Politique et procédure de conservation du dossier de santé électronique

Approbation au niveau de la politique : Président-directeur général

Catégorie de politique : Politique organisationnelle

Numéro de politique : INF-009.02-PP

Parrain (ou parrains) de la politique : Directeur général, Stratégie, Planification, Protection de la vie privée et analyse

Date d'approbation originale : 8 décembre 2016

Date d'affichage : 15 mai 2026

Date d'approbation de la version : 9 avril 2026

1. But, objectifs et portée

1.1 But

1.1.1 La présente politique et ses procédures décrivent les pratiques de Santé Ontario en ce qui concerne la période de conservation des dossiers papier et électroniques, y compris les dossiers de renseignements personnels sur la santé (RPS) reçus par Santé Ontario d'un dépositaire de renseignements sur la santé (DRS) aux fins de l'élaboration ou du maintien du dossier de santé électronique (DSE), conformément à la LPRPS; et

1.1.2 conformément à la partie V.1 de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS), qui sont fournis par un dépositaire de renseignements sur la santé (DRS); et

1.1.3 les dossiers de RPS reçus par Santé Ontario aux fins de répondre à une demande d'accès d'un particulier conformément aux paragraphes 51(5) et (6) de la LPRPS.

1.2 Objectifs

1.2.1 Permettre à Santé Ontario, en tant qu'organisation prescrite, de :

  • Respecter ses obligations en vertu de la LPRPS, de la LAIPVP et des règlements connexes; et
  • Se conformer aux exigences énoncées dans le Manuel relatif à l'examen et à l'approbation des organisations prescrites du Commissaire à l'information et à la protection de la vie privée de l'Ontario (CIPVP); et
  • Protéger la vie privée des particuliers et la confidentialité de leurs RPS et RP.

1.3 Portée

1.3.1 La présente politique s'applique à Santé Ontario lorsqu'elle agit en vertu de son autorité à titre d'organisation prescrite aux fins de la partie V.1 et des paragraphes 51(5) et (6) de la LPRPS.

1.3.2 La présente politique s'applique aux employés non syndiqués, aux responsables d'équipe, aux membres du conseil d'administration, aux employés syndiqués, aux personnes détachées, aux consultants, aux personnes agissant pour le compte de Santé Ontario (agents de Santé Ontario), ainsi qu'aux dépositaires de renseignements sur la santé (DRS) qui fournissent ou consultent des RPS auprès de Santé Ontario aux fins du DSE.

1.3.3 La présente politique s'applique à la conservation sécurisée des dossiers de RP et de RPS reçus par Santé Ontario aux fins de l'élaboration ou du maintien du DSE, comme suit :

  • RPS accessibles par l'entremise du DSE;
  • RP pour soutenir le registre des fournisseurs;

1.3.4 les dossiers électroniques que Santé Ontario est tenue de conserver en vertu des paragraphes 4, 5 et 6 de l'article 55.3 de la LPRPS;

  • les documents créés et/ou reçus relativement à ce qui suit :
    • Demandes visant à établir, refuser ou retirer des directives de consentement;
    • Demandes de renseignements ou plaintes concernant la conformité à la LPRPS et à ses règlements;
  • Demandes d'accès et/ou de correction des RPS accessibles par l'entremise du DSE, présentées conformément à la Politique et procédure relatives aux demandes d'accès aux renseignements personnels sur la santé du dossier de santé électronique et à la Politique et procédure relatives aux demandes de correction des renseignements personnels sur la santé du dossier de santé électronique en vertu de la LPRPS;
    • Enquêtes sur les atteintes à la vie privée et/ou incidents de sécurité;
    • Registres au niveau du système, registres de suivi, rapports et documents connexes liés aux activités de protection de la vie privée et de sécurité qui ne contiennent pas de RPS ni de RP;
    • Les documents créés, recueillis et conservés à des fins juridiques, réglementaires ou administratives, y compris :
      • modèles ou ressources élaborés relativement au DSE;
      • documents liés à l'assurance; et
  • documents liés aux activités.

1.3.5 Documents créés et/ou reçus relativement à ce qui suit :

  • Demandes d'accès aux RPS accessibles par l'entremise du DSE et aux dossiers électroniques que Santé Ontario est tenue de conserver en vertu des paragraphes 4, 5 et 6 de l'article 55.3 de la LPRPS, présentées conformément à la Politique et procédure relatives aux demandes d'accès aux RPS du dossier de santé électronique.

Remarque : Les copies des dossiers de RPS provenant du DSE et conservées par les DRS ou par les agents/fournisseurs de services électroniques du dépositaire sont exclues du champ d'application de la présente politique.

1.4 Conformité, vérification, application et exemptions

1.4.1 Le respect intégral de la présente politique est obligatoire, sauf si une exception à une section précise est approuvée par écrit par le directeur général de la protection de la vie privée (DGPVP) de Santé Ontario ou son délégué. Le non-respect des exigences de la présente politique peut entraîner des mesures disciplinaires pouvant aller jusqu'à la révocation d'une nomination, la cessation d'emploi ou la résiliation du contrat sans préavis ni indemnité.

1.4.2 La conformité fera l'objet d'une vérification conformément à la Politique de vérification et de conformité en matière de protection de la vie privée et selon la fréquence qui y est prévue.

