Politique sur la directive de consentement et la dérogation à la préséance du consentement pour le dossier de santé électronique

Approbation au niveau de la politique : Président-directeur général

Catégorie de politique : Politique organisationnelle

Numéro de politique : INF-003.02-P

Parrain (ou parrains) de la politique : Directeur général, Stratégie, Planification, Protection de la vie privée et analyse

Date d'approbation originale : 30 septembre 2020

Date d'affichage : 15 mai 2026

Date d'approbation de la version : 9 avril 2026

1. But, objectifs et portée

1.1 But

La présente politique et ses procédures décrivent le processus à suivre pour :

• recevoir, documenter, mettre en œuvre, tester, vérifier et surveiller les demandes des personnes visant à refuser ou à retirer, en tout ou en partie, leur consentement à la collecte, à l'utilisation et à la divulgation de leurs renseignements personnels sur la santé (RPS) au moyen du dossier de santé électronique (DSE), par un dépositaire de renseignements sur la santé (DRS) aux fins de fournir ou d'aider à fournir des soins de santé à la personne (directive de consentement);
• recevoir, documenter et mettre en œuvre les demandes d'une personne visant à modifier ou à retirer ces directives de consentement; et
• déroger à une directive de consentement.

1.2 Objectifs

1.2.1 La présente politique et ses procédures appuient la gestion du consentement par Santé Ontario conformément à la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS), au Règlement de l'Ontario 329/04 (Règl. de l'Ont. 329/04) et aux exigences énoncées dans le Manuel relatif à l'examen et à l'approbation des organisations prescrites (Manuel des OP du CIPVP) du Commissaire à l'information et à la protection de la vie privée de l'Ontario (CIPVP).

1.3 Portée

1.3.1 La présente politique s'applique aux employés non syndiqués, aux responsables d'équipe, aux membres du conseil d'administration, aux employés syndiqués, aux personnes détachées, aux consultants, aux personnes agissant pour le compte de Santé Ontario (agents de Santé Ontario) ainsi qu'aux DRS qui accèdent aux RPS ou y contribuent au moyen du DSE.

1.3.2 La présente politique et ses procédures s'appliquent aux directives de consentement relatives aux RPS accessibles au moyen du DSE élaboré ou maintenu par Santé Ontario dans le cadre de son mandat à titre d'organisation prescrite en vertu du Règl. de l'Ont. 329/04. Pour obtenir de plus amples renseignements sur la portée du DSE, veuillez consulter la description du DSE et la liste des répertoires.

1.4 Conformité, vérification et application

1.4.1 Le respect intégral de la présente politique est obligatoire, sauf si une exception à une section précise est approuvée par écrit par le directeur général de la protection de la vie privée (DGPVP) ou son délégué. Le non-respect des exigences de la présente politique, en l'absence d'une exception écrite, peut entraîner des mesures disciplinaires pouvant aller jusqu'à la révocation de la nomination, la cessation d'emploi ou la résiliation du contrat sans préavis ni indemnité.

1.4.2 La conformité fera l'objet d'une vérification conformément à la Politique de vérification et de conformité en matière de protection de la vie privée et selon la fréquence qui y est prévue.

1.4.3 Dès la première occasion raisonnable suivant la constatation ou la prise de connaissance d'une violation de la présente politique, les employés ou autres agents de Santé Ontario doivent en informer le Bureau de la protection de la vie privée en signalant la violation au centre de services de l'entreprise par téléphone : 1-866-250-1554; ou par courriel : oh-servicedesk@ontariohealth.ca

1.4.4 Les manquements à la présente politique seront gérés conformément à la Politique et procédure de gestion des incidents liés à la protection de la vie privée.

1.4.5 La conformité sera appliquée conformément à la Politique de discipline progressive.

1.5 Terminologie

1.5.1 Les termes « inclure » et « y compris », lorsqu'ils sont utilisés, ne sont pas limitatifs et signifient respectivement « inclure, sans s'y limiter » et « y compris, sans s'y limiter ».

1.5.2 Les mots et expressions de la présente politique ayant un sens différent de leur acception courante sont écrits avec une majuscule et leur définition figure à la section Définitions et sigles (section 10).

2. Politique

2.1 Politique relative aux directives de consentement

2.1.1 La LPRPS prévoit qu'une personne peut, en tout temps, formuler une directive visant à refuser ou à retirer, en tout ou en partie, son consentement à la collecte, à l'utilisation et à la divulgation de ses RPS au moyen du DSE par un DRS aux fins de fournir ou d'aider à fournir des soins de santé à la personne.

2.1.2 À titre d'organisation prescrite, Santé Ontario met en œuvre, retire ou modifie une directive de consentement à la demande d'une personne conformément aux exigences prévues par règlement.

2.1.3 Santé Ontario prend des mesures raisonnables pour vérifier que les demandes visant à établir, modifier ou retirer une directive de consentement ont été correctement mises en œuvre.

2.1.4 Santé Ontario communique au public les renseignements suivants concernant les directives de consentement :

• le niveau de précision auquel les RPS peuvent faire l'objet d'une directive de consentement, y compris les personnes dont la collecte, l'utilisation et la divulgation peuvent être restreintes;
• les éléments de données qui ne peuvent pas faire l'objet d'une directive de consentement; et
• le nom ou le titre, l'adresse postale et les coordonnées des employés ou des agents de Santé Ontario auxquels ces demandes peuvent être soumises, ainsi que les modalités et le format de soumission des demandes visant à établir, modifier ou retirer des directives de consentement.

2.1.5 Santé Ontario conserve un dossier électronique de toutes les instances où une directive de consentement est établie, modifiée ou retirée conformément aux exigences énoncées à l'annexe « A ».

2.1.6 Santé Ontario vérifie et surveille de façon continue le dossier électronique de toutes les instances où une directive de consentement est établie, modifiée ou retirée conformément à la Politique de vérification et de surveillance de la protection de la vie privée du DSE, et consigne ces vérifications conformément aux exigences énoncées à l'annexe « A ».

2.2 Exigences relatives à l'établissement, à la modification ou au retrait d'une directive de consentement

2.2.1 Une personne ou un mandataire spécial peut établir, modifier ou retirer une directive de consentement par écrit en soumettant un formulaire de demande de directive de consentement du DSE à SO par courrier ordinaire ou par télécopie, comme suit :

Courrier : Directeur général de la protection de la vie privée
Bureau de la protection de la vie privée, Santé Ontario
500-525, avenue University,
Toronto, Ontario, M5G 2L3
Télécopie : 416-586-4397 ou 1-866-831-0107

2.2.2 Par ailleurs, une personne ou un mandataire spécial peut utiliser le formulaire Web chiffré disponible sur le site Web de SO pour établir, modifier ou retirer une directive de consentement.

2.2.3 Avant de mettre en œuvre une directive de consentement, SO prend des mesures raisonnables pour confirmer que la personne ayant soumis le formulaire de demande de directive de consentement du DSE est bien la personne à laquelle se rapportent les RPS ou son mandataire spécial.

