Politique du dossier de santé électronique pour la réception des renseignements personnels sur la santé (RPS)

Approbation au niveau de la politique : Président-directeur général

Catégorie de politique : Politique organisationnelle

Numéro de politique : INF-005.02-P

Parrain (ou parrains) de la politique : Directeur général, Stratégie, Planification, Protection de la vie privée et analyse

Date d'approbation originale : 11 novembre 2021

Date d'affichage : 16 mai 2026

Date d'approbation de la version : 9 avril 2026

1. But, objectifs et portée

1.1 But

1.1.1 La présente politique et ses procédures, en ce qui concerne les renseignements personnels sur la santé (RPS) reçus par Santé Ontario aux fins de la création et du maintien du dossier de santé électronique (DSE), précisent :

  • l'objectif pour lequel les RPS seront reçus;
  • la nature des RPS qui seront reçus;
  • les sources habituelles des RPS;
  • le processus de réception de ces RPS par Santé Ontario; et
  • le processus de création, d'examen, de modification et d'approbation des descriptions des types de RPS reçus.

1.2 Objectifs

1.2.1 Permettre à Santé Ontario, en tant qu'organisation prescrite :

  • de respecter ses obligations en vertu de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS);
  • de respecter ses obligations en vertu du Manuel relatif à l'examen et à l'approbation des organisations prescrites du Commissaire à l'information et à la protection de la vie privée (CIPVP); et
  • protéger la vie privée des personnes et la confidentialité de leurs RPS.

1.3 Portée

1.3.1 La présente politique s'applique aux employés non syndiqués, aux responsables d'équipe, aux membres du conseil d'administration, aux employés syndiqués, aux personnes détachées, aux consultants, aux personnes agissant pour le compte de Santé Ontario (« agents de Santé Ontario ») ainsi qu'aux dépositaires de renseignements sur la santé (DRS) qui fournissent des RPS au DSE ou y accèdent.

1.3.2 La présente politique s'applique aux RPS reçus par Santé Ontario dans l'exercice de ses fonctions à titre d'organisation prescrite.

1.3.3 La présente politique ne décrit pas les modalités sécurisées de réception des RPS. Celles-ci sont définies dans la Norme sur le transfert sécuritaire des renseignements sensibles de Santé Ontario.

1.4 Conformité, vérification, application et exemptions

Le respect intégral de la présente politique est obligatoire, sauf si une exception à une section précise est approuvée par écrit par le directeur général de la protection de la vie privée (DGPVP) ou son délégué. Le non-respect des exigences de la présente politique peut entraîner des mesures disciplinaires pouvant aller jusqu'à la révocation d'une nomination, la cessation d'emploi ou la résiliation du contrat sans préavis ni indemnité.

1.4.2 La conformité fera l'objet d'une vérification conformément à la Politique de vérification et de conformité en matière de protection de la vie privée et selon la fréquence qui y est prévue.

1.4.3 Dès la première occasion raisonnable suivant la constatation ou la prise de connaissance d'une violation de la présente politique, les employés ou autres agents de Santé Ontario, ainsi que les DRS, doivent en informer le Bureau de la protection de la vie privée en signalant la violation au centre de services de l'entreprise par téléphone : 1-866-250-1554; ou par courriel : oh-servicedesk@ontariohealth.ca.

1.4.4 Les manquements à la présente politique seront gérés conformément à la Politique et procédure de gestion des incidents liés à la protection de la vie privée.

1.4.5 La conformité sera appliquée conformément à la Politique de discipline progressive.

1.5 Terminologie

1.5.1 Les termes « inclure » et « y compris », lorsqu'ils sont utilisés, ne sont pas limitatifs et signifient respectivement « inclure, sans s'y limiter » et « y compris, sans s'y limiter ».

1.5.2 Les mots et expressions de la présente politique ayant un sens différent de leur acception courante sont écrits avec une majuscule et leur définition figure à la section Définitions et sigles (section 5).

