Mise à jour : mars 2026.
Qu’est-ce qu’une violation de la vie privée (aussi appelée atteinte à la vie privée)?
En vertu de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS), il y a violation de la vie privée lorsque des renseignements personnels sur la santé (RPS) sont consultés, utilisés, divulgués, perdus ou volés sans autorisation.
Voici des exemples :
- Consulter des dossiers de santé sans autorisation (fouiner).
- Perdre une clé USB ou un ordinateur portable contenant des renseignements sur la clientèle.
- Se faire voler un sac ou une mallette contenant les dossiers de la clientèle.
- Envoyer des renseignements personnels sur la santé à la mauvaise personne.
En vertu de la LPRPS, les diététistes ont l’obligation de réagir aux violations de la vie privée et de les signaler. La marche à suivre varie si les diététistes agissent en tant que dépositaires de renseignements sur la santé (DRS) ou en tant que mandataires des DRS.
Qui doit-on informer de la violation?
1. Aviser le ou la dépositaire de renseignements sur la santé (DRS)
Si vous êtes mandataire d’un ou une dépositaire de renseignements sur la santé, vous devez signaler cette violation dès que possible.
On considère que les diététistes sont mandataires quand ils ou elles travaillent au sein d’organismes comme les hôpitaux, les cabinets de groupe ou les cliniques où une autre partie détient la garde et le contrôle des dossiers.
Respectez les politiques de l’organisme en matière de signalement des violations de la vie privée et informez votre gestionnaire ou la personne responsable de la protection de la vie privée.
2. Aviser la personne concernée
Le ou la dépositaire de renseignements sur la santé doit informer la personne concernée par la violation de ses renseignements personnels sur la santé dès que cela est raisonnablement possible.
La notification doit également indiquer à la personne concernée qu’elle peut déposer une plainte auprès du ou de la commissaire à l’information et à la protection de la vie privée de l’Ontario.
3. Aviser le ou la commissaire à l’information et à la protection de la vie privée de l’Ontario
Depuis le 1er octobre 2017, la LPRPS impose aux dépositaires de renseignements sur la santé de signaler certains types de violations de la vie privée au ou à la commissaire à l’information et à la protection de la vie privée.
Ces obligations de signalement s’ajoutent à celle prévue au paragraphe 12(2) de la LPRPS, qui impose d’informer les personnes concernées si leurs renseignements personnels sur la santé ont été volés, perdus, utilisés ou divulgués sans autorisation.
Voici des ressources mises à la disposition des prestataires de soins de santé par le ou la commissaire à l’information et à la protection de la vie privée :
- Le signalement d’une atteinte à la vie privée au commissaire
- Lignes directrices sur les interventions en cas d’atteinte à la vie privée dans le secteur de la santé
Sept catégories de violations de la vie privée
La LPRPS impose de signaler au ou à la commissaire à l’information et à la protection de la vie privée toute violation correspondant à une des sept catégories. Un même incident peut s’appliquer à plusieurs catégories.
1. Utilisation ou divulgation sans autorisation
Cela inclut le fait de fouiner ou d’accéder intentionnellement et sans autorisation à des renseignements personnels sur la santé, par exemple lorsque des membres du personnel fouillent dans ces données ou que des prestataires de services y accèdent de manière inappropriée.
Les divulgations accidentelles, telles que l’envoi de renseignements à la mauvaise personne, ne doivent généralement pas être signalées dans cette catégorie, sauf si une autre catégorie s’applique également.
2. Vol de renseignements personnels sur la santé
Le vol de renseignements personnels sur la santé doit être signalé. Voici quelques exemples de vols :
- Dossiers papier
- Ordinateurs portables ou appareils mobiles
- Supports de stockage électroniques contenant des renseignements personnels sur la santé
Les cyberincidents, comme les attaques par logiciel de rançon impliquant des données volées, doivent être signalés. Il n’est pas nécessaire de les signaler si les données ont été correctement chiffrées ou anonymisées.
3. Violation entraînant ultérieurement une utilisation ou une divulgation non autorisée
Une violation doit être signalée si elle entraîne ou est susceptible d’entraîner une nouvelle utilisation abusive des renseignements personnels sur la santé.
Parmi les exemples, notons les situations suivantes :
- Activités criminelles
- Vol d’identité
- Menaces de publier ou diffuser des renseignements personnels sur la santé
4. Série de violations similaires
Une série de violations, même si chacune d’entre elles semble mineure ou accidentelle, peut révéler des problèmes systémiques comme :
- Technologie obsolète
- Mesures de sécurité inadéquates
- Formation insuffisante du personnel
La tenue de dossiers détaillés aide les organisations à repérer les tendances et à résoudre les problèmes sous-jacents.