2.2.4 Le formulaire de demande de directive de consentement du DSE doit contenir suffisamment de détails pour permettre à SO de mettre en œuvre la directive. La personne ou le mandataire spécial qui fait la demande doit remplir tous les champs obligatoires du formulaire de demande de directive de consentement du DSE, indiqués par un astérisque (*). Par exemple, le formulaire de demande de directive de consentement du DSE doit contenir l'un des éléments suivants : un numéro de carte Santé de l'Ontario (NCS), un numéro de dossier médical (NDM) et le nom de l'organisme ayant attribué ce numéro, ou un numéro de client du Client Health and Related Information System (CHRIS), afin de permettre à SO de repérer les dossiers de la bonne personne dans le DSE.

2.2.5 Si le formulaire de demande de directive de consentement du DSE ne contient pas suffisamment de détails pour permettre à SO de mettre en œuvre la directive avec des efforts raisonnables, SO offre son aide à la personne ou au mandataire spécial pour reformuler la directive afin qu'elle soit conforme à la LPRPS.

2.2.6 Si le formulaire de demande de directive de consentement du DSE contient suffisamment de détails pour permettre à SO de mettre en œuvre la directive, et qu'une preuve d'autorité suffisante a été fournie, SO met en œuvre la directive conformément à la LPRPS et à ses règlements et envoie une lettre de confirmation à la personne ou au mandataire spécial ayant fait la demande.

2.2.7 Si SO est incapable de mettre en œuvre une directive parce que le formulaire de demande de directive de consentement du DSE ne contient pas suffisamment de détails ou que l'autorité de la personne faisant la demande ne peut raisonnablement être confirmée, SO en informe la personne par écrit.

2.3 Niveau de précision d'une directive de consentement

2.3.1 Conformément au Règl. de l'Ont. 329/04 pris en application de la LPRPS, lorsqu'une personne formule une directive de consentement, celle-ci s'applique à l'ensemble de ses RPS accessibles au moyen du DSE, sauf s'il est raisonnablement possible pour Santé Ontario d'appliquer la directive de consentement uniquement aux RPS précis identifiés par la personne, auquel cas Santé Ontario applique la directive uniquement à ces RPS.

2.4 Application aux RPS ajoutés au DSE ultérieurement

2.4.1 Lorsqu'une personne a formulé une directive de consentement et que des RPS supplémentaires sont ultérieurement ajoutés au DSE relativement à cette personne, SO applique la directive de consentement à ces renseignements supplémentaires conformément à la LPRPS.

2.5 Éléments de données pouvant être recueillis, utilisés ou divulgués par un DRS afin d'identifier de façon unique une personne et ne pouvant faire l'objet d'une directive de consentement

Cette section précise les éléments de données qui peuvent être recueillis, utilisés ou divulgués par un DRS afin d'identifier de façon unique une personne aux fins de la collecte de RPS au moyen du DSE, et qui ne peuvent pas faire l'objet d'une directive de consentement formulée par la personne.

2.5.1 Un DRS peut recueillir, utiliser et divulguer les éléments de données prescrits suivants afin d'identifier de façon unique une personne aux fins de la collecte de RPS en vertu de l'art. 55.5(1) de la LPRPS :

Un numéro de carte Santé;

• Un numéro de carte Santé;
• Un numéro ou un code de version, ou les deux, attribué à une personne assurée par une province ou un territoire du Canada autre que l'Ontario aux fins d'un régime d'assurance maladie au sens de la Loi canadienne sur la santé;
• Un numéro de dossier médical ou un autre numéro unique attribué par un dépositaire de renseignements sur la santé afin d'identifier de façon unique les personnes recevant des soins de santé de ce dépositaire;
• Un numéro unique associé à une personne figurant sur une pièce d'identité qui :
  • a été délivrée par un gouvernement ou un organisme gouvernemental, et
  • porte le nom de la personne.
• Le ou les noms d'une personne, y compris le nom légal, un nom d'emprunt ou un alias;
• La date de naissance d'une personne;
• Le sexe administratif d'une personne;
• L'adresse d'une personne;
• Le numéro de téléphone d'une personne;
• La langue principale ou préférée d'une personne;
• Une valeur binaire indiquant si la personne est décédée; et
• La date de décès de la personne.

2.5.2 Conformément au par. 18.4(4) du Règl. de l'Ont. 329/04, les éléments de données énumérés ci-dessus ne peuvent pas faire l'objet d'une directive de consentement.

2.6 Collecte de RPS à des fins autres que la prestation de soins de santé à la personne

2.6.1 Conformément à la LPRPS, Santé Ontario peut fournir des RPS conservés dans le DSE à un coroner dans le cadre d'une enquête menée en vertu de la Loi sur les coroners, que ces RPS fassent ou non l'objet d'une directive de consentement.

2.6.2 Conformément à la LPRPS, le médecin hygiéniste en chef ou un médecin hygiéniste au sens de la Loi sur la protection et la promotion de la santé peut recueillir des RPS au moyen du DSE à des fins liées à ses fonctions en vertu de cette loi ou de la Loi sur l'immunisation des élèves, que ces RPS fassent ou non l'objet d'une directive de consentement.

2.6.3 Conformément à la LPRPS, le ministre peut ordonner la divulgation de RPS accessibles au moyen du DSE à une personne, comme s'il en avait la garde ou le contrôle, sous réserve des conditions et restrictions prévues à l'article 55.10 de la LPRPS.

2.7 Directives de consentement formulées avant l'entrée en vigueur de la partie V.1 de la LPRPS

2.7.1 Si, avant l'entrée en vigueur de l'article 55.6 de la LPRPS, une personne a formulé une directive de consentement relativement à des RPS conservés dans le DSE, Santé Ontario continuera de mettre en œuvre cette directive, sous réserve de la section 2.3.1 de la présente politique, telle qu'elle existait avant l'entrée en vigueur de l'article 55.6.

2.8 Avis relatifs aux directives de consentement

2.8.1 Si un DRS cherche à recueillir des RPS aux fins de fournir ou d'aider à fournir des soins de santé à la personne et que ces RPS font l'objet d'une directive de consentement, Santé Ontario doit informer le DRS que la personne a formulé une directive de consentement sans divulguer les RPS visés par cette directive, conformément au par. 55.6(7) de la LPRPS. De plus, Santé Ontario veille à ce qu'aucun RPS visé par la directive de consentement ne soit communiqué au DRS, sauf si une dérogation à la préséance du consentement est effectuée.

3. Politique – Dérogations aux directives de consentement

3.1.1 Santé Ontario permet à un DRS de déroger à une directive de consentement dans les circonstances prévues à l'article 55.7 de la LPRPS (dérogation à la préséance du consentement). Plus précisément, Santé Ontario permet à un DRS de déroger à une directive de consentement uniquement lorsque le DRS qui cherche à recueillir les renseignements :

• obtient le consentement exprès de la personne concernée;
• a des motifs raisonnables de croire que la collecte est nécessaire pour éliminer ou réduire un risque important de préjudice corporel grave pour la personne concernée et qu'il n'est pas raisonnablement possible pour le DRS d'obtenir le consentement de la personne en temps opportun; ou
• ou a des motifs raisonnables de croire que la collecte est nécessaire pour éliminer ou réduire un risque important de préjudice corporel grave pour une autre personne ou un groupe de personnes.

3.1.2 Santé Ontario permet uniquement à un DRS de déroger à une directive de consentement lorsque la divulgation est permise par le DRS ayant la garde et le contrôle des RPS en question.

3.1.3 Lorsque la technologie le permet, l'interface utilisateur offre aux DRS la possibilité de déroger à une directive de consentement une fois que les conditions requises sont remplies (comme indiqué aux sections 3.1.1 et 3.1.2 ci-dessus).