2. Politique

2.1 Objectif, nature et source des RPS reçus

2.1.1 Santé Ontario reçoit des RPS afin de créer et de maintenir le DSE conformément à la partie V.1 de la LPRPS.

2.1.2 Santé Ontario reçoit les RPS que certaines catégories de DRS ou des DRS précis sont tenus de fournir à Santé Ontario en vertu des règlements pris en application de la LPRPS.

2.1.3 Santé Ontario crée, examine et tient à jour la description du DSE et la liste des répertoires, qui précisent ce qui suit relativement aux RPS reçus par Santé Ontario :

  • les descriptions des RPS (par exemple, requêtes, demandes, résultats);
  • une liste à jour des types de RPS (par exemple, données démographiques, analyses de laboratoire, médicaments);
  • les sources des RPS (par exemple, ministre, laboratoires, hôpitaux);
  • le répertoire dans lequel les RPS sont conservés; et
  • si les RPS sont reçus conformément aux règlements.

2.1.4 Le DGPVP a reçu le pouvoir délégué de :

  • gérer le programme de protection de la vie privée en ce qui concerne les descriptions des types de RPS reçus; et
  • examiner de façon continue les descriptions des types de RPS afin d'en assurer l'exactitude et de vérifier que les RPS reçus aux fins de la création ou du maintien du DSE demeurent nécessaires à l'objectif déterminé.

2.1.5 La description du DSE et la liste des répertoires sont mises à la disposition des DRS qui fournissent des RPS à Santé Ontario aux fins du DSE, ainsi qu'au public sur le site Web de Santé Ontario consacré à la protection de la vie privée.

2.2 Limitation des RPS reçus par Santé Ontario

2.2.1 Santé Ontario prend des mesures raisonnables pour limiter les RPS qu'elle reçoit à ceux qui sont raisonnablement nécessaires à la création et au maintien du DSE.

2.2.2 Lorsqu'une modification de la nature des RPS reçus est proposée (par exemple, ajout d'un nouveau domaine clinique), Santé Ontario effectue une évaluation des facteurs relatifs à la vie privée (EFVP) conformément à la norme relative aux EFVP afin de s'assurer que les RPS reçus sont limités à ceux qui sont raisonnablement nécessaires à la création et au maintien du DSE.

3. Procédures

3.1 Détermination des nouveaux RPS ou des modifications proposées des RPS reçus par Santé Ontario

3.1.1 Lorsqu'une nouvelle modification ou une modification proposée à la nature des RPS reçus par Santé Ontario est envisagée, le directeur de l'unité commerciale concernée (secteur de programme ou équipe de projet) est responsable de veiller à ce que le Bureau de la protection de la vie privée soit mobilisé en remplissant et en soumettant un formulaire de demande d'examen de la vie privée.

3.2 Examen de la réception proposée de RPS

3.2.1 Lorsqu'un formulaire de demande d'examen de la vie privée est reçu par le Bureau de la protection de la vie privée, conformément à la norme relative aux EFVP, un membre du Bureau de la protection de la vie privée ou une personne agissant en son nom (spécialiste désigné en protection de la vie privée) est responsable d'examiner les nouvelles modifications ou les modifications proposées aux RPS que reçoit Santé Ontario. Le spécialiste désigné en protection de la vie privée détermine si une EFVP est requise conformément à la norme relative aux EFVP.

3.2.2 Lorsqu'une modification est proposée à la nature des RPS reçus par Santé Ontario, comme l'ajout d'un nouveau domaine clinique, une EFVP est réalisée conformément à la norme relative aux EFVP afin de garantir la mise en place de mesures de contrôle visant à protéger la vie privée des personnes et la confidentialité de leurs RPS.

