Confidentialité : conformité pour les cliniques en Alberta

Lois sur la protection des renseignements applicables aux cliniques en Alberta

Les cliniques exerçant en Alberta sont assujetties à différentes obligations en matière de protection des renseignements personnels selon leur désignation professionnelle et la façon dont elles gèrent les renseignements de santé.

Le cadre le plus strict est la Health Information Act (HIA) de l’Alberta, qui s’applique aux cliniques et aux praticiens qui sont considérés comme des dépositaires au sens de la loi. Les dépositaires sont légalement responsables de la manière dont les renseignements de santé permettant d’identifier une personne sont recueillis, utilisés, communiqués et protégés.

Vous pouvez consulter la définition légale d’un dépositaire ainsi que le champ d’application de la loi dans le Health Information Regulation, articles 2(1) et 2(2) :
https://www.qp.alberta.ca/documents/Regs/2001_070.pdf

En vertu de l’article 60 de la Health Information Act, les dépositaires ont l’obligation légale de protéger les renseignements de santé en mettant en place des mesures de protection administratives, techniques et physiques appropriées :
https://www.qp.alberta.ca/documents/Acts/H05.pdf

Colib est conçu pour aider les cliniques à remplir cette responsabilité en fournissant un environnement sécurisé, avec des contrôles d’accès, pour la gestion des données des clients et des patients.

Pour les cliniques et les praticiens qui ne sont pas assujettis à la Health Information Act, c’est plutôt la Personal Information Protection Act (PIPA) de l’Alberta qui s’applique. La PIPA encadre la façon dont les organisations du secteur privé traitent les renseignements personnels dans le cadre d’activités commerciales et exige également la mise en place de mesures de protection raisonnables pour préserver la confidentialité :
https://www.qp.alberta.ca/documents/Acts/P06P5.pdf

Évaluation des facteurs relatifs à la vie privée (Privacy Impact Assessment – PIA)

Si votre clinique est assujettie à la Health Information Act, la réalisation d’une évaluation des facteurs relatifs à la vie privée (PIA) est une obligation légale lors de la mise en place d’un nouveau système ou lors de changements importants dans la gestion des renseignements de santé.

Pour les organisations qui ne sont pas régies par la HIA, la soumission d’une PIA n’est pas obligatoire. Toutefois, le Bureau du commissaire à l’information et à la protection de la vie privée de l’Alberta (OIPC) recommande fortement la réalisation de PIAs pour les projets impliquant des renseignements personnels, en particulier lorsque des données sont partagées entre plusieurs parties.

Les lignes directrices officielles de l’OIPC sont disponibles ici :
https://oipc.ab.ca/resources/privacy-impact-assessments/

Qu’est-ce qu’une évaluation des facteurs relatifs à la vie privée ?

Une évaluation des facteurs relatifs à la vie privée (PIA) est un processus documenté qui aide les cliniques à comprendre et à atténuer les risques liés à la confidentialité avant le lancement ou la modification de systèmes qui traitent des renseignements personnels ou de santé.

Une PIA vise notamment à :

• confirmer la conformité à la Health Information Act ;

• identifier les risques liés à l’accès, au stockage et à la communication des données ;

• s’assurer que les mesures de protection sont proportionnelles à la sensibilité des renseignements ;

• évaluer les impacts potentiels sur la vie privée des patients et des clients.

Plutôt que d’être un exercice ponctuel, une PIA devrait être réévaluée au fur et à mesure que les systèmes et les processus évoluent.

Obligations liées à la PIA en vertu de la Health Information Act

La Health Information Act précise clairement quand et comment une PIA doit être réalisée :

Article 64(1) de la HIA

Les dépositaires doivent préparer une évaluation des facteurs relatifs à la vie privée décrivant comment les pratiques administratives et les systèmes d’information proposés, liés à la collecte, à l’utilisation et à la communication de renseignements de santé permettant d’identifier une personne, peuvent avoir une incidence sur la vie privée des individus.

Article 64(2) de la HIA

L’évaluation des facteurs relatifs à la vie privée doit être soumise au commissaire à l’information et à la protection de la vie privée avant la mise en œuvre de toute nouvelle pratique, de tout nouveau système ou de toute modification importante à des pratiques ou systèmes existants.

Texte complet de la loi :
https://www.qp.alberta.ca/documents/Acts/H05.pdf

Conseils pratiques pour la soumission d’une PIA

Lorsqu’une PIA implique l’utilisation de Colib, les cliniques suivent généralement les bonnes pratiques suivantes :

• Compléter et soumettre la PIA avant la mise en service de Colib.

• Joindre la Politique de confidentialité et les Conditions générales de Colib comme documents justificatifs :
  https://www.colib.io/Privacy
  https://www.colib.io/Terms

• Demander l’Entente de gestion de l’information (Information Management Agreement – IMA) de Colib, qui décrit le rôle et les responsabilités de Colib lorsqu’il traite des renseignements de santé pour le compte de votre clinique.

• Inclure une lettre d’accompagnement signée par le propriétaire de la clinique ou la personne responsable de la confidentialité.

• Mettre à jour et soumettre à nouveau la PIA lors de tout changement important aux systèmes, intégrations ou pratiques de partage de données.

Soutenir la conformité en matière de confidentialité avec Colib

Au-delà des exigences documentaires telles que les PIAs, les cliniques doivent également s’appuyer sur des contrôles opérationnels quotidiens pour protéger la confidentialité. Colib intègre des fonctionnalités de sécurité et de protection des renseignements conçues pour aider les cliniques à respecter les exigences législatives de l’Alberta et les bonnes pratiques reconnues en matière de confidentialité.