3.1.4 Le portefeuille Excellence numérique en santé de Santé Ontario est responsable de s'assurer que les DRS ayant accès au DSE peuvent déroger à une directive de consentement. Des vérifications régulières de l'état des applications sont effectuées afin d'assurer la continuité des services et de déclencher les processus de gestion des incidents au besoin.

3.1.5 Lorsqu'une dérogation à la préséance du consentement est effectuée, le DRS qui a recueilli les renseignements est responsable de documenter cette dérogation conformément à ses politiques et procédures internes, notamment en consignant l'objectif de la dérogation et en conservant toute documentation justificative.

3.1.6 Santé Ontario conserve un dossier électronique de toutes les instances où une directive de consentement est contournée par un DRS, conformément aux exigences énoncées à l'annexe « A ».

3.1.7 Santé Ontario vérifie et surveille le dossier électronique de toutes les instances où une directive de consentement est contournée par un DRS conformément à la Politique de vérification et de surveillance de la protection de la vie privée du DSE, et consigne ces vérifications conformément aux exigences énoncées à l'annexe « A ».

3.2 Identification des dérogations à la préséance du consentement

3.2.1 Le portefeuille Excellence numérique en santé de Santé Ontario est responsable de la maintenance et de la continuité des systèmes permettant d'enregistrer et d'identifier les dérogations à la préséance du consentement effectuées au moyen de la technologie du DSE.

3.2.2 L'équipe de soutien à la gestion des applications, l'équipe de gestion des produits et l'équipe des opérations SQL sont responsables de préparer et de fournir des rapports sur les dérogations à la préséance du consentement à l'équipe des opérations de protection de la vie privée conformément à la présente politique et à ses procédures.

3.3 Avis relatifs aux dérogations à la préséance du consentement

3.3.1 SO informe le DRS lorsqu'une dérogation à une directive de consentement est effectuée par ce dernier.

3.3.2 Lorsque des RPS visés par une directive de consentement ont été recueillis par un DRS à la suite d'une dérogation à la préséance du consentement, Santé Ontario fournit immédiatement un avis écrit, conformément aux exigences réglementaires, au DRS ayant recueilli les RPS.

3.3.3 À la réception d'un avis de Santé Ontario concernant une dérogation à la préséance du consentement, le DRS ayant recueilli les RPS est responsable :

• de confirmer le motif de la dérogation (c'est-à-dire fournir des soins de santé ou faciliter leur prestation avec le consentement de la personne, prévenir un préjudice pour la personne concernée, ou prévenir un préjudice pour une autre personne ou un groupe de personnes);
• d'aviser la personne à laquelle se rapportent les RPS; et
• de fournir un avis écrit au CIPVP lorsque requis par la LPRPS.

3.3.4 Sur demande et sous réserve de disponibilité, Santé Ontario fournit des renseignements pertinents supplémentaires au DRS ayant recueilli les RPS à la suite d'une dérogation à la préséance du consentement afin de l'aider à s'acquitter de ses obligations d'avis envers la personne concernée ou le CIPVP, le cas échéant.

3.4 Déclaration des dérogations à la préséance du consentement au CIPVP

3.4.1 Santé Ontario soumet au CIPVP, au moins une fois par année, un rapport fondé sur les renseignements, autres que les RPS, consignés dans le dossier électronique que l'organisation prescrite est tenue de conserver pour chaque instance où des RPS accessibles au moyen du DSE faisant l'objet d'une directive de consentement ont été divulgués à la suite d'une dérogation à la préséance du consentement depuis le dernier rapport, conformément au paragraphe 16 de l'art. 55.3 de la LPRPS.

3.4.2 La forme et les modalités du rapport doivent être conformes à celles précisées par le CIPVP.

3.5 Demandes de dossiers électroniques des directives de consentement et des dérogations à la préséance du consentement

3.5.1 Santé Ontario fournit, sur demande d'un DRS ayant besoin de ces dossiers pour vérifier et surveiller sa conformité à la LPRPS, les dossiers électroniques que SO conserve conformément aux paragraphes 5 et 6 de l'art. 55.3 de la LPRPS.

3.5.2 Santé Ontario fournit au CIPVP, sur demande, les dossiers électroniques que Santé Ontario conserve en vertu de la LPRPS aux fins de la partie V.1 de la LPRPS.

4. Processus de réception des demandes de directives de consentement

4.1 Généralités

La présente section établit le processus que doit suivre Santé Ontario pour recevoir les demandes visant à établir, modifier ou retirer des directives de consentement conformément à l'article 55.6 de la LPRPS.

Le directeur général de la protection de la vie privée (DGPVP) ou son délégué est responsable de superviser la réception, l'examen, la mise en œuvre et la consignation des demandes visant à établir, modifier ou retirer des directives de consentement.

4.2 Réception et examen

4.2.1 À la réception d'un formulaire de demande de directive de consentement du DSE, le DGPVP ou son délégué désigne un membre de l'équipe de protection de la vie privée responsable de la demande (ci-après « membre désigné de l'équipe de protection de la vie privée »). Le membre désigné de l'équipe de protection de la vie privée est responsable d'inscrire la demande dans le registre de suivi et de conserver la documentation pertinente conformément aux exigences énoncées à l'annexe « A ».

4.2.2 Dès que possible après la réception du formulaire de demande de directive de consentement du DSE par Santé Ontario, le membre désigné de l'équipe de protection de la vie privée :

• inscrit la demande dans le registre de suivi;
• enregistre le formulaire de demande de directive de consentement du DSE dans le lecteur sécurisé;
• examine le formulaire de demande de directive de consentement du DSE et toute documentation justificative afin de déterminer si une preuve d'autorité suffisante a été fournie;
• examine le formulaire de demande de directive de consentement du DSE afin de déterminer s'il contient suffisamment de détails pour permettre à SO de mettre en œuvre la directive avec des efforts raisonnables; et,
• si le formulaire de demande de directive de consentement du DSE ne contient pas suffisamment de détails pour permettre à Santé Ontario de mettre en œuvre la directive de consentement avec des efforts raisonnables, le membre désigné de l'équipe de protection de la vie privée suit la section 4.3 ci-dessous.

4.3 Offre d'assistance à la personne ou au mandataire spécial pour reformuler une directive de consentement

4.3.1 Dès que possible après que le membre désigné de l'équipe de protection de la vie privée a examiné le formulaire de demande de directive de consentement du DSE et déterminé qu'il ne contient pas suffisamment de détails pour permettre à Santé Ontario de mettre en œuvre la directive de consentement avec des efforts raisonnables, le membre désigné de l'équipe de protection de la vie privée communique avec la personne ou le mandataire spécial selon le mode de communication privilégié indiqué dans le formulaire de demande de directive de consentement du DSE afin d'offrir son aide pour reformuler la demande.

4.4 Mise en œuvre d'une directive de consentement dans le DSE

4.4.1 Dès que possible et au plus tard dix (10) jours civils après avoir reçu des détails suffisants et une preuve d'autorité de la part de la personne ou du mandataire spécial ayant fait la demande, le membre désigné de l'équipe de protection de la vie privée utilise les renseignements fournis dans le formulaire de demande de directive de consentement du DSE ainsi que l'outil de gestion du consentement approprié pour mettre en œuvre la directive de consentement dans le DSE conformément aux instructions de la personne ou du mandataire spécial.