  • Toute proposition d'ajout ou de suppression d'éléments de données dans un domaine clinique est examinée par le Bureau de la protection de la vie privée afin de déterminer s'il s'agit d'une modification de la nature des RPS et si, par conséquent, une EFVP doit être réalisée. À l'inverse, l'examen peut conclure que l'ajout ou la suppression d'éléments de données dans un domaine clinique existant du DSE ne constitue pas une modification de la nature des RPS reçus par Santé Ontario et ne nécessite donc pas la réalisation d'une EFVP.
  • L'intégration d'un nouveau DRS contributeur utilisant des technologies et des processus ayant déjà fait l'objet d'une évaluation en matière de protection de la vie privée ne nécessite pas la réalisation d'une EFVP.

3.2.3 Dans le cadre de la réalisation de l'EFVP, le spécialiste désigné en protection de la vie privée évalue notamment :

  • Si Santé Ontario est autorisée, en vertu de la LPRPS, à recevoir les RPS aux fins de la création et du maintien du DSE;
  • Si toutes les conditions et restrictions prévues par la LPRPS et ses règlements, ou par le ministre de la Santé, ont été respectées;
  • Si d'autres renseignements, notamment des données dépersonnalisées et/ou agrégées, permettraient d'atteindre l'objectif visé et si une quantité de RPS supérieure à ce qui est raisonnablement nécessaire est demandée pour la création et le maintien du DSE. Si des mesures de contrôle raisonnables sont en place pour protéger les RPS que Santé Ontario recevra;
  • Si des ententes de transfert de RPS sont déjà en place entre le DRS et Santé Ontario pour encadrer la transmission des RPS par le DRS à Santé Ontario; et
  • Si la description du DSE et la liste des répertoires doivent être mises à jour afin de refléter les RPS modifiés ou nouveaux reçus par Santé Ontario.

3.2.4 Les résultats de l'examen réalisé par le spécialiste désigné en protection de la vie privée sont consignés dans l'EFVP, y compris tout risque identifié en matière de protection de la vie privée.

3.3 Approbation de l'EFVP

3.3.1 Lors de l'approbation de l'EFVP, le directeur de l'unité commerciale concernée examine et détermine si les RPS qu'il est proposé que Santé Ontario reçoive sont limités à ce qui est nécessaire pour permettre à Santé Ontario de créer et de maintenir le DSE, et si d'autres renseignements, notamment des données dépersonnalisées et/ou agrégées, pourraient répondre à l'objectif visé.

3.3.2 L'EFVP doit être approuvée par le DGPVP ou son délégué avant que Santé Ontario ne reçoive les RPS proposés. Dans le cadre de l'examen et de l'approbation de l'EFVP, le DGPVP ou son délégué tient compte des éléments énoncés à l'article 3.2.3 de la présente politique.

3.3.3 Une fois toutes les approbations requises obtenues, l'EFVP est transmise au directeur de l'unité fonctionnelle concernée et communiquée au vice-président principal (VPP), Données et services de santé numériques, ou au cadre de direction, Excellence numérique en santé responsable de l'exécution de l'entente de transfert de RPS.

3.3.4 Des examens périodiques des RPS que Santé Ontario doit recevoir sont réalisés dans le cadre de l'examen des EFVP, selon la fréquence établie dans le calendrier d'examen des EFVP, conformément à la norme relative aux EFVP.

3.4 Ententes et approbation pour la réception des RPS

3.4.1 Le VPP ou le cadre de direction du portefeuille Excellence numérique en santé, selon le cas, est chargé d'examiner l'EFVP et les autres documents pertinents et de déterminer s'il convient d'approuver la réception des RPS proposés aux fins de la création ou du maintien du DSE. Dans le cadre de l'examen et de la décision visant à approuver la réception des RPS, les critères suivants doivent, au minimum, être pris en compte :

  • Si la réception des RPS est autorisée en vertu de la LPRPS et de ses règlements;
  • Si toutes les conditions et restrictions prévues par la LPRPS et ses règlements ou par le ministre ont été respectées; et
  • Si les RPS proposés que Santé Ontario recevra sont limités à ce qui est raisonnablement nécessaire pour la création ou le maintien du DSE, et si d'autres renseignements, notamment des données dépersonnalisées et/ou agrégées, pourraient répondre à l'objectif visé.

