situation ainsi que du droit de ces personnes de porter plainte auprès du Commissaire à l’information et à la protection de la vie privée. Il faut aussi prendre des mesures pour s’occuper des personnes et des processus qui ont contribué à cette atteinte, selon l’information recueillie sur celle-ci.

Les ergothérapeutes qui sont des dépositaires de renseignements sur la santé doivent se conformer à des normes légales pour signaler des atteintes à la vie privée à l’Ordre (si des mesures disciplinaires sont prises contre un ergothérapeute) et au Commissaire à l’information et à la protection de la vie privée. Dans certains cas, les atteintes devraient être signalées au Commissaire immédiatement. Les atteintes qui doivent être signalées immédiatement sont celles qui comprennent le furetage, le vol de dossiers, la diffusion de dossiers au public, des atteintes systématiques à la vie privée ainsi que les atteintes qui nécessitent des mesures disciplinaires et qui sont importantes. Si un signalement immédiat de l’atteinte n’est pas requis, cette atteinte devrait être indiquée dans le rapport annuel du dépositaire au Commissaire à l’information et à la protection de la vie privée.

d. Maintien à jour des coordonnées

Les ergothérapeutes doivent fournir à leurs clients des coordonnées valides et mettre à jour leur profil d’emploi sur le tableau de l’Ordre dans les 30 jours suivant tout changement.

Les ergothérapeutes peuvent utiliser les coordonnées professionnelles de la source d’acheminement comme coordonnées pour eux-mêmes. Ils doivent toutefois avoir une entente avec la source d’acheminement pour qu’ils soient avisés de toute communication visant l’ergothérapeute ou les services d’ergothérapie fournis.

3. Résumé

Les ergothérapeutes doivent pouvoir comprendre et appliquer les lois sur la protection de la vie privée lorsqu’ils fournissent des services d’ergothérapie à des clients. Si un ergothérapeute n’est pas sûr des lois sur la protection de la vie privée qui s’appliquent aux services offerts, il devrait obtenir des conseils juridiques indépendants d’un avocat qui comprend bien ces lois et leur application.

Références

Commissaire à l’information et à la protection de la vie privée de l’Ontario. (Septembre 2015). Foire aux questions – Loi de 2004 sur la protection des renseignements personnels sur la santéhttps://www.ipc.on.ca/wp-content/uploads/2015/11/phipa-faq.pdf (en anglais seulement).

Commissariat à la protection de la vie privée du Canada. (Mai 2019). Survol de la LPRPDEhttps://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/lois-sur-la-protection-des-renseignements-personnels-au-canada/la-loi-sur-la-protection-des-renseignements-personnels-et-les-documents-electroniques-lprpde/lprpde_survol/. Extrait le 25 janvier 2023.

Loi de 2004 sur la protection des renseignements personnels sur la santé, Loi de l’Ontario (2004, chap. 3, annexe A). Extrait du site Web du gouvernement de l’Ontario : https://www.ontario.ca/fr/lois/loi/04p03.

Loi sur la protection des renseignements personnels, L.R.C. (1985, ch. P-21). Extrait du site Web de la législation (Justice) : https://laws-lois.justice.gc.ca/fra/lois/p-21/page-1.html.

Ordre des ergothérapeutes de l’Ontario. (2023). Normes d’exercice.

Autres ressources sur la protection de la vie privée et la sécurité

– Commissaire à l’information et à la protection de la vie privée de l’Ontario

– Commissariat à la protection de la vie privée du Canada: Aperçu des lois sur la protection des renseignements personnels au Canada

– Ordre des ergothérapeutes de l’Ontario : Législation et règlements administratifs

– Webinaire sur la protection de la vie privée : Juin 2021 (en anglais seulement)

– Les principes de PCAP des Premières Nations (propriété, contrôle, accès, possession)