4.4.2 Une fois la directive de consentement mise en œuvre dans le DSE, le membre désigné de l'équipe de protection de la vie privée veille à ce que les renseignements suivants soient consignés (s'ils ne le sont pas déjà) :

• Le prénom et le nom de la personne ou du mandataire spécial ayant établi, retiré ou modifié la directive de consentement;
• Les instructions fournies par la personne ou le mandataire spécial concernant la directive de consentement;
• Le DRS, le mandataire ou toute autre personne à l'égard de laquelle la directive a été établie, retirée ou modifiée; et
• La date et l'heure auxquelles la directive de consentement a été établie, retirée ou modifiée (c'est-à-dire le moment où la directive de consentement a été mise en œuvre dans le DSE).

4.4.3 Le DGPVP ou son délégué est responsable de s'assurer que les renseignements requis sont consignés conformément aux exigences énoncées à l'annexe « A ».

4.5 Vérification des directives de consentement

4.5.1 Santé Ontario prend des mesures raisonnables pour vérifier que les demandes visant à établir, modifier ou retirer une directive de consentement ont été correctement mises en œuvre dans le DSE.

4.5.2 Dès que possible après la mise en œuvre de la directive de consentement dans le DSE, et au plus tard dix (10) jours civils après la réception de la demande, le membre désigné de l'équipe de protection de la vie privée utilise l'outil de gestion du consentement approprié pour vérifier la directive de consentement et s'assurer qu'elle a été correctement mise en œuvre conformément aux instructions de la personne.

Le membre désigné de l'équipe de protection de la vie privée utilise l'outil de gestion du consentement approprié ainsi que les renseignements fournis dans le formulaire de demande de directive de consentement du DSE afin de définir des paramètres de vérification correspondant aux instructions de la personne, puis effectue la vérification. Le membre désigné de l'équipe de protection de la vie privée documente l'achèvement de la vérification.

Lorsque la vérification indique que la directive de consentement n'a pas été correctement mise en œuvre (par exemple, lorsque la divulgation de renseignements est permise alors qu'elle devrait être bloquée), le membre désigné de l'équipe de protection de la vie privée modifie la directive de consentement en conséquence en suivant la procédure prévue à l'art. 4.4, puis procède de nouveau à la vérification de la directive de consentement conformément à la procédure prévue au présent art. 4.5.

Documentation à compléter et à fournir : Lorsque la vérification confirme que la directive de consentement a été correctement mise en œuvre conformément aux instructions de la personne, le membre désigné de l'équipe de la protection de la vie privée est responsable de consigner l'achèvement de la vérification dans le registre de suivi.

4.5.3 Documentation à fournir et destinataires : Si des recommandations découlent de la vérification, le membre désigné de l'équipe de protection de la vie privée doit en informer le DGPVP ou son délégué dès que possible. À la réception de ces recommandations, le DGPVP ou son délégué est responsable d'examiner les recommandations et de désigner les employés ou autres agents de Santé Ontario chargés de leur mise en œuvre, le cas échéant.

4.6 Confirmation (avis de mise en œuvre)

4.6.1 Dès que possible et au plus tard sept (7) jours civils après la mise en œuvre de la directive de consentement dans le DSE, le membre désigné de l'équipe de protection de la vie privée prépare une lettre à l'intention de la personne ou du mandataire spécial ayant fait la demande afin de l'informer que la directive de consentement a été mise en œuvre, en y incluant les renseignements suivants :

• le nom de la personne à laquelle se rapportent les RPS;
• les détails de la directive de consentement mise en œuvre, y compris le type de données visées par la directive (c'est-à-dire le répertoire du DSE) et le niveau de précision du consentement appliqué à chaque type de données; et
• la date à laquelle la directive de consentement a été mise en œuvre dans le DSE.

4.6.2 Dès que possible et au plus tard sept (7) jours civils après la mise en œuvre de la directive de consentement dans le DSE, le membre désigné de l'équipe de protection de la vie privée doit envoyer la lettre de confirmation écrite à la personne ou au mandataire spécial en utilisant les coordonnées fournies dans le formulaire de demande de directive de consentement du DSE.

4.6.3 Documentation à compléter et à fournir : Une fois la lettre de confirmation envoyée, le membre désigné de l'équipe de protection de la vie privée doit consigner l'achèvement de cette étape.

4.7 Avis relatifs aux directives de consentement

La présente section établit le processus que doit suivre Santé Ontario pour informer un DRS qu'une personne a formulé une directive de consentement lorsque ce DRS cherche à recueillir les RPS de la personne.

4.7.1 Santé Ontario fournit un avis de directive de consentement à un DRS cherchant à recueillir les RPS d'une personne au moyen d'une alerte électronique présentée au DRS dans l'interface utilisateur clinique. Lorsqu'un DRS tente d'accéder aux RPS d'une personne visés par une directive de consentement, une alerte électronique est affichée dans l'interface utilisateur clinique afin d'informer le DRS qu'une directive de consentement est en place et bloque l'accès aux RPS. L'alerte électronique (c'est-à-dire l'avis de directive de consentement) doit indiquer au DRS que tout ou partie des dossiers auxquels il tente d'accéder sont bloqués en raison d'une directive de consentement.

4.7.2 Santé Ontario veille à ce qu'aucun RPS visé par une directive de consentement ne soit communiqué au DRS, sauf si une dérogation à la préséance du consentement est effectuée.

4.7.3 Le directeur, Gestion des produits, Excellence numérique en santé, est responsable de la maintenance et de la continuité des systèmes permettant d'identifier les directives de consentement dans le DSE et d'afficher l'alerte électronique au DRS dans l'interface utilisateur clinique lorsqu'une directive de consentement est en place.

4.7.4 Le directeur, Gestion des produits, Excellence numérique en santé, est responsable de s'assurer qu'un DRS a été informé d'une directive de consentement au moyen des mécanismes électroniques décrits dans la présente section 4.7.

5. Procédures relatives aux dérogations à la préséance du consentement

5.1 Processus de dérogation à la préséance du consentement

5.1.1 Les DRS ou leurs mandataires ayant accès au DSE peuvent utiliser la technologie du DSE accessible par l'intermédiaire de l'interface utilisateur clinique pour déroger à une directive de consentement dans le DSE (effectuer une « dérogation à la préséance du consentement »).

5.1.2 Le DRS ou le mandataire du DRS qui souhaite recueillir les RPS bloqués par une directive de consentement utilise les moyens disponibles pour indiquer la raison pour laquelle il souhaite recueillir les RPS afin d'effectuer la dérogation à la préséance du consentement (c'est-à-dire qu'il doit sélectionner un motif de dérogation).

5.1.3 Lorsque le DRS ou le mandataire du DRS sélectionne « consentement exprès », il doit également indiquer si ce consentement a été fourni par la personne concernée ou par son mandataire spécial.

5.1.4 Une fois que le DRS ou le mandataire du DRS a effectué les sélections requises dans l'interface utilisateur clinique, les RPS visés par la directive de consentement deviennent accessibles au DRS pour une période limitée.

5.1.5 Lorsqu'une dérogation à la préséance du consentement est effectuée, le DRS qui a recueilli les renseignements doit documenter cette dérogation conformément au Guide du fournisseur de soins du DSE ainsi qu'aux politiques et procédures internes du DRS, notamment en consignant l'objectif de la dérogation à la préséance du consentement et en conservant toute documentation justificative.