3.4.2 Lorsque la réception des RPS est approuvée, le VPP ou le cadre de direction du portefeuille Excellence numérique en santé, selon le cas, consigne son approbation en signant l'entente de transfert de RPS applicable.

3.4.3 Les conditions ou restrictions relatives à la réception des RPS sont consignées dans une entente de transfert de RPS conclue entre Santé Ontario et le DRS concerné qui fournit les RPS à Santé Ontario. Au minimum, l'entente de transfert de RPS comprend les éléments suivants :

  • La nature et le type de RPS que Santé Ontario recevra, lesquels peuvent être décrits par référence à la spécification d'interface d'entrée des données du DSE applicable;
  • L'autorité conférée à Santé Ontario en vertu de la LPRPS pour recevoir les RPS;
  • Les fins autorisées pour lesquelles Santé Ontario peut recevoir les RPS;
  • Les exigences pertinentes en matière de sécurité et de protection de la vie privée, notamment :
    • Que le DRS fournissant les RPS accepte de se conformer aux politiques et procédures de Santé Ontario applicables au DSE;
    • Les restrictions applicables à la réception des RPS par Santé Ontario;
    • Les dispositions relatives à l'utilisation acceptable par Santé Ontario et les DRS qui collectent des RPS accessibles par l'entremise du DSE;
    • Les exigences relatives aux ententes avec les utilisateurs finaux, le cas échéant;
    • Les dispositions relatives à la notification des atteintes à la vie privée, à la vérification et à la conformité.

3.4.4 Santé Ontario exige qu'une entente de transfert de RPS soit conclue entre Santé Ontario et le DRS concerné avant que Santé Ontario ne reçoive les RPS en question.

3.4.5 L'entente de transfert de RPS doit être signée par le VPP, Données et services de santé numériques de Santé Ontario, ou par le cadre de direction, Excellence numérique en santé au nom de Santé Ontario. En signant l'entente de transfert de RPS, le VPP, Données et services de santé numériques, ou le cadre de direction, Excellence numérique en santé, selon le cas, confirme son approbation de la réception des RPS par Santé Ontario. Le responsable de projet/gestionnaire de compte est chargé de veiller à ce qu'une entente de transfert de RPS soit conclue entre Santé Ontario et le DRS concerné avant que Santé Ontario ne reçoive les RPS en question.

3.5 Intégration des DRS pour fournir des RPS à Santé Ontario

3.5.1 Lorsque la réception des RPS est approuvée et avant que Santé Ontario ne reçoive les RPS, le DRS doit compléter la documentation et les procédures d'intégration standard pour la contribution au DSE, y compris, sans s'y limiter, la réalisation des évaluations en matière de protection de la vie privée, le cas échéant.

3.6 Description des types de RPS reçus

3.6.1 Une fois l'entente de transfert de RPS exécutée, le spécialiste désigné en protection de la vie privée est chargé de mettre à jour, au besoin, la description du DSE et la liste des répertoires afin d'identifier les RPS que Santé Ontario recevra aux fins de la création et du maintien du DSE, ainsi que les sources de RPS auprès desquelles Santé Ontario reçoit habituellement ces renseignements.

3.6.2 La description du DSE et la liste des répertoires sont mises à jour conformément à l'article 2.1.2 de la présente politique.

3.6.3 Lors de l'examen et de la mise à jour de la description du DSE et de la liste des répertoires, il est tenu compte des renseignements consignés dans l'EFVP.

3.6.4 Le DGPVP ou son délégué est responsable de l'examen et de l'approbation de la description du DSE et de la liste des répertoires, ainsi que de toutes les révisions qui y sont apportées.

3.6.5 Le spécialiste désigné en protection de la vie privée collabore avec l'équipe des communications de Santé Ontario afin de s'assurer que la description du DSE mise à jour est publiée sur le site Web de Santé Ontario consacré à la protection de la vie privée.