1.4.3 Dès la première occasion raisonnable suivant la constatation ou la prise de connaissance d'une violation de la présente politique, les employés, les autres agents de Santé Ontario ainsi que les DRS doivent en informer le Bureau de la protection de la vie privée de Santé Ontario en signalant la violation au centre de services de l'entreprise par téléphone : 1-866-250-1554 ou par courriel à : OH-servicedesk@ontariohealth.ca

1.4.4 Les violations de la présente politique seront gérées conformément à la Politique et procédure de gestion des incidents liés à la vie privée et à la Politique et procédure de gestion des incidents liés à la vie privée du DSE.

1.4.5 La conformité sera appliquée conformément à la Politique de discipline progressive.

1.5 Terminologie

1.5.1 Les mots « inclure » et « y compris », lorsqu'ils sont utilisés, ne visent pas à être exhaustifs et signifient respectivement « inclure, sans s'y limiter » et « y compris, sans s'y limiter ».

1.5.2 Les mots et expressions de la présente politique ayant un sens différent de leur acception courante sont écrits avec une majuscule et leur définition figure à la section Définitions et sigles (section 5).

2. Politique

2.1 Calendrier de conservation

2.1.1 Santé Ontario doit veiller à ce que les dossiers de RP et de RPS reçus par Santé Ontario soient conservés uniquement pendant la durée nécessaire aux fins de l'élaboration ou du maintien du DSE.

2.1.2 La durée de conservation des dossiers par Santé Ontario est déterminée conformément à la LPRPS, à la LAIPVP et aux ententes conclues avec le DRS. Voir Annexe A : Calendrier de conservation (pour les formats papier et électronique) des dossiers de RP et de RPS, dans les deux formats, y compris leurs différentes catégories.

2.2 Conservation sécurisée

2.2.1 Santé Ontario s'engage à conserver les dossiers de RPS de manière sécurisée. Santé Ontario veille à ce que les dossiers de RP et de RPS soient conservés de manière sécurisée conformément à la Norme sur la gestion des renseignements personnels sur la santé et aux normes et pratiques exemplaires de sécurité de l'industrie. Le vice-président, Innovations pour la santé connectée, est responsable de veiller à la conservation sécurisée de ces dossiers.

2.2.2 La forme (identifiable/dépersonnalisée) sous laquelle les RP et RPS sont conservés est déterminée conformément à l'objectif d'élaboration et de maintien du DSE et à la Norme sur la gestion des renseignements personnels sur la santé.

2.2.3 Les méthodes précises selon lesquelles les dossiers de RP et de RPS, en format papier et électronique, sont conservés de manière sécurisée, y compris les dossiers conservés sur divers supports, sont déterminées et mises en œuvre conformément à la Norme sur la gestion des renseignements personnels sur la santé, à la Norme sur la classification et la gestion de l'information et aux Lignes directrices sur la classification et la gestion de l'information.

2.2.4 Les employés ou les autres agents de Santé Ontario doivent prendre des mesures raisonnables dans les circonstances pour veiller à ce que les dossiers de RPS conservés et accessibles par l'entremise du DSE ne soient pas collectés sans autorisation et soient protégés contre le vol, la perte ainsi que l'utilisation ou la divulgation non autorisée, et à ce que les dossiers de RPS accessibles par l'entremise du DSE soient protégés contre la copie, la modification ou l'élimination non autorisée.

La Norme de gestion des risques liés à la sécurité de l'information désigne le ou les agents de Santé Ontario responsables de la conservation des registres de contrôle du système et des journaux d'audit, ainsi que l'endroit où ces registres seront conservés.

2.3 Recours à des fournisseurs de services tiers

2.3.1 Santé Ontario doit veiller à ce que tout tiers qu'elle retient pour l'aider à fournir des services aux fins de l'élaboration ou du maintien du DSE accepte de se conformer aux restrictions et conditions nécessaires pour permettre à Santé Ontario de se conformer à la partie V.1 de la LPRPS.

2.3.2 Si Santé Ontario choisit de conclure un contrat avec un tiers fournisseur de services ou de faire autrement appel à celui-ci pour conserver des dossiers de RPS, elle doit veiller à ce que l'entente écrite conclue avec le tiers fournisseur de services contienne des obligations, restrictions et conditions conformes à la Politique sur l'utilisation et la divulgation des renseignements personnels, aux exigences énoncées dans le Manuel des OP du CIPVP, aux politiques applicables de Santé Ontario en matière de protection de la vie privée et de sécurité, à la LPRPS et aux règlements connexes.

2.4 Obligations des DRS

2.4.1 Les DRS doivent disposer de politiques, procédures et pratiques en matière de protection de la vie privée et de sécurité qui sont nécessaires pour leur permettre de respecter leurs obligations en vertu de la LPRPS, de la LAIPVP ou de la Loi sur l'accès à l'information municipale et la protection de la vie privée, 1990, le cas échéant.

2.4.2 Les DRS qui utilisent des moyens électroniques pour collecter, utiliser, modifier, divulguer, conserver ou éliminer des RPS sont tenus de se conformer aux exigences prescrites en vertu de la LPRPS.

2.4.3 Un DRS doit veiller à ce que les dossiers de RPS dont il a la garde ou le contrôle soient conservés, transférés et éliminés de manière sécurisée et conformément aux exigences prescrites en vertu de la LPRPS.