5.2 Processus d'avis des dérogations à la préséance du consentement

La présente section décrit le processus que suit Santé Ontario pour informer les DRS des dérogations à la préséance du consentement, conformément au par. 55.7(6) de la LPRPS.

5.2.1 Chaque jour ouvrable, Santé Ontario produit des rapports sur les dérogations à la préséance du consentement comprenant toutes les dérogations à la préséance du consentement effectuées depuis la période couverte par le dernier rapport et indiquant clairement, pour chaque dérogation à la préséance du consentement, les éléments suivants :

• le nom de la personne à laquelle se rapportent les RPS;
• le nom du DRS ayant recueilli les RPS;
• le nom du mandataire du DRS ayant recueilli les RPS, s'il est disponible;
• une description du type de RPS recueillis (c'est-à-dire le répertoire du DSE);
• le motif de la dérogation à la préséance du consentement (c'est-à-dire la raison indiquée par le DRS au moment de la dérogation à la préséance du consentement); et
• la date et l'heure de la dérogation à la préséance du consentement.

5.2.2 Les employés désignés au sein du soutien à la gestion des applications, de la gestion des produits et des opérations SQL sont responsables de générer chaque jour ouvrable les rapports identifiant les dérogations à la préséance du consentement conformément à la section 5.2.2 ci-dessus et de transmettre ces rapports à l'équipe des opérations de protection de la vie privée.

5.2.3 Pour chaque dérogation à la préséance du consentement figurant dans le rapport, l'équipe des opérations de protection de la vie privée doit immédiatement fournir un avis écrit de la dérogation à la préséance du consentement au DRS ayant recueilli les RPS à la suite de cette dérogation à la préséance du consentement, conformément aux exigences réglementaires; au minimum, cet avis doit inclure les renseignements énumérés à la section 5.2.1 ci-dessus.

5.2.4 L'équipe des opérations de protection de la vie privée doit immédiatement transmettre l'avis de dérogation(s) à la préséance du consentement au DRS sous forme de document chiffré envoyé par courriel ou le rendre accessible au DRS par l'intermédiaire d'un portail sécurisé.

5.2.5 L'équipe des opérations de protection de la vie privée est responsable de consigner toutes les instances où un avis de dérogation à la préséance du consentement est fourni à un DRS conformément au par. 55.7(6) de la LPRPS, selon les exigences énoncées à l'annexe « A ».

5.3 Demandes de renseignements supplémentaires par les DRS

5.3.1 Lorsqu'un DRS demande des renseignements supplémentaires à SO afin de fournir un avis de dérogation à la préséance du consentement à la personne concernée ou au CIPVP, SO prend des mesures raisonnables pour récupérer les renseignements demandés et, lorsqu'ils sont disponibles, les fournit rapidement au DRS.

6. Processus de déclaration des dérogations à la préséance du consentement au CIPVP

6.1.1 Le Bureau de la protection de la vie privée est responsable de consigner toutes les instances où un rapport sur les dérogations à la préséance du consentement est transmis au CIPVP conformément au paragraphe 16 de l'art. 55.3 de la LPRPS, selon les exigences énoncées à l'annexe « A », et d'enregistrer la documentation connexe dans le lecteur sécurisé.

6.1.2 À la demande du Bureau de la protection de la vie privée, les employés désignés du soutien à la gestion des applications, de la gestion des produits et des opérations SQL sont responsables de préparer le rapport sur les dérogations à la préséance du consentement et de le transmettre au Bureau de la protection de la vie privée dès que raisonnablement possible.

6.1.3 Le rapport est fondé sur, ou contient, tout renseignement, autre que des RPS, consigné dans le dossier électronique que Santé Ontario conserve pour chaque instance où des RPS accessibles au moyen du DSE faisant l'objet d'une directive de consentement ont été divulgués à la suite d'une dérogation à la préséance du consentement depuis le dernier rapport transmis au CIPVP, conformément au paragraphe 16 de l'article 55.3 de la LPRPS.

6.1.4 À la réception du rapport, le Bureau de la protection de la vie privée, y compris l'équipe des opérations de protection de la vie privée, est responsable de l'examiner et de le transmettre au DGPVP ou à son délégué pour examen et approbation supplémentaires.

6.1.5 Le DGPVP ou son délégué est responsable d'examiner le rapport afin de s'assurer que son contenu ainsi que sa forme et ses modalités de transmission au CIPVP sont conformes aux exigences de celui-ci.

6.1.6 Le DGPVP est responsable d'approuver le rapport et de désigner les employés ou autres agents de SO chargés de le transmettre au CIPVP.

6.1.7 Le rapport sur les dérogations à la préséance du consentement est présenté sous forme écrite et transmis au CIPVP sous forme de document chiffré envoyé par courriel, sauf indication contraire du CIPVP. Le rapport est transmis au CIPVP dès que raisonnablement possible, sur une base annuelle, sauf indication contraire du CIPVP. Le DGPVP est responsable de déterminer la date de transmission du rapport.

7. Processus de réponse aux demandes de dossiers électroniques des directives de consentement et des dérogations à la préséance du consentement

7.1 Demandes des dépositaires de renseignements sur la santé

La présente section décrit le processus suivi par Santé Ontario pour répondre aux demandes des DRS, conformément au paragraphe 9 de l'art. 55.3 de la LPRPS, concernant les dossiers électroniques des directives de consentement et des dérogations à la préséance du consentement que SO est tenu de conserver conformément aux paragraphes 5 et 6 de l'art. 55.3 de la LPRPS.

7.1.1 L'équipe des opérations de protection de la vie privée est responsable de recevoir les demandes de dossiers électroniques provenant des DRS, d'inscrire chaque demande dans le registre de suivi conformément aux exigences énoncées à l'annexe « A » et d'enregistrer la documentation connexe dans le lecteur sécurisé.

7.1.2 À la demande de l'équipe des opérations de protection de la vie privée, l'équipe de soutien à la gestion des applications et/ou l'équipe de gestion des produits est responsable de préparer les dossiers électroniques demandés par le DRS et de les transmettre à l'équipe des opérations de protection de la vie privée dès que raisonnablement possible.

7.1.3 L'équipe des opérations de protection de la vie privée est responsable d'examiner les dossiers électroniques afin de s'assurer qu'ils répondent à la demande du DRS et qu'ils contiennent les renseignements requis conformément à la LPRPS.

7.1.4 L'équipe des opérations de protection de la vie privée est responsable de transmettre les renseignements demandés au DRS. Dès que raisonnablement possible et au plus tard trente (30) jours civils suivant la réception de la demande par Santé Ontario, l'équipe des opérations de protection de la vie privée transmet les dossiers électroniques au DRS sous forme de document chiffré envoyé par courriel ou les rend accessibles au DRS par l'intermédiaire d'un portail sécurisé. Lorsque Santé Ontario a besoin de plus de 30 jours pour recueillir les renseignements demandés, le DGPVP de Santé Ontario ou son délégué informe le DRS qu'un délai supplémentaire est requis et en précise la raison.

7.1.5 L'équipe des opérations de protection de la vie privée est responsable d'inscrire la demande dans le registre de suivi conformément aux exigences énoncées à l'annexe « A » et d'enregistrer la documentation connexe dans le lecteur sécurisé.