Comment Colib protège vos données

Engagements clairs en matière de confidentialité

La Politique de confidentialité et les Conditions générales de Colib définissent clairement la manière dont les renseignements personnels et de santé sont recueillis, utilisés et protégés.

Notes cliniques signées, verrouillées et horodatées

Les dossiers et notes cliniques sont signés, verrouillés et horodatés de manière sécurisée afin de préserver l’intégrité des données et de soutenir les exigences d’audit.

Authentification à deux facteurs (2FA)

Disponible pour les clients (portail client) et pour les praticiens (Colib.io).

Restrictions d’accès par adresse IP

Les cliniques peuvent définir une liste d’adresses IP autorisées (par exemple : bureaux à domicile ou emplacements de la clinique) afin de garantir que seuls des réseaux approuvés peuvent accéder aux données des clients.

Contrôle d’accès granulaire

La clinique ou le propriétaire du compte décide précisément qui peut accéder à quelles informations dans Colib, en fonction des rôles et responsabilités du personnel.

Comptes utilisateurs individuels et authentification renforcée

Chaque utilisateur de Colib doit se connecter à l’aide de ses propres identifiants, assurant une traçabilité complète des actions effectuées dans la plateforme.
Les comptes sont automatiquement verrouillés après plusieurs tentatives de connexion échouées et peuvent être restaurés de manière sécurisée via la fonction « mot de passe oublié ».

Journaux d’activité complets

Les propriétaires de cliniques peuvent consulter des journaux d’audit détaillés indiquant quand les données des clients ont été consultées ou modifiées, et par qui.

Hébergement et sauvegardes des données au Canada

Tous les renseignements de santé sont stockés de manière sécurisée dans des centres de données canadiens et sauvegardés régulièrement afin d’en assurer la disponibilité et la protection.

Options de tenue de dossiers flexibles

Les outils de tenue de dossiers sont conçus pour s’adapter aux différentes exigences réglementaires et professionnelles en matière de documentation.

Formulaires électroniques personnalisables

Les cliniques peuvent créer des formulaires électroniques afin d’informer les patients de leurs droits en matière de confidentialité et de recueillir leur consentement de manière claire et conforme.

Sauvegarde des données en temps réel

Les données sont enregistrées automatiquement et en continu pendant l’utilisation de Colib, réduisant ainsi les risques de perte de données.

Pratiques de sécurité des données conformes aux normes de l’industrie

• Chiffrement des données au repos et en transit

• Pratiques sécurisées de gestion des clés

• Séparation logique entre les environnements de production, de test et de développement

Rôle de Colib en tant que gestionnaire de l’information en vertu de la Health Information Act de l’Alberta

Lorsque les cliniques en Alberta sont assujetties à la Health Information Act (HIA), Colib agit à titre de gestionnaire de l’information pour le compte de la clinique.

Un gestionnaire de l’information est une organisation qui recueille, utilise, stocke ou communique des renseignements de santé permettant d’identifier une personne pour un dépositaire, afin de fournir un service. Dans ce contexte, la clinique ou le praticien demeure en tout temps le dépositaire des renseignements de santé, tandis que Colib fournit la plateforme technique utilisée pour gérer ces renseignements.

Colib ne devient pas dépositaire des renseignements de santé. Son rôle se limite au traitement des renseignements de santé strictement conformément aux instructions du dépositaire et à la législation applicable.

Vous trouverez plus d’informations sur la définition et les obligations des gestionnaires de l’information dans la Health Information Act de l’Alberta et ses règlements connexes :
https://www.qp.alberta.ca/documents/Acts/H05.pdf

Entente de gestion de l’information (Information Manager Agreement – IMA)

En vertu de la Health Information Act, les dépositaires sont tenus de conclure une entente écrite avec tout gestionnaire de l’information qu’ils engagent. Cette entente est communément appelée Information Manager Agreement (IMA).

Colib fournit une entente de gestion de l’information aux cliniques assujetties à la Health Information Act. Cette entente vise à soutenir les obligations de conformité du dépositaire et à définir clairement les responsabilités de Colib lorsqu’il traite des renseignements de santé pour le compte de la clinique.

Une entente type avec Colib précise notamment :

• que Colib utilise les renseignements de santé uniquement pour fournir les services demandés par le dépositaire et conformément à ses instructions ;

• que les renseignements de santé ne sont pas réutilisés ni détournés de leur finalité (y compris à des fins d’analytique ou d’entraînement de modèles d’IA) sans l’autorisation explicite du dépositaire ;

• les obligations de Colib en matière de mesures de protection administratives, techniques et physiques ;

• les responsabilités liées à la gestion des incidents et aux notifications en cas d’incident de confidentialité ou de sécurité ;

• les procédures de restitution ou de destruction sécurisée des renseignements de santé à la fin de la relation contractuelle.

Si vous devez faire signer une Entente de gestion de l’information (IMA) entre Colib et votre clinique, veuillez nous contacter à l’adresse support@colib.io.

Pour plus de détails, vous pouvez consulter la liste complète des fonctionnalités de sécurité de Colib ou vous référer au Health Information Act (HIA) Guidelines and Practices Manual pour obtenir des orientations réglementaires officielles.

Vous avez encore des questions ?

Si vous avez des questions concernant la confidentialité, la sécurité ou ce guide, n’hésitez pas à nous contacter à support@colib.io.
Nous serons ravis de vous aider et de vous expliquer comment ces fonctionnalités s’appliquent concrètement dans votre pratique.