2.4.4 Un DRS qui a la garde ou le contrôle de RPS faisant l'objet d'une demande d'accès en vertu de l'art. 53 de la LPRPS doit conserver ces renseignements aussi longtemps que nécessaire pour permettre au particulier d'épuiser tout recours dont il peut disposer en vertu de la LPRPS relativement à la demande.

2.4.5 Un DRS est responsable des RPS dont il a la garde ou le contrôle et ne peut autoriser ses agents à collecter, utiliser, divulguer, conserver ou éliminer des RPS pour son compte que si :

  1. le dépositaire est autorisé ou tenu de collecter, utiliser, divulguer, conserver ou éliminer les renseignements, selon le cas;
  2. la collecte, l'utilisation, la divulgation, la conservation ou l'élimination des renseignements, selon le cas, est nécessaire dans le cadre des fonctions de l'agent et n'est pas contraire à la LPRPS ou à une autre loi; et
  3. les exigences prescrites, le cas échéant, sont respectées.

2.5 Transfert et élimination sécurisés des dossiers

2.5.1 Santé Ontario a mis en place des mesures de protection afin d'assurer le transfert et l'élimination sécurisés des RP et des RPS. En conséquence, tout transfert et toute élimination des dossiers applicables de RP et de RPS qui ne sont plus requis pour atteindre l'objectif visé doivent être effectués conformément à la Norme sur la gestion des renseignements personnels sur la santé de Santé Ontario, à la Norme sur le transfert sécurisé des renseignements sensibles, à la Norme sur la destruction, l'assainissement et l'élimination des supports et des données, à la Norme sur la classification et la gestion de l'information, aux lignes directrices sur la classification et la gestion de l'information et aux politiques de sécurité applicables au DSE.

2.5.2 Santé Ontario doit mettre en place des mesures de protection raisonnables pour veiller à ce que les dossiers de RPS reçus aux fins de l'élaboration ou du maintien du DSE soient éliminés de manière sécurisée après la période de conservation ou à la date de résiliation prévue dans toute documentation et/ou entente conclue avant la réception des RPS.

2.5.3 Le vice-président principal, Excellence numérique en santé, ou son délégué, est responsable de veiller à ce que les dossiers de RPS reçus aux fins de l'élaboration et du maintien du DSE soient soit retournés de manière sécurisée, soit éliminés de manière sécurisée, selon le cas, après la période de conservation ou à la date de résiliation prévue dans la documentation et/ou les ententes applicables conclues avant la réception des RPS par l'OP.

2.5.4 Si les dossiers de RPS doivent être retournés de manière sécurisée à la personne ou à l'organisation dont ils proviennent, Santé Ontario transférera les dossiers de manière sécurisée et conformément à la Norme sur le transfert sécurisé des renseignements sensibles.

2.5.5 Si les dossiers doivent être éliminés, Santé Ontario les éliminera de manière sécurisée et conformément à la Norme sur la destruction, l'assainissement et l'élimination des supports et des données.

3. Procédures

3.1 Procédures générales

3.1.1 Santé Ontario et les DRS doivent veiller à ce que les dossiers identifiés dans la présente politique soient conservés conformément au calendrier indiqué à l'annexe A : Calendrier de conservation (format papier et électronique).

3.1.2 À la fin de la période de conservation indiquée à l'annexe A : Calendrier de conservation (format papier et électronique), les RPS ne seront plus accessibles par l'entremise du DSE aux DRS, à Santé Ontario et aux agents et fournisseurs de services électroniques applicables.

3.1.3 Le Bureau de la cybersécurité de Santé Ontario, en collaboration avec les unités opérationnelles concernées, doit veiller à ce que les dossiers de RPS reçus aux fins de l'élaboration ou du maintien du DSE soient éliminés de manière sécurisée après la période de conservation ou à la date de résiliation prévue dans toute documentation et/ou entente conclue avant la réception des RPS.

3.1.4 Lorsque les obligations contractuelles entre Santé Ontario et un DRS prennent fin, Santé Ontario collaborera avec le DRS afin de déterminer les modalités de disposition des dossiers de RP et de RPS fournis, conformément à la LPRPS, à la LAIPVP, aux ententes applicables ainsi qu'aux politiques pertinentes en matière de protection de la vie privée et de sécurité.

3.1.5 Lorsque les RPS décrits à l'article 3.1.3 ont été collectés par un DRS autre que le dépositaire ayant fourni les RPS, le dossier de RPS sera conservé dans le DSE pendant la période indiquée à l'annexe A : Calendrier de conservation (format papier et électronique). Ces dossiers pourront faire l'objet de collectes, utilisations et divulgations supplémentaires par les DRS, Santé Ontario et les agents et fournisseurs de services électroniques applicables.

4. Responsabilités

4.1 Directeur général de la protection de la vie privée de Santé Ontario

4.1.1 Assurer la conformité à la LAIPVP et à la LPRPS et veiller à ce que les politiques et procédures pertinentes de Santé Ontario soient mises en place.

4.1.2 Responsable de l'imputabilité globale et des opérations quotidiennes du programme de protection de la vie privée.

4.2 VPP, Cadre de direction, Excellence numérique en santé, ou son délégué

4.2.1 Responsable de veiller à ce que les dossiers fournis à Santé Ontario soient éliminés ou retournés à la personne qui les a fournis de manière sécurisée et conformément à la période de conservation applicable.