5. Mesures disciplinaires visant une personne inscrite à l’Ordre
Une violation doit être signalée si des mesures disciplinaires sont prises contre un·e professionnel·le de la santé réglementé·e à la suite de l’incident. Notamment en cas de :
- Suspension ou licenciement
- Restriction des privilèges professionnels
- Démission de la personne concernée avant que des mesures ne soient prises
6. Mesures disciplinaires visant une personne non inscrite à l’Ordre
Cette catégorie s’applique aux membres du personnel ou représentant·e·s qui ne sont pas des professionnel·le·s de la santé réglementé·e·s.
Par exemple, si un membre du personnel administratif publie en ligne des renseignements sur un·e client·e et que cette personne est par la suite suspendue, cette violation doit être signalée.
7. Violation grave
Une violation doit être signalée si elle est jugée importante. Voici quelques facteurs pouvant déterminer cette importance :
- Nature délicate des renseignements
- Volume des renseignements concernés
- Nombre de personnes concernées
- Participation éventuelle de nombreuses personnes à la violation
Même en l’absence de préjudice confirmé, une violation peut être considérée comme grave. Par exemple, l’envoi de l’évaluation de la santé mentale d’une personne à une vaste liste de diffusion plutôt qu’à un·e seul·e prestataire peut être considéré comme grave.
Rapport annuel au ou à la commissaire à l’information et à la protection de la vie privée
Depuis le 1er janvier 2018, les dépositaires de renseignements sur la santé doivent tenir un registre des atteintes à la vie privée.
Ces dépositaires doivent soumettre au ou à la commissaire à l’information et à la protection de la vie privée des rapports statistiques annuels indiquant le nombre de fois où des renseignements personnels sur la santé ont été :
- volés;
- perdus;
- utilisés sans autorisation;
- divulgués sans autorisation.
Les rapports doivent mentionner toutes les violations survenues au cours de l’année, même si elles n’exigeaient pas de signalement immédiat au ou à la commissaire au moment où elles se sont produites.
Signalement à l’Ordre des diététistes de l’Ontario ou à d’autres organismes de réglementation
Les dépositaires de renseignements sur la santé doivent signaler à l’organisme de réglementation compétent les mesures disciplinaires prises.
Pour les diététistes, cela s’applique dans les situations suivantes :
- Suspension ou cessation d’emploi
- Révocation ou restriction des privilèges
- Démission du/de la diététiste avant la mise en œuvre de ces mesures
Le rapport doit immédiatement être remis par écrit et au plus tard 30 jours après l’incident. Voir Rapports obligatoires pour plus de détails.
Politiques et procédures
Étant donné que l’obligation de signalement peut s’avérer complexe, les diététistes, en tant que dépositaires de renseignements sur la santé, doivent mettre en place des politiques internes visant à détecter et gérer les violations de la vie privée et à y réagir.
L’ODO fournit de plus amples conseils dans une trousse d’information sur la protection des renseignements personnels dans l’exercice de la diététique (Privacy of Personal Information Dietetic Practice Tool Kit).
Infractions
La LPRPS a été modifiée en 2016 pour supprimer le délai de prescription pour les poursuites pénales et permettre l’imposition de sanctions administratives pécuniaires. Les infractions commises délibérément — telles que l’accès non autorisé, la divulgation ou l’élimination non sécurisée de renseignements personnels sur la santé — constituent des infractions au sens de l’article 72 de la LPRPS.
Peines :
- Amendes pouvant aller jusqu’à 200 000 $ pour les particuliers
- Amendes pouvant aller jusqu’à 1 000 000 $ pour les organisations
- Peine d’emprisonnement pouvant aller jusqu’à un an
Parmi les exemples d’infractions, mentionnons le fait de fouiner intentionnellement dans des documents ou d’éliminer des documents déchiquetés contenant des renseignements personnels sur la santé.
Références
Normes, lignes directrices et autres articles de l’Ordre
Ordre des diététistes de l’Ontario (2019). Normes d’exercice de la profession – Consentement au traitement et à la collecte, l’utilisation et la divulgation de renseignements personnels sur la santé.
Ordre des diététistes de l’Ontario (2020). Privacy of Personal Information Dietetic Practice Tool kit for Registered Dietitians in Ontario.
Ordre des diététistes de l’Ontario (2022). Rapports obligatoires.
Commissaire à l’information et à la protection de la vie privée de l’Ontario
Commissaire à l’information et à la protection de la vie privée de l’Ontario (2017). Rapport statistique annuel au commissaire sur les atteintes à la vie privée – Exigences s’appliquant au secteur de la santé.
Commissaire à l’information et à la protection de la vie privée de l’Ontario (2018a). Le signalement d’une atteinte à la vie privée au commissaire.
Commissaire à l’information et à la protection de la vie privée de l’Ontario (2018b). Lignes directrices sur les interventions en cas d’atteinte à la vie privée dans le secteur de la santé.
Loi
Loi de 2004 sur la protection des renseignements personnels sur la santé, L.O. 2004, chap. 3, Annexe A