3.6.6 La description du DSE et la liste des répertoires doivent être examinées régulièrement par le DGPVP (ou son délégué), et au minimum une fois tous les trois ans, conformément à la Politique de vérification et de conformité en matière de protection de la vie privée et/ou lorsqu'une EFVP est réalisée à l'égard du DSE.

3.6.7 Dans le cadre de l'examen et/ou de la modification de la description du DSE et de la liste des répertoires, le DGPVP ou son délégué consulte le directeur de l'unité fonctionnelle concernée responsable de la supervision de la gestion du répertoire du DSE visé.

3.6.8 La description du DSE et la liste des répertoires sont examinées conformément au processus d'examen des politiques de protection de la vie privée tel qu'énoncé dans la Politique de vérification et de conformité en matière de protection de la vie privée. Au minimum, cet examen est réalisé une fois tous les trois ans et lorsqu'une nouvelle modification ou une modification de la nature des RPS reçus par Santé Ontario est proposée.

4. Responsabilités

4.1 Directeur général de la protection de la vie privée

4.1.1 Supervise l'ensemble des aspects généraux de la présente politique, y compris les mises à jour et les révisions

4.1.2 Approuve le lancement et les résultats des EFVP

4.1.3 Approuve la description du DSE et la liste des répertoires ainsi que toute révision qui y est apportée.

4.2 VPP, Cadre de direction, Excellence numérique en santé

4.2.1 Examine l'EFVP et les autres documents pertinents et détermine s'il convient d'approuver la réception des RPS proposés aux fins de la création ou du maintien du DSE.

4.2.2 Consigne son approbation en signant l'entente de transfert de RPS applicable.

4.3 Équipe des communications de Santé Ontario

Publie la description du DSE et la liste des répertoires sur le site Web de Santé Ontario consacré à la protection de la vie privée.

4.4 Responsable de projet / gestionnaire de compte

4.4.1 Veille à ce qu'une entente de transfert de RPS soit conclue entre Santé Ontario et le DRS concerné avant que Santé Ontario ne reçoive les RPS en question.

4.5 Directeur, Unité commerciale

4.5.1 Mobilise le Bureau de la protection de la vie privée afin d'examiner toute nouvelle modification ou modification proposée à la nature des RPS reçus par Santé Ontario.

4.5.2 Approuve le contenu opérationnel de l'EFVP;

4.5.3 Veille à ce que le plan de traitement des risques soit complet ou approuve le formulaire d'acceptation des risques, le cas échéant, conformément à la Politique de gestion des risques; et

4.5.4 Détermine si les RPS qu'il est proposé que Santé Ontario reçoive sont limités à ce qui est nécessaire pour permettre à Santé Ontario de créer et de maintenir le DSE et si d'autres renseignements, notamment des données dépersonnalisées et/ou agrégées, pourraient répondre à l'objectif visé.

4.6 Personnel du Bureau de la protection de la vie privée

4.6.1 Détermine si une EFVP est requise conformément à la présente politique et à la norme relative aux EFVP

4.6.2 Réalise l'EFVP et communique les résultats au directeur de l'unité commerciale concernée ainsi qu'au VPP, Données et services de santé numériques ou au cadre responsable du portefeuille Excellence numérique en santé chargé de l'exécution de l'entente de transfert de RPS.

4.6.3 Effectue les examens des EFVP conformément à la norme relative aux EFVP

4.6.4 Examine et détermine si des modifications doivent être apportées à la description du DSE et à la liste des répertoires conformément à la présente politique, rédige ces modifications, les soumet au DGPVP pour examen et approbation et demande à l'équipe des communications de publier la description du DSE et la liste des répertoires modifiées sur le site Web de Santé Ontario consacré à la protection de la vie privée.

5. Définitions et sigles

Les termes définis sont en majuscules dans l'ensemble du présent document

Recueillir : A le sens qui lui est donné à l'article 2 de la LPRPS relativement aux RPS; et, relativement aux RP, a le même sens. « Recueillir » signifie rassembler, acquérir, recevoir ou obtenir des renseignements par tout moyen et auprès de toute source, et « collecte » et « recueilli » ont un sens correspondant.