4.3 Bureau de la protection de la vie privée de Santé Ontario

4.3.1 Appuyer l'élaboration des politiques et programmes de Santé Ontario liés à la conservation du DSE.

4.3.2 Rédiger et gérer les mises à jour requises de la présente politique.

4.4 Gestionnaires/Superviseurs

4.4.1 Veiller à ce que les employés et autres agents de Santé Ontario respectent la présente politique.

4.4.2 Appuyer la gestion du Bureau de la protection de la vie privée et du programme de protection de la vie privée, y compris toutes les activités liées à la conservation des dossiers de RPS dans le DSE.

4.5 Employés et autres agents de Santé Ontario

4.5.1 Assurer la conformité conformément aux procédures énoncées dans la présente politique.

4.5.2 Appuyer la mise en œuvre de la présente politique, y compris toutes les activités liées à la conservation des dossiers de RPS dans le DSE.

4.6 DRS qui fournissent des RPS à Santé Ontario

4.6.1 Veiller à ce que les dossiers de RPS dont ils ont la garde ou le contrôle soient conservés, transférés et éliminés de manière sécurisée et conformément aux exigences prescrites en vertu de la LPRPS et de la présente politique.

5. Définitions et sigles

Les termes définis sont en majuscules dans l'ensemble du présent document

Recueillir : A le sens qui lui est donné à l'article 2 de la LPRPS relativement aux RPS; et, relativement aux RP, a le même sens.

« Recueillir » signifie rassembler, acquérir, recevoir ou obtenir des renseignements par tout moyen et auprès de toute source, et « collecte » et « recueilli » ont un sens correspondant.

Directive de consentement : Directive formulée conformément à l'art. 55.6 de la LPRPS, qui restreint ou retire, en tout ou en partie, le consentement d'une personne à la collecte, à l'utilisation et à la divulgation de ses RPS au moyen du DSE par un DRS aux fins de fournir ou d'aider à fournir des soins de santé à cette personne.

DGPVP : Directeur général de la protection de la vie privée

Divulguer : A le sens qui lui est donné à l'art. 2 de la LPRPS relativement aux RPS sous la garde ou le contrôle d'un DRS ou d'une personne; et, relativement aux RP, a le même sens.

« Divulguer » signifie rendre les renseignements accessibles ou les communiquer à un autre DRS ou à une autre personne, mais ne comprend pas l'utilisation des renseignements; « divulgation » a un sens correspondant.

DSE ou dossier de santé électronique : A le sens qui lui est donné à l'art. 55.1 de la LPRPS et désigne généralement les systèmes électroniques développés et maintenus par Santé Ontario conformément à la partie V.1 de la LPRPS afin de permettre aux DRS de recueillir, d'utiliser et de divulguer des RPS au moyen de ces systèmes.

Employé : Personne employée et rémunérée par Santé Ontario et classée comme employé permanent à temps plein, permanent à temps partiel, temporaire à temps plein, temporaire à temps partiel, étudiant rémunéré ou occasionnel, conformément à la Ligne directrice sur la classification des employés. Un consultant ou un entrepreneur n'est pas un employé.

LAIPVP ou Loi sur l'accès à l'information et la protection de la vie privée, 1990 : Loi de l'Ontario ayant deux objectifs principaux : 1) rendre les institutions gouvernementales provinciales plus ouvertes et responsables en donnant au public un droit d'accès aux documents; et 2) protéger la vie privée des particuliers en ce qui concerne leurs renseignements personnels détenus par les organisations gouvernementales provinciales. Les références à la LAIPVP comprennent les règlements pris en application de celle-ci, tels que modifiés ou remplacés de temps à autre.

DRS ou dépositaire de renseignements sur la santé : A le sens qui lui est donné à l'art. 3 de la LPRPS et désigne généralement une personne ou une organisation ayant la garde ou le contrôle de renseignements personnels sur la santé aux fins de fournir des soins de santé ou d'exercer d'autres fonctions liées à la santé. Exemples : médecins, hôpitaux, pharmacies, laboratoires et le MS, mais ne comprend pas Santé Ontario.

Particulier : A le sens qui lui est donné à l'article 2 de la LPRPS relativement aux RPS; et, relativement aux RP, a le même sens.

« Particulier » désigne la personne, vivante ou décédée, à l'égard de laquelle les renseignements ont été ou sont recueillis ou créés.

CIPVP : Commissaire à l'information et à la protection de la vie privée de l'Ontario

Manuel des OP du CIPVP : Manuel du CIPVP relatif à l'examen et à l'approbation des organisations prescrites

Ministre : Ministre de la Santé

MS : Ministère de la Santé de l'Ontario

Règl. de l'Ont. 329/04 : Règlement de l'Ontario 329/04 pris en application de la LPRPS

Santé Ontario : Santé Ontario, l'organisme du gouvernement de l'Ontario auquel s'applique la présente politique.

Agent de Santé Ontario : Personne qui agit pour le compte ou au nom de Santé Ontario aux fins de Santé Ontario, et non à ses propres fins, qu'elle ait ou non le pouvoir de lier Santé Ontario, qu'elle soit ou non employée par Santé Ontario, et qu'elle soit ou non rémunérée.