7.2 Demandes du CIPVP

La présente section décrit le processus suivi par Santé Ontario pour répondre aux demandes du CIPVP, conformément au paragraphe 8 de l'article 55.3 de la LPRPS, concernant les dossiers électroniques que Santé Ontario conserve en vertu des paragraphes 5 et 6 de l'article 55.3 de la LPRPS.

7.2.1 Le Bureau de la protection de la vie privée est responsable de recevoir les demandes de dossiers électroniques du CIPVP, d'inscrire chaque demande dans le registre de suivi conformément aux exigences énoncées à l'annexe « A » et d'enregistrer la documentation connexe dans le lecteur sécurisé.

7.2.2 À la demande du Bureau de la protection de la vie privée, l'équipe de soutien à la gestion des applications et/ou l'équipe de gestion des produits est responsable de préparer les dossiers électroniques demandés par le CIPVP et de les transmettre au Bureau de la protection de la vie privée dès que raisonnablement possible.

7.2.3 Le Bureau de la protection de la vie privée, y compris l'équipe des opérations de protection de la vie privée, est responsable d'examiner les dossiers électroniques afin de confirmer qu'ils répondent à la demande du CIPVP et de les transmettre au DGPVP ou à son délégué pour examen et approbation supplémentaires.

7.2.4 Le DGPVP ou son délégué est responsable d'examiner les dossiers électroniques afin de s'assurer qu'ils répondent à la demande du CIPVP et qu'ils contiennent les renseignements requis conformément à la LPRPS, puis d'en approuver la transmission avant leur envoi au CIPVP.

7.2.5 Avant de transmettre les dossiers électroniques au CIPVP, le DGPVP ou son délégué informe le ou les DRS nommés dans les dossiers électroniques, ou dont le mandataire ou le fournisseur de services électroniques est nommé dans ces dossiers, que Santé Ontario transmettra ces dossiers au CIPVP.

7.2.6 Le DGPVP ou son délégué est responsable de transmettre les renseignements demandés au CIPVP dès que raisonnablement possible et au plus tard trente (30) jours civils suivant la réception de la demande par SO. Lorsque SO a besoin de plus de 30 jours pour recueillir les renseignements demandés, le DGPVP ou son délégué informe le CIPVP qu'un délai supplémentaire est requis et en précise la raison.

7.2.7 Les dossiers électroniques sont transmis au CIPVP sous forme écrite, sous forme de document chiffré envoyé par courriel, sauf indication contraire du CIPVP.

8. Exigences en matière de consignation

8.1 Consignation

8.1.1 Santé Ontario tient des journaux pour les éléments suivants, conformément aux exigences détaillées énoncées à l'annexe « A » :

• toutes les instances où un avis de directive de consentement est fourni à un DRS conformément au par. 55.6(7) de la LPRPS;
• toutes les instances où un avis de dérogation à la préséance du consentement est fourni à un DRS conformément au par. 55.7(6) de la LPRPS;
• toutes les instances où un rapport de dérogations à la préséance au consentement est transmis au CIPVP conformément au paragraphe 16 de l'art. 55.3 de la LPRPS;
• toutes les demandes provenant de DRS, conformément au paragraphe 8 de l'art. 55.3 de la LPRPS, visant les dossiers électroniques que SO conserve conformément aux paragraphes 5 et 6 de l'art. 55.3 de la LPRPS;
• toutes les demandes provenant du CIPVP, conformément au paragraphe 9 de l'art. 55.3 de la LPRPS, visant les dossiers électroniques que SO conserve conformément aux paragraphes 5 et 6 de l'art. 55.3 de la LPRPS; et
• les vérifications, exigées par le paragraphe 7 de l'art. 55.3 de la LPRPS, des dossiers électroniques que SO conserve en vertu des paragraphes 5 et 6 de l'art. 55.3 de la LPRPS.

8.1.2 Santé Ontario tient les journaux mentionnés à l'art. 8.1.1 conformément aux exigences détaillées énoncées à l'annexe « A ».

8.1.3 Le DGPVP ou son délégué est responsable de s'assurer que SO tient les journaux mentionnés à l'art. 8.1.1 de la présente politique conformément à la LPRPS et au Manuel des OP du CIPVP.

9. Responsabilités

9.1 Directeur général de la protection de la vie privée

9.1.1 Superviser la réception, l'examen, la mise en œuvre et la consignation des demandes de Santé Ontario visant à établir, modifier ou retirer des directives de consentement.

9.1.2 Désigner un membre du Bureau de la protection de la vie privée de Santé Ontario pour gérer les directives de consentement, les dérogations à la préséance du consentement ainsi que les avis et rapports connexes conformément à la présente politique.

9.1.3 Examiner et approuver les rapports et avis relatifs aux dérogations à la préséance du consentement et aux directives de consentement, à la demande du CIPVP.

9.2 Dépositaires de renseignements sur la santé

9.2.1 Accéder aux RPS, les traiter et/ou les gérer, ainsi que les directives de consentement et les dérogations à la préséance du consentement, conformément à la présente politique, à toutes les politiques applicables du DSE et à la LPRPS.

9.3 Membres désignés du Bureau de la protection de la vie privée (y compris l'équipe des opérations de protection de la vie privée)

9.3.1 Recevoir, examiner, consigner, gérer, suivre, vérifier, traiter et enregistrer les demandes de directives de consentement et de dérogations à la préséance du consentement, ainsi que les rapports et avis connexes, conformément à la présente politique.

9.4 Employés et autres agents de SO

9.4.1 Informer le Bureau de la protection de la vie privée de SO de toute demande de directive de consentement et la lui transmettre.

9.5 Portefeuille Excellence numérique en santé

9.5.1 Assurer la maintenance et la continuité des systèmes permettant d'enregistrer et d'identifier les dérogations à la préséance du consentement effectuées au moyen de la technologie du DSE.

9.5.2 S'assurer qu'un DRS a été informé d'une directive de consentement par les moyens électroniques décrits ci-dessus.

9.6 Employés désignés de l'équipe de soutien à la gestion des applications, l'équipe de gestion des produits et l'équipe des opérations SQL

9.6.1 Préparer et fournir des rapports sur les dérogations à la préséance du consentement aux opérations de protection de la vie privée conformément à la présente politique et à ses procédures.

9.6.2 Générer des rapports sur les dérogations à la préséance du consentement conformément à la présente politique.

10. Définitions et sigles

Les termes définis sont en majuscules dans l'ensemble du présent document

CHRIS : Client Health and Related Information System

MHC : Médecin hygiéniste en chef

Recueillir : A le sens qui lui est donné à l'article 2 de la LPRPS relativement aux RPS; et, relativement aux RP, a le même sens.

« Recueillir » signifie rassembler, acquérir, recevoir ou obtenir des renseignements par tout moyen et auprès de toute source, et « collecte » et « recueilli » ont un sens correspondant.

Directive de consentement : Directive formulée conformément à l'art. 55.6 de la LPRPS, qui restreint ou retire, en tout ou en partie, le consentement d'une personne à la collecte, à l'utilisation et à la divulgation de ses RPS au moyen du DSE par un DRS aux fins de fournir ou d'aider à fournir des soins de santé à cette personne.

Dérogation à la préséance du consentement : Désigne les divulgations permises décrites à l'article 55.7 de la LPRPS.