DGPVP : Directeur général de la protection de la vie privée

EPD : Entente de partage de données

Responsable des données : Personne responsable de veiller à ce que les exigences en matière de protection de la vie privée, de sécurité et de qualité des données soient respectées pour les ensembles de données sous sa responsabilité, ainsi que de maintenir un inventaire de ces ensembles de données.

Divulguer : A le sens qui lui est donné à l'art. 2 de la LPRPS relativement aux RPS sous la garde ou le contrôle d'un DRS ou d'une personne; et, relativement aux RP, a le même sens. « Divulguer » signifie rendre les renseignements accessibles ou les communiquer à un autre DRS ou à une autre personne, mais ne comprend pas l'utilisation des renseignements; « divulgation » a un sens correspondant.

DSE ou dossier de santé électronique : A le sens qui lui est donné à l'art. 55.1 de la LPRPS et désigne généralement les systèmes électroniques développés et maintenus par Santé Ontario conformément à la partie V.1 de la LPRPS afin de permettre aux DRS de recueillir, d'utiliser et de divulguer des RPS au moyen de ces systèmes.

Employé : Personne employée et rémunérée par Santé Ontario et classée comme employé permanent à temps plein, permanent à temps partiel, temporaire à temps plein, temporaire à temps partiel, étudiant rémunéré ou occasionnel, conformément à la Ligne directrice sur la classification des employés. Un consultant ou un entrepreneur n'est pas un employé.

DRS ou dépositaire de renseignements sur la santé : A le sens qui lui est donné à l'art. 3 de la LPRPS et désigne généralement une personne ou une organisation ayant la garde ou le contrôle de renseignements personnels sur la santé aux fins de fournir des soins de santé ou d'exercer d'autres fonctions liées à la santé. Exemples : médecins, hôpitaux, pharmacies, laboratoires et le MS, mais ne comprend pas Santé Ontario.

CIPVP : Commissaire à l'information et à la protection de la vie privée de l'Ontario

Manuel des OP du CIPVP : Manuel du CIPVP relatif à l'examen et à l'approbation des organisations prescrites

Ministre : Ministre de la Santé

MS : Ministère de la Santé de l'Ontario

Règl. de l'Ont. 329/04 : Règlement de l'Ontario 329/04 pris en application de la LPRPS

Santé Ontario : Organisme du gouvernement de l'Ontario auquel s'applique la présente politique.

Agent de Santé Ontario : Personne qui agit pour le compte ou au nom de Santé Ontario aux fins de Santé Ontario, et non à ses propres fins, qu'elle ait ou non le pouvoir de lier Santé Ontario, qu'elle soit ou non un employé, et qu'elle soit ou non rémunérée.

RPS ou renseignements personnels sur la santé : A le sens qui lui est attribué à l'article 4 de la LPRPS. Plus précisément, il s'agit de « renseignements identificatoires », verbaux ou consignés, concernant une personne et qui :

  • portent sur la santé physique ou mentale de la personne, y compris les antécédents médicaux de sa famille;
  • portent sur la prestation de soins de santé à la personne, y compris l'identification d'une personne à titre de fournisseur de soins de santé pour cette personne;
  • constituent un plan établissant les services de soins à domicile et en milieu communautaire devant être fournis à la personne par un fournisseur de services de santé ou une équipe Santé Ontario conformément au financement prévu à l'article 21 de la Loi de 2019 pour des soins interconnectés;
  • portent sur les paiements relatifs aux soins de santé ou sur l'admissibilité aux soins de santé ou à la couverture des soins de santé à l'égard de la personne;
  • portent sur le don par la personne d'une partie de son corps ou d'une substance corporelle, ou découlent de l'analyse ou de l'examen d'une telle partie ou substance;
  • correspondent au numéro de santé de la personne;
  • identifient le mandataire spécial de la personne; ou
  • correspondent à l'identifiant de santé numérique de la personne ou à tout autre renseignement identificatoire lié à la création de l'identifiant de santé numérique.