RPS ou renseignements personnels sur la santé : A le sens qui lui est donné à l'art. 4 de la LPRPS. Plus précisément, il s'agit de « renseignements identificatoires », verbaux ou consignés, concernant une personne et qui :

  • portent sur la santé physique ou mentale de la personne, y compris les antécédents médicaux de sa famille;
  • portent sur la prestation de soins de santé à la personne, y compris l'identification d'une personne à titre de fournisseur de soins de santé pour cette personne;
  • constituent un plan établissant les services de soins à domicile et en milieu communautaire devant être fournis à la personne par un fournisseur de services de santé ou une équipe Santé Ontario conformément au financement prévu à l'article 21 de la Loi de 2019 pour des soins interconnectés;
  • portent sur les paiements relatifs aux soins de santé ou sur l'admissibilité aux soins de santé ou à la couverture des soins de santé à l'égard de la personne;
  • portent sur le don par la personne d'une partie de son corps ou d'une substance corporelle, ou découlent de l'analyse ou de l'examen d'une telle partie ou substance;
  • correspondent au numéro de santé de la personne;
  • identifient le mandataire spécial de la personne;
  • correspondent à l'identifiant de santé numérique de la personne ou à tout autre renseignement identificatoire lié à la création de l'identifiant de santé numérique.

Les RPS comprennent également des renseignements identificatoires concernant une personne qui ne figurent pas parmi les RPS énumérés ci-dessus, mais qui sont contenus dans un dossier comprenant des RPS énumérés ci-dessus.

Un renseignement est « identificatoire » lorsqu'il permet d'identifier une personne ou lorsqu'il est raisonnablement prévisible, dans les circonstances, qu'il puisse être utilisé, seul ou avec d'autres renseignements, pour identifier la personne.

LPRPS ou Loi de 2004 sur la protection des renseignements personnels sur la santé : Loi ontarienne en matière de protection de la vie privée dans le domaine de la santé. Elle établit des règles régissant la gestion des RPS et la protection de leur confidentialité, tout en facilitant la prestation efficace des soins de santé. Les références à la LPRPS comprennent les règlements pris en application de celle-ci, tels que modifiés ou remplacés de temps à autre.

RP ou renseignements personnels : A le sens qui lui est donné à l'article 2 de la LAIPVP. Plus précisément, il s'agit de renseignements consignés concernant une personne identifiable, notamment :

  • des renseignements concernant la race, l'origine nationale ou ethnique, la couleur, la religion, l'âge, le sexe, l'orientation sexuelle ou l'état matrimonial ou familial de la personne;
  • des renseignements concernant la formation ainsi que les antécédents médicaux, psychiatriques, psychologiques, criminels ou professionnels de la personne, ou des renseignements relatifs à des opérations financières auxquelles elle a participé;
  • tout numéro, symbole ou autre élément identificatoire attribué à la personne;
  • l'adresse, le numéro de téléphone, les empreintes digitales ou le groupe sanguin de la personne;
  • les opinions ou points de vue personnels de la personne, sauf s'ils portent sur une autre personne;
  • la correspondance envoyée à une institution par la personne, de nature implicitement ou explicitement privée ou confidentielle, ainsi que les réponses à cette correspondance qui en révéleraient le contenu;
  • les opinions ou points de vue d'une autre personne au sujet de la personne; et
  • le nom de la personne lorsqu'il figure avec d'autres renseignements personnels la concernant ou lorsque la divulgation du nom révélerait d'autres renseignements personnels à son sujet.

Les renseignements personnels comprennent également les renseignements qui ne sont pas consignés mais qui sont autrement définis comme des renseignements personnels lorsqu'on tient compte du mode de collecte, de l'avis au public, des évaluations des facteurs relatifs à la vie privée et des mesures de protection.

EFVP : Évaluation des facteurs relatifs à la vie privée

Organisation prescrite ou OP : Organisation désignée dans le Règlement de l'Ontario 329/04 à titre d'organisation aux fins de la LPRPS. L'organisation prescrite a le pouvoir et l'obligation d'élaborer et de maintenir le DSE conformément à la partie V.1 de la LPRPS, ainsi que le pouvoir d'exercer des activités liées à l'identifiant de santé numérique conformément à la partie V.2 de la LPRPS. 

Atteinte à la vie privée : Une atteinte à la vie privée comprend :

1. Atteinte à la vie privée visant des RPS ou des RP (atteinte à la vie privée liée aux RPS/RP) désigne un événement où :

  • la collecte, l'utilisation ou la divulgation de RPS ou de RP n'est pas conforme à la LPRPS ou à ses règlements, ou à la LAIPVP ou à ses règlements (c.-à-d. sans autorisation légale); et/ou
  • la consultation, la manipulation ou tout autre traitement des RPS fournis à Santé Ontario n'est pas conforme à la LPRPS ou à ses règlements;
  • des RPS ou des RP sont volés, perdus ou font l'objet d'une collecte, d'une utilisation ou d'une divulgation non autorisée, ou lorsque des dossiers de RPS ou de RP font l'objet d'une copie, d'une modification ou d'une élimination non autorisée.

Remarque : Une atteinte à la vie privée liée aux RPS/RP n'inclut pas une atteinte visant des renseignements dépersonnalisés ou des renseignements d'identité d'entreprise, si l'événement ne concerne pas des RP ou des RPS.

2. Atteinte à la vie privée liée à une politique ou à une entente (atteinte à une politique/entente en matière de vie privée) désigne un événement où :

  • Il y a contravention des politiques, procédures ou pratiques de Santé Ontario en matière de protection de la vie privée; et/ou
  • Il y a contravention d'une condition liée à la protection de la vie privée dans :
    • des ententes de partage de données,
    • des ententes de recherche,
    • des ententes de confidentialité, ou
    • des ententes conclues avec des fournisseurs de services tiers retenus par Santé Ontario afin de traiter des RPS ou des RP,
    • des déclarations écrites reconnaissant et acceptant de ne pas utiliser des RPS ou des RP dépersonnalisés et/ou agrégés afin d'identifier une personne, et
  • n'inclut pas une atteinte à la vie privée visant des RPS ou des RP.