DGPVP : Directeur général de la protection de la vie privée

Divulguer : A le sens qui lui est donné à l'art. 2 de la LPRPS relativement aux RPS sous la garde ou le contrôle d'un DRS ou d'une personne; et, relativement aux RP, a le même sens.

« Divulguer » signifie rendre les renseignements accessibles ou les communiquer à un autre DRS ou à une autre personne, mais ne comprend pas l'utilisation des renseignements; « divulgation » a un sens correspondant.

DSE ou dossier de santé électronique : A le sens qui lui est donné à l'art. 55.1 de la LPRPS et désigne généralement les systèmes électroniques développés et maintenus par Santé Ontario conformément à la partie V.1 de la LPRPS afin de permettre aux DRS de recueillir, d'utiliser et de divulguer des RPS au moyen de ces systèmes.

Employé : Personne employée et rémunérée par Santé Ontario et classée comme employé permanent à temps plein, permanent à temps partiel, temporaire à temps plein, temporaire à temps partiel, étudiant rémunéré ou occasionnel, conformément à la Ligne directrice sur la classification des employés. Un consultant ou un entrepreneur n'est pas un employé.

Numéro de carte Santé ou NCS : A le même sens que « numéro de santé » tel que défini dans la LPRPS et désigne le numéro, le code de version ou les deux attribués à une personne assurée au sens de la Loi sur l'assurance-santé par le directeur général au sens de cette loi.

DRS ou dépositaire de renseignements sur la santé : A le sens qui lui est donné à l'art. 3 de la LPRPS et désigne généralement une personne ou une organisation ayant la garde ou le contrôle de renseignements personnels sur la santé aux fins de fournir des soins de santé ou d'exercer d'autres fonctions liées à la santé. Exemples : médecins, hôpitaux, pharmacies, laboratoires et le MS, mais ne comprend pas Santé Ontario.

LPPS : Loi sur la protection et la promotion de la santé et ses règlements, tels que modifiés de temps à autre.

CIPVP : Commissaire à l'information et à la protection de la vie privée de l'Ontario

Manuel des OP du CIPVP : Manuel du CIPVP relatif à l'examen et à l'approbation des organisations prescrites

NDM : Numéro de dossier médical

Règl. de l'Ont. 329/04 : Règlement de l'Ontario 329/04 pris en application de la LPRPS

Santé Ontario : Organisme du gouvernement de l'Ontario auquel s'applique la présente politique.

Agent de Santé Ontario : Personne qui agit pour le compte ou au nom de Santé Ontario aux fins de Santé Ontario, et non à ses propres fins, qu'elle ait ou non le pouvoir de lier Santé Ontario, qu'elle soit ou non employée par Santé Ontario, et qu'elle soit ou non rémunérée.

RPS ou renseignements personnels sur la santé : A le sens qui lui est donné à l'art. 4 de la LPRPS. Plus précisément, il s'agit de « renseignements identificatoires », verbaux ou consignés, concernant une personne et qui :

• portent sur la santé physique ou mentale de la personne, y compris les antécédents médicaux de sa famille;
• portent sur la prestation de soins de santé à la personne, y compris l'identification d'une personne à titre de fournisseur de soins de santé pour cette personne;
• constituent un plan établissant les services de soins à domicile et en milieu communautaire devant être fournis à la personne par un fournisseur de services de santé ou une équipe Santé Ontario conformément au financement prévu à l'article 21 de la Loi de 2019 pour des soins interconnectés;
• portent sur les paiements relatifs aux soins de santé ou sur l'admissibilité aux soins de santé ou à la couverture des soins de santé à l'égard de la personne;
• portent sur le don par la personne d'une partie de son corps ou d'une substance corporelle, ou découlent de l'analyse ou de l'examen d'une telle partie ou substance;
• correspondent au numéro de santé de la personne;
• identifient le mandataire spécial de la personne; ou
• correspondent à l'identifiant de santé numérique de la personne ou à tout autre renseignement identificatoire lié à la création de l'identifiant de santé numérique.

Les RPS comprennent également des renseignements identificatoires concernant une personne qui ne figurent pas parmi les RPS énumérés ci-dessus, mais qui sont contenus dans un dossier comprenant des RPS énumérés ci-dessus.

Un renseignement est « identificatoire » lorsqu'il permet d'identifier une personne ou lorsqu'il est raisonnablement prévisible, dans les circonstances, qu'il puisse être utilisé, seul ou avec d'autres renseignements, pour identifier la personne.

LPRPS ou Loi de 2004 sur la protection des renseignements personnels sur la santé : Loi ontarienne en matière de protection de la vie privée dans le domaine de la santé. Elle établit des règles régissant la gestion des RPS et la protection de leur confidentialité, tout en facilitant la prestation efficace des soins de santé. Les références à la LPRPS comprennent les règlements pris en application de celle-ci, tels que modifiés ou remplacés de temps à autre.

RP ou renseignements personnels : A le sens qui lui est donné à l'article 2 de la LAIPVP. Plus précisément, il s'agit de renseignements consignés concernant une personne identifiable, notamment :

• des renseignements concernant la race, l'origine nationale ou ethnique, la couleur, la religion, l'âge, le sexe, l'orientation sexuelle ou l'état matrimonial ou familial de la personne;
• des renseignements concernant la formation ainsi que les antécédents médicaux, psychiatriques, psychologiques, criminels ou professionnels de la personne, ou des renseignements relatifs à des opérations financières auxquelles elle a participé;
• tout numéro, symbole ou autre élément identificatoire attribué à la personne;
• l'adresse, le numéro de téléphone, les empreintes digitales ou le groupe sanguin de la personne;
• les opinions ou points de vue personnels de la personne, sauf s'ils portent sur une autre personne;
• la correspondance envoyée à une institution par la personne, de nature implicitement ou explicitement privée ou confidentielle, ainsi que les réponses à cette correspondance qui en révéleraient le contenu;
• les opinions ou points de vue d'une autre personne au sujet de la personne; et
• le nom de la personne lorsqu'il figure avec d'autres renseignements personnels la concernant ou lorsque la divulgation du nom révélerait d'autres renseignements personnels à son sujet.

Les renseignements personnels comprennent également les renseignements qui ne sont pas consignés mais qui sont autrement définis comme des renseignements personnels lorsqu'on tient compte du mode de collecte, de l'avis au public, des évaluations des facteurs relatifs à la vie privée et des mesures de protection.

Entité prescrite ou EP : Une entité désignée dans le Règlement de l'Ontario 329/04 aux fins de l'art. 45 de la LPRPS, à laquelle un DRS peut divulguer des RPS sans le consentement de la personne concernée afin d'effectuer des analyses ou de compiler des statistiques pour la gestion, l'évaluation ou la surveillance de l'affectation des ressources ou de la planification de tout ou partie du système de santé, y compris la prestation de services.

Organisation prescrite ou OP : Organisation désignée dans le Règlement de l'Ontario 329/04 à titre d'organisation aux fins de la LPRPS. L'organisation prescrite a le pouvoir et l'obligation d'élaborer et de maintenir le DSE conformément à la partie V.1 de la LPRPS, ainsi que le pouvoir d'exercer des activités liées à l'identifiant de santé numérique conformément à la partie V.2 de la LPRPS.