Annexe : Comparaison de trois lois sur la protection de la vie privée

Type de renseignements
LPRPSLPRPDELPRP
Renseignements personnels sur la santéRenseignements personnels
À qui s’applique la loi
LPRPSLPRPDELPRP
Personnes et organismes qui fournissent des soins de santé et des services thérapeutiques à des particuliersOrganismes du secteur privé et personnes qui réalisent des activités commercialesÉtablissements du gouvernement fédéral ainsi que les personnes et organismes qui fournissent des services fédéraux aux membres des Premières Nations vivant dans des réserves
Exemples de pratique
LPRPSLPRPDELPRPDELPRP
Cliniques d’ergothérapie, hôpitaux, établissements de soins de longue durée, centres de traitement pour enfants et équipes de santé familialeAssurance, évaluations pour des tiers et évaluations médico-légalesAnciens combattants Canada, Service correctionnel Canada ou Postes Canada et services financés par l’entremise du gouvernement fédéral fournis à des membres des Premières Nations vivant dans des réserves
Portée de la loi
LPRPSLPRPDELPRP
Collecte, utilisation et divulgation Rétention et élimination Droit d’accès Droit de correction ou de modification Sauvegarde de renseignements
Dépositaires de renseignements
LPRPSLPRPDELPRP
Dépositaires de renseignements sur la santéEntités commercialesÉtablissements gouvernementaux
Consentement
LPRPSLPRPDELPRP
Il faut obtenir un consentement éclairé pour tous les services, tel que stipulé dans la Loi de 1996 sur le consentement aux soins de santé, même si la LPRPDE n’est pas régie par cette loi.
Selon l’activité visée, le consentement peut être explicite, implicite ou, si cela est permis ou exigé par la loi, non requis.L’ergothérapeute doit vérifier auprès du client qui obtiendra le consentement éclairé pour la collecte, l’utilisation et la divulgation des renseignements personnels du client. 
L’obtention d’un consentement éclairé signifie qu’il est raisonnable dans ces circonstances de croire qu’un individu comprend pourquoi un dépositaire de renseignements recueille, utilise et divulgue ses renseignements personnels sur la santé et qu’il peut donner ou refuser son consentement (Commissaire à l’information et à la protection de la vie privée de l’Ontario, 2015).		Un consentement éclairé doit être obtenu du client si : 
• un tiers recueillera, utilisera et divulguera les renseignements sur un individu;
• les renseignements personnels seront utilisés ou divulgués d’une manière qui ne se conforme pas aux raisons pour lesquelles ils ont été recueillis;
• les renseignements personnels seront éliminés avant la période minimale de rétention de deux ans.
Rétention
LPRPSLPRPDELPRP
Aucune période de rétention prescrite 
Voir les Normes de tenue des dossiers pour connaître les attentes de l’Ordre. 
Se conformer aux lignes directrices en matière de rétention des dossiers de santé de l’Ordre ou de l’organisme.		Aucune période de rétention prescrite 
Voir les Normes de tenue des dossiers pour connaître les attentes de l’Ordre.		Les renseignements personnels doivent être conservés pendant au moins deux ans après la dernière date où ils ont été utilisés, sauf si l’individu consent à leur élimination. 
Voir les Normes de tenue des dossiers pour connaître les attentes de l’Ordre.
Destruction
LPRPSLPRPDELPRP
Offre une protection contre le vol, la perte et l’utilisation ou la divulgation non autorisée de renseignements. Ceci assure qu’il n’est pas possible de reconstruite ou de récupérer les renseignements après leur élimination.
Directive en matière de consentement (verrouillage)
LPRPSLPRPDELPRP
Peut être appliquéeNe s’applique pas (si des clients ne veulent pas que leurs renseignements soient divulgués, ils refuseront de donner leur consentement)
Accès et correction
LPRPSLPRPDELPRP
Un dépositaire de renseignements sur la santé, un organisme ou une institution gouvernementale doit répondre à toute demande écrite ou verbale d’accès ou de modification de renseignements personnels sur la santé ou de renseignements personnels dans les 30 jours après la réception de la demande. 
Un prolongement peut être accordé dans certaines circonstances, comme lorsque le respect de la période de 30 jours affecterait raisonnablement les activités (LPRPS), le besoin de plus de temps pour les consultations (LPRPDE) et le besoin de plus de temps pour convertir les renseignements personnels en un format accessible (LPRP). 
Aux termes de la LPRPS et de la LPRPDE, les prolongements sont limités à une période additionnelle de 30 jours. La LPRP n’impose aucune limite. 
Le dépositaire de renseignements sur la santé (LPRPS) ou le dépositaire de renseignements (LPRPDE et LPRP) doivent informer le demandeur, par écrit, du prolongement durant la période initiale de 30 jours. La LPRPDE exige aussi que le dépositaire avise le demandeur de son droit de porter plainte au Commissariat à la protection de la vie privée du Canada.
Maintien à jour des coordonnées
LPRPSLPRPDELPRP
Si un ergothérapeute est le dépositaire de renseignements sur la santé, il doit fournir des coordonnées valides au client et répondre à toute demande liée aux renseignements personnels sur la santé du client que l’ergothérapeute a en sa possession. Si l’ergothérapeute n’est pas le dépositaire, il doit fournir au client les coordonnées appropriées.Le dépositaire de renseignements doit fournir des coordonnées valides au client et répondre à toute demande liée aux renseignements personnels du client que l’ergothérapeute a en main.
Signalement d’atteinte à la vie privée
LPRPSLPRPDELPRP
Commissaire à l’information et à la protection de la vie privée de l’OntarioCommissariat à la protection de la vie privée du Canada