Remarque : Une atteinte à une politique/entente en matière de vie privée peut inclure une atteinte visant des renseignements dépersonnalisés ou des renseignements d'identité d'entreprise si l'atteinte concerne des mécanismes de protection de la vie privée prévus dans une entente ou dans une politique, procédure ou pratique relative au traitement de renseignements dépersonnalisés ou de renseignements d'identité d'entreprise.

Incident lié à la vie privée : Tout événement pour lequel le Bureau de la protection de la vie privée est avisé ou prend connaissance qu'une atteinte à la vie privée pourrait s'être produite. Cela comprend les événements qui sont examinés ou faisant l'objet d'une enquête et qui sont :

  • confirmés comme constituant une atteinte à la vie privée;
  • confirmés comme ne constituant pas une atteinte à la vie privée; ou
  • non déterminés ou ne pouvant être déterminés quant à la survenance d'une atteinte à la vie privée (atteinte présumée à la vie privée).

Remarque : Les incidents liés à la protection de la vie privée comprennent les événements impliquant des RP et des RPS, ainsi que des renseignements dépersonnalisés et des renseignements d'identité organisationnelle, car ces événements nécessitent une enquête conformément à la présente politique afin de déterminer s'ils constituent des atteintes à la vie privée, telles que définies ci-dessous. Santé Ontario enquête sur ces incidents impliquant des données dépersonnalisées et des renseignements d'identité organisationnelle, en tenant compte notamment 1) du risque de réidentification et des lignes directrices applicables en matière de dépersonnalisation des données, ainsi que 2) du contexte de traitement des données reçues par Santé Ontario en tant que renseignements d'identité organisationnelle; afin de confirmer qu'ils ne constituent pas des RP, respectivement.

Dossier : A le même sens que celui prévu à l'art. 2 de la LPRPS et à l'art. 2 de la LAIPVP.

Mandataire spécial : A le sens qui lui est donné à l'art. 5 de la LPRPS et désigne, sauf indication contraire du contexte, une personne autorisée en vertu de la LPRPS à consentir, au nom d'une autre personne, à la collecte, à l'utilisation ou à la divulgation de RPS concernant cette personne.

Fournisseur de services tiers : Tiers retenu par contrat ou autrement mandaté pour fournir des services à Santé Ontario, y compris les fournisseurs de services électroniques.

Utilisation : Relativement aux RPS ou aux RP sous la garde ou le contrôle d'un DRS ou d'une personne, « utiliser » signifie consulter, manipuler ou autrement traiter les renseignements, sans toutefois les divulguer; « utilisation » a un sens correspondant. Aux fins de la LPRPS, la communication de RPS entre un DRS et un mandataire du DRS constitue une utilisation par le DRS, et non une divulgation par la personne qui fournit les renseignements ni une collecte par la personne qui les reçoit.

6. Cycle de révision

La présente politique doit être révisée par Santé Ontario au moins tous les trois ans à compter de sa date d'entrée en vigueur ou plus tôt si nécessaire conformément à la Politique de vérification et de conformité en matière de protection de la vie privée.

7. Références et/ou documents de mise en œuvre clés

Consultez les références et les documents

  • Loi de 2004 sur la protection des renseignements personnels sur la santé; Règlement de l'Ontario 329/04.
  • Loi de 1990 sur l'accès à l'information et la protection de la vie privée
  • Loi sur l'accès à l'information municipale et la protection de la vie privée
  • Manuel relatif à l'examen et à l'approbation des organisations prescrites
  • Politique de vérification et de conformité en matière de protection de la vie privée
  • Politique et procédure de gestion des incidents liés à la protection de la vie privée
  • Norme sur la classification et la gestion de l'information
  • Lignes directrices sur la classification et la gestion de l'information
  • Norme de gestion des risques liés à la sécurité de l'information
  • Norme sur la gestion des renseignements personnels sur la santé
  • Norme sur la destruction, l'assainissement et l'élimination des supports
  • Politiques de sécurité applicables relatives au DSE.

8. Annexes

Annexe A : Calendrier de conservation (format papier et électronique)

9. Consultations relatives à la politique

Les personnes suivantes ont été consultées dans l'élaboration de la présente politique :

Gestionnaires et membres du personnel responsables des unités opérationnelles de Santé Ontario chargés de la mise en œuvre et/ou du respect de la présente politique.

10. Historique de révision de la politique

Avril 2026 : La politique a été révisée et mise à jour en avril 2026. Elle a été approuvée le 9 avril 2026 par le président-directeur général de Santé Ontario.

Annexe A : Registre des demandes d'accès et de correction

Santé Ontario et les dépositaires de renseignements sur la santé (DRS) doivent conserver les dossiers identifiés ci-dessous conformément à la période de conservation correspondante et veiller à ce qu'ils soient éliminés de manière sécurisée dès que raisonnablement possible après cette période.