Les RPS comprennent les renseignements identificatoires concernant une personne qui ne sont pas énumérés ci-dessus, mais qui figurent dans un dossier contenant des RPS mentionnés ci-dessus.

Un renseignement est « identificatoire » lorsqu'il permet d'identifier une personne ou lorsqu'il est raisonnablement prévisible, dans les circonstances, qu'il puisse être utilisé, seul ou avec d'autres renseignements, pour identifier la personne.

LPRPS ou Loi de 2004 sur la protection des renseignements personnels sur la santé : Loi ontarienne en matière de protection de la vie privée dans le domaine de la santé. Elle établit des règles régissant la gestion des RPS et la protection de leur confidentialité, tout en facilitant la prestation efficace des soins de santé. Les références à la LPRPS comprennent les règlements pris en application de celle-ci, tels que modifiés ou remplacés de temps à autre.

EFVP : Évaluation des facteurs relatifs à la vie privée

Organisation prescrite ou OP : Organisation désignée dans le Règlement de l'Ontario 329/04 à titre d'organisation aux fins de la LPRPS. L'organisation prescrite a le pouvoir et l'obligation d'élaborer et de maintenir le DSE conformément à la partie V.1 de la LPRPS, ainsi que le pouvoir d'exercer des activités liées à l'identifiant de santé numérique conformément à la partie V.2 de la LPRPS. 

Incident lié à la vie privée : Tout événement pour lequel le Bureau de la protection de la vie privée est avisé ou prend connaissance qu'une atteinte à la vie privée pourrait s'être produite. Cela comprend les événements qui sont examinés ou faisant l'objet d'une enquête et qui sont :

  1. confirmés comme constituant une atteinte à la vie privée;
  2. confirmés comme ne constituant pas une atteinte à la vie privée; ou
  3. non déterminés ou ne pouvant être déterminés quant à la survenance d'une atteinte à la vie privée (atteinte présumée à la vie privée).

Remarque : Les incidents liés à la protection de la vie privée comprennent les événements impliquant des RP et des RPS, ainsi que des renseignements dépersonnalisés et des renseignements d'identité organisationnelle, car ces événements nécessitent une enquête conformément à la présente politique afin de déterminer s'ils constituent des atteintes à la vie privée, telles que définies ci-dessous. Santé Ontario enquête sur ces incidents impliquant des données dépersonnalisées et des renseignements d'identité organisationnelle, en tenant compte notamment 1) du risque de réidentification et des lignes directrices applicables en matière de dépersonnalisation des données, ainsi que 2) du contexte de traitement des données reçues par Santé Ontario en tant que renseignements d'identité organisationnelle;

afin de confirmer qu'ils ne constituent pas des RP, respectivement.

Atteinte à la vie privée : Une atteinte à la vie privée comprend :

1) Atteinte à la vie privée visant des RPS ou des RP (atteinte à la vie privée liée aux RPS/RP) désigne un événement où :

  • la collecte, l'utilisation ou la divulgation de RPS ou de RP n'est pas conforme à la LPRPS ou à ses règlements, ou à la LAIPVP ou à ses règlements (c.-à-d. sans autorisation légale); et/ou
  • la consultation, la manipulation ou tout autre traitement des RPS fournis à Santé Ontario n'est pas conforme à la LPRPS ou à ses règlements;
  • des RPS ou des RP sont volés, perdus ou font l'objet d'une collecte, d'une utilisation ou d'une divulgation non autorisée, ou lorsque des dossiers de RPS ou de RP font l'objet d'une copie, d'une modification ou d'une élimination non autorisée.

Remarque : Une atteinte à la vie privée liée aux RPS/RP n'inclut pas une atteinte visant des renseignements dépersonnalisés ou des renseignements d'identité d'entreprise, si l'événement ne concerne pas des RP ou des RPS.

2) Atteinte à la vie privée liée à une politique ou à une entente (atteinte à une politique/entente en matière de vie privée) désigne un événement où :

  • Il y a contravention des politiques, procédures ou pratiques de Santé Ontario en matière de protection de la vie privée; et/ou
  • Il y a contravention d'une condition liée à la protection de la vie privée dans :
    • des ententes de partage de données,
    • des ententes de recherche,
    • des ententes de confidentialité, ou
    • des ententes conclues avec des fournisseurs de services tiers retenus par Santé Ontario afin de traiter des RPS ou des RP,
    • des déclarations écrites reconnaissant et acceptant de ne pas utiliser des RPS ou des RP dépersonnalisés et/ou agrégés afin d'identifier une personne, et
  • n'inclut pas une atteinte à la vie privée visant des RPS ou des RP.

Remarque : Une atteinte à une politique/entente en matière de vie privée peut inclure une atteinte visant des renseignements dépersonnalisés ou des renseignements d'identité d'entreprise si l'atteinte concerne des mécanismes de protection de la vie privée prévus dans une entente ou dans une politique, procédure ou pratique relative au traitement de renseignements dépersonnalisés ou de renseignements d'identité d'entreprise.

VPP : Vice-président principal

Utilisation : Relativement aux RPS ou aux RP sous la garde ou le contrôle d'un DRS ou d'une personne, « utiliser » signifie consulter, manipuler ou autrement traiter les renseignements, sans toutefois les divulguer; « utilisation » a un sens correspondant. Aux fins de la LPRPS, la communication de RPS entre un DRS et un mandataire du DRS constitue une utilisation par le DRS, et non une divulgation par la personne qui fournit les renseignements ni une collecte par la personne qui les reçoit.

6. Cycle de révision

La présente politique doit être révisée par Santé Ontario au moins tous les trois ans à compter de sa date d'entrée en vigueur ou plus tôt si nécessaire conformément à la Politique de vérification et de conformité en matière de protection de la vie privée.

7. Références et/ou documents de mise en œuvre clés

  • LPRPS et Règl. de l'Ont. 329/04
  • Manuel du CIPVP relatif à l'examen et à l'approbation des organisations prescrites
  • Norme relative aux EFVP
  • Description du DSE et liste des répertoires
  • Norme sur le transfert sécurisé de renseignements sensibles
  • Politique de vérification et de conformité en matière de protection de la vie privée
  • Politique et procédure de gestion des incidents liés à la protection de la vie privée
  • Politique d'assurance du DSE
  • Formulaire de demande d'examen de la vie privée

8. Annexes

S.O.

9. Consultations relatives à la politique

Les personnes suivantes ont été consultées dans l'élaboration de la présente politique :

  • Le personnel du Bureau de la protection de la vie privée et autres agents de Santé Ontario responsables de la rédaction, du maintien et/ou de la révision des politiques en matière de protection de la vie privée liées aux exigences de Santé Ontario.
  • Les membres du groupe de travail du comité consultatif du programme de protection de la vie privée (version 1 de la politique)

10. Historique de révision de la politique

Avril 2026 : Cette version de la politique été approuvée le 9 avril 2026 par le président-directeur général de Santé Ontario.

Sujets similaires

Dernière Mise à Jour: 16 mai 2026

Les renseignements contenus sur ce site Web sont fournis à titre informatif seulement et ne remplacent pas un avis médical. Consultez toujours votre professionnel de la santé si vous avez des questions ou des préoccupations. L'utilisation des renseignements contenus sur ce site Web ne crée pas de relation médecin-patient entre Santé Ontario et vous.
Santé Ontario s'engage à assurer l'accessibilité des services et des communications aux personnes handicapées. Pour recevoir des renseignements sur ce site Web dans un autre format, veuillez communiquer avec le Service des communications de Santé Ontario au 1 877 280-8538, ATS 1 800 855-0511, ou par courriel à info@ontariohealth.ca.

The province of Ontario Logo
© Santé Ontario 2025