Type de dossier Organisation responsable Période de conservation
Renseignements personnels sur la santé (RPS) accessibles par l'entremise du dossier de santé électronique (DSE)
RPS reçus de dépositaires de renseignements sur la santé (DRS) Santé Ontario La plus longue des périodes suivantes :
  • Aussi longtemps que le DRS ayant fourni les RPS au DSE conserve ces RPS dans ses systèmes locaux conformément à son calendrier de conservation;
  • Conformément au calendrier de conservation du DRS ayant créé et fourni les RPS au DSE;
  • Trente ans après la dernière consultation, manipulation ou autre utilisation des RPS aux fins de la prestation ou du soutien à la prestation de soins de santé; ou dix ans après le décès du patient; ou
  • Conformément à toute ordonnance judiciaire ou autre exigence légale applicable.
Renseignements personnels sur la santé (RPS) fournis par les DRS pour le dossier de santé électronique (DSE)
RPS reçus des dépositaires de renseignements sur la santé (DRS) aux fins d'activités de validation des données avant leur intégration au DSE Santé Ontario Pas plus de six mois, sauf autorisation contraire de Santé Ontario.
Dossiers électroniques, journaux d'audit et rapports contenant des RPS créés à des fins de conformité en vertu de la LPRPS
  • Conformément au par. 55.3(4)(i), registre électronique de toutes les instances où tout ou partie des RPS est consulté, manipulé ou autrement utilisé par les employés ou autres personnes agissant pour le compte de Santé Ontario ou par les DRS ou leurs agents.
  • Conformément au par. 55.3(4)(ii), registre électronique de toutes les instances où des RPS sont transmis à un DRS à la demande de celui-ci.
  • Conformément au par. 55.3(5), registre électronique de toutes les instances où une directive de consentement est établie, modifiée ou retirée.
  • Conformément au par. 55.3(6), registre électronique de toutes les instances où une directive de consentement est levée conformément à l'article 55.7.
  • Rapports d'audit et de surveillance liés aux dossiers électroniques que Santé Ontario est tenue de conserver en vertu des paragraphes 4, 5 et 6 de l'art. 55.3.
  • Dossier électronique de toutes les instances où un avis de directive de consentement est fourni à un DRS conformément au par. 55.6 (7).
  • Avis relatifs à la dérogation à la préséance du consentement transmis aux DRS conformément au par. 55.7(6).
  • Avis relatifs à la consignation et à l'audit.
 Santé Ontario La plus longue des périodes suivantes : trente ans après la création du dossier ou jusqu'à ce que les RPS soient retirés du DSE.
Journaux et rapports d'audit créés à des fins de dépannage et autres fins opérationnelles
Rapports d'audit contenant des RPS créés et conservés à des fins de dépannage et autres fins opérationnelles Santé Ontario Pas plus de soixante jours, sauf autorisation contraire de Santé Ontario.
Dossiers d'archives
Copies archivées des RPS dans le DSE Santé Ontario Équivaut à la période de conservation des RPS dans le DSE (voir ci-dessus).
Copies d'archives des registres d'audit et des rapports d'audit contenant des RPS La plus longue des périodes suivantes : trente ans ou jusqu'à ce que les RPS soient retirés du DSE.
Dossiers de sauvegarde
  • Sauvegardes des RPS dans le DSE
  • Sauvegardes des journaux d'audit et rapports contenant des RPS
 Santé Ontario Selon le calendrier du fournisseur de services électroniques, mais au maximum deux ans.
Dossiers liés aux demandes d'accès, de correction, aux directives de consentement et aux demandes de renseignements/plaintes
Renseignements reçus et/ou recueillis relativement :
  • Demandes visant à établir, refuser ou retirer des directives de consentement;
  • Demandes de renseignements, préoccupations ou plaintes concernant la conformité à la LPRPS; et
  • Demandes d'accès et/ou de correction présentées en vertu de la LPRPS.
 Santé Ontario et, le cas échéant, les DRS responsables en vertu de la LPRPS. Deux ans après la clôture de la demande, de la demande de renseignements ou de la plainte par le DRS, Santé Ontario ou le CIPVP, selon la plus longue période.
Dossiers liés aux enquêtes sur les atteintes à la vie privée et/ou incidents de sécurité
Renseignements créés au sujet d'un particulier dans le cadre d'une enquête liée à des atteintes à la vie privée et/ou à des incidents de sécurité. Santé Ontario et DRS Deux ans après la clôture de l'atteinte à la vie privée par le DRS, Santé Ontario ou le CIPVP, selon la période la plus longue.
Modèles ou ressources élaborés par Santé Ontario relativement au DSE
  • Modèles de formation sur la protection de la vie privée et la sécurité.
  • Modèles d'avis visant l'obtention du consentement.
 Santé Ontario Deux ans
Documents liés à l'assurance
  • Rapport de recommandations d'évaluation des facteurs relatifs à la vie privée (EFVP) et décisions et directives connexes.
  • EFVP et décisions et directives connexes.
  • Évaluation des menaces et des risques (EMR), y compris les résumés d'EMR.
 Santé Ontario Dix ans
  • Auto-évaluation de la préparation en matière de protection de la vie privée et de sécurité et décisions et directives connexes.
  • Attestation opérationnelle d'auto-évaluation en matière de protection de la vie privée et de sécurité et décisions et directives connexes.
 Santé Ontario et DRS applicable
  • Plans de mesures correctives et décisions et directives connexes.
  • Rapport sur l'état d'avancement de la mise en œuvre des mesures correctives.
 Santé Ontario
  • Attestation des mesures correctives.
  • Rapports de non-conformité et recommandations connexes.
  • Rapports de surveillance de la conformité.
  • Rapports d'audit et recommandations, décisions et directives connexes.
 Santé Ontario et DRS
  • Liste des actifs du DSE.
  • Liste des risques des cotes de menaces et de vulnérabilités pour le DSE.
  • Modèle de contrat d'utilisateur final.
 Santé Ontario
  • Plan de continuité des activités.
 Santé Ontario et DRS
Renseignements recueillis pour l'identification ou l'inscription du fournisseur d'identité contenant des RP Santé Ontario Sept ans après la dernière utilisation
Renseignements d'identification de l'utilisateur final lorsque le DRS est un fournisseur d'identité DRS Permanent
Événements d'authentification lorsque le DRS est un fournisseur d'identité DRS Soixante jours en ligne, vingt-quatre mois au total dans les archives
Documentation liée aux activités de Santé Ontario
Procès-verbaux applicables des réunions de comités Santé Ontario Sept ans
Registres au niveau du système du DSE, registres de suivi, rapports et documents connexes pour les activités de protection de la vie privée et de sécurité qui ne contiennent pas de RPS
Registre de tous les accès au niveau du système au DSE Santé Ontario Deux ans
Registre de tous les événements du système d'information du DSE Santé Ontario
Registre de tous les accès au DSE par les DRS, leurs agents ou les fournisseurs de services électroniques DRS
Registre de tous les événements des systèmes d'information liés aux services de fournisseur d'identité et aux points de terminaison de contribution de données Santé Ontario et DRS
Registre de toutes les activités des administrateurs et opérateurs sur les services de fournisseur d'identité et les points de terminaison de contribution de données Santé Ontario et DRS
Registre de tous les événements du système d'information consignés conformément à l'Annexe A de la Politique harmonisée de consignation et de surveillance de la sécurité, réalisés par les DRS, leurs agents ou les fournisseurs de services électroniques Santé Ontario
Registre de toutes les activités des administrateurs et opérateurs des systèmes d'information Santé Ontario
Liste de tous les agents ou fournisseurs de services électroniques autorisés à accéder à la technologie de fournisseur d'identité et aux registres des points de terminaison de contribution de données Santé Ontario
Liste de tous les agents ou fournisseurs de services électroniques autorisés à accéder aux registres DRS
Registre de la destruction des RPS dans le DSE Santé Ontario
Liste de distribution des copies de documents papier classifiés « restreints » Santé Ontario
Liste des outils d'analyse des vulnérabilités et de configuration approuvés par Santé Ontario Santé Ontario
Registres de toute instance où des clés, des composantes de clés ou des éléments connexes pour les services de fournisseur d'identité et les points de contribution de données sont générés, retirés du stockage ou chargés dans un dispositif cryptographique Santé Ontario et DRS
Registre de toutes les demandes d'identifiants d'utilisateur administrés et permettant l'accès aux services de fournisseur d'identité et à l'infrastructure des points de contribution de données connectés au DSE DRS
Registre de toutes les demandes d'identifiants gérés et pouvant être utilisés pour accéder au DSE Santé Ontario
Liste de tous les identifiants ayant accès à [la solution du DSE] Santé Ontario
Registre des demandes visant à établir, modifier ou retirer une directive de consentement (y compris les renseignements d'identification et les coordonnées) Santé Ontario
Registre de réception d'une demande de directive de consentement Santé Ontario
Registre des avis fournis aux particuliers concernant les directives de consentement Santé Ontario et DRS
Liste de tous les agents faisant l'objet d'une directive de consentement relative aux agents Santé Ontario
Registres liés aux réponses aux demandes d'accès Santé Ontario
Registres liés aux réponses aux demandes de correction Santé Ontario
Historique de toutes les corrections des dossiers de RPS dans le DSE Santé Ontario
Avis et rapports relatifs aux atteintes à la vie privée/incidents de sécurité Santé Ontario
Rapport d'enquête sur une atteinte à la vie privée / rapport d'incident de sécurité Santé Ontario
Registre des atteintes à la vie privée Santé Ontario et DRS
Registre des incidents de sécurité Santé Ontario et DRS
Rapport de mesures correctives de gestion des atteintes à la vie privée Santé Ontario
État du rapport de mesures correctives de gestion des atteintes à la vie privée Santé Ontario
Demandes de renseignements documentées (y compris les coordonnées) Santé Ontario
Registre de réception des demandes de renseignements Santé Ontario
Copie de la réponse ou registre des réponses aux demandes de renseignements Santé Ontario et DRS
Registre de réception des plaintes Santé Ontario

Dernière Mise à Jour: 15 mai 2026

Les renseignements contenus sur ce site Web sont fournis à titre informatif seulement et ne remplacent pas un avis médical. Consultez toujours votre professionnel de la santé si vous avez des questions ou des préoccupations. L'utilisation des renseignements contenus sur ce site Web ne crée pas de relation médecin-patient entre Santé Ontario et vous.
Santé Ontario s'engage à assurer l'accessibilité des services et des communications aux personnes handicapées. Pour recevoir des renseignements sur ce site Web dans un autre format, veuillez communiquer avec le Service des communications de Santé Ontario au 1 877 280-8538, ATS 1 800 855-0511, ou par courriel à info@ontariohealth.ca.

The province of Ontario Logo
© Santé Ontario 2025