Personne prescrite ou PP : Personne désignée dans les règlements aux fins de l'art. 39(1)c) de la LPRPS, à laquelle un DRS peut divulguer des RPS sans le consentement de la personne concernée, pour tenir un registre de RPS visant à faciliter ou améliorer la prestation des soins de santé ou relatif au stockage ou au don de parties ou de substances du corps.

Registre prescrit ou RP : Registre de RPS désigné dans le Règlement de l'Ontario 329/04 et tenu aux fins de permettre ou d'améliorer la prestation des soins de santé ou relatif au stockage ou au don de parties ou de substances du corps.

Atteinte à la vie privée : Une atteinte à la vie privée comprend :

1. Atteinte à la vie privée visant des RPS ou des RP (atteinte à la vie privée liée aux RPS/RP) désigne un événement où :

1. la collecte, l'utilisation ou la divulgation de RPS ou de RP n'est pas conforme à la LPRPS ou à ses règlements, ou à la LAIPVP ou à ses règlements (c.-à-d. sans autorisation légale); et/ou
2. la consultation, la manipulation ou tout autre traitement de RPS fournis à SO n'est pas conforme à la LPRPS ou à ses règlements;
3. des RPS ou des RP sont volés, perdus ou font l'objet d'une collecte, d'une utilisation ou d'une divulgation non autorisée, ou lorsque des dossiers de RPS ou de RP font l'objet d'une copie, d'une modification ou d'une élimination non autorisée.

Remarque : Une atteinte à la vie privée liée aux RPS/RP n'inclut pas une atteinte visant des renseignements dépersonnalisés ou des renseignements d'identité d'entreprise, si l'événement ne concerne pas des RP ou des RPS.

2. Atteinte à la vie privée liée à une politique ou à une entente (atteinte à une politique/entente en matière de vie privée) désigne un événement où :

• Il y a contravention des politiques, procédures ou pratiques de Santé Ontario en matière de protection de la vie privée; et/ou
• Il y a contravention d'une condition liée à la protection de la vie privée dans :
  • des ententes de partage de données,
  • des ententes de recherche,
  • des ententes de confidentialité, ou
  • des ententes conclues avec des fournisseurs de services tiers retenus par Santé Ontario afin de traiter des RPS ou des RP,
  • des déclarations écrites reconnaissant et acceptant de ne pas utiliser des RPS ou des RP dépersonnalisés et/ou agrégés afin d'identifier une personne, et
• n'inclut pas une atteinte à la vie privée visant des RPS ou des RP.

Remarque : Une atteinte à une politique/entente en matière de vie privée peut inclure une atteinte visant des renseignements dépersonnalisés ou des renseignements d'identité d'entreprise si l'atteinte concerne des mécanismes de protection de la vie privée prévus dans une entente ou dans une politique, procédure ou pratique relative au traitement de renseignements dépersonnalisés ou de renseignements d'identité d'entreprise.

Incident lié à la vie privée : Tout événement pour lequel le Bureau de la protection de la vie privée est avisé ou prend connaissance qu'une atteinte à la vie privée pourrait s'être produite. Cela comprend les événements qui sont examinés ou faisant l'objet d'une enquête et qui sont :

• confirmés comme constituant une atteinte à la vie privée;
• confirmés comme ne constituant pas une atteinte à la vie privée; ou
• non déterminés ou ne pouvant être déterminés quant à la survenance d'une atteinte à la vie privée (atteinte présumée à la vie privée).

Remarque : Les incidents liés à la protection de la vie privée comprennent les événements impliquant des RP et des RPS, ainsi que des renseignements dépersonnalisés et des renseignements d'identité organisationnelle, car ces événements nécessitent une enquête conformément à la présente politique afin de déterminer s'ils constituent des atteintes à la vie privée, telles que définies ci-dessous. SO doit enquêter sur ces incidents impliquant des données dépersonnalisées et des renseignements d'identité d'entreprise en tenant compte, notamment 1) du risque de ré-identification et des lignes directrices connexes en matière de dépersonnalisation applicables aux données dépersonnalisées, ainsi que 2) du contexte dans lequel SO a reçu et traité les données à titre de renseignements d'identité d'entreprise, afin de confirmer qu'elles ne constituent pas des RP, respectivement.

Mandataire spécial : A le sens qui lui est donné à l'art. 5 de la LPRPS et désigne, sauf indication contraire du contexte, une personne autorisée en vertu de la LPRPS à consentir, au nom d'une autre personne, à la collecte, à l'utilisation ou à la divulgation de RPS concernant cette personne.

Utilisation : Relativement aux RPS ou aux RP sous la garde ou le contrôle d'un DRS ou d'une personne, « utiliser » signifie consulter, manipuler ou autrement traiter les renseignements, sans toutefois les divulguer; « utilisation » a un sens correspondant. Aux fins de la LPRPS, la communication de RPS entre un DRS et un mandataire du DRS constitue une utilisation par le DRS, et non une divulgation par la personne qui fournit les renseignements ni une collecte par la personne qui les reçoit.

11. Cycle de révision

La présente politique doit être révisée par Santé Ontario au moins tous les trois ans à compter de sa date d'entrée en vigueur ou plus tôt si nécessaire conformément à la Politique de vérification et de conformité en matière de protection de la vie privée.

12. Références et/ou documents de mise en œuvre clés

13. Annexes

• Annexe « A » : Contenu des journaux

14. Consultations relatives à la politique

Les personnes suivantes ont été consultées dans l'élaboration de la présente politique :

• Le personnel du Bureau de la protection de la vie privée et autres agents de SO responsables de la rédaction, du maintien et/ou de la révision des politiques en matière de protection de la vie privée liées aux exigences de SO; et
• Les membres du groupe de travail du comité consultatif du programme de protection de la vie privée (version 1 de la politique)

15. Historique de révision de la politique

Avril 2026 : La politique a été révisée et mise à jour en avril 2026. Elle a été approuvée le 9 avril 2026 par le président-directeur général de Santé Ontario.

Annexe A : Contenu des dossiers électroniques et des journaux

Tenue d'un dossier électronique des directives de consentement

Santé Ontario tient un dossier électronique de toutes les instances où une directive de consentement est établie, modifiée ou retirée, conformément au paragraphe 5 de l'art. 55.3 de la LPRPS.

• Le dossier électronique doit indiquer :
• La personne ou le mandataire spécial ayant établi, retiré ou modifié la directive de consentement;
• Les instructions fournies par la personne ou le mandataire spécial concernant la directive de consentement;
• Le dépositaire de renseignements sur la santé, le mandataire ou toute autre personne à laquelle la directive a été établie, retirée ou modifiée; et
• La date et l'heure auxquelles la directive de consentement a été établie, retirée ou modifiée.

Tenue d'un dossier électronique des dérogations à la préséance du consentement

Santé Ontario tient un dossier électronique de toutes les instances où une directive de consentement est contournée par un DRS, conformément au paragraphe 6 de l'article 55.3 de la LPRPS.

• Le dossier électronique doit indiquer :
• Le DRS ayant divulgué les renseignements;
• Le DRS ayant recueilli les renseignements;
• Tout mandataire du DRS ayant recueilli les renseignements;
• La personne à laquelle se rapportent les renseignements;
• Le type de renseignements divulgués;
• La date et l'heure de la divulgation;
• Le motif de la divulgation (c'est-à-dire fournir des soins de santé ou faciliter leur prestation avec le consentement de la personne, prévenir un préjudice pour la personne concernée, ou prévenir un préjudice pour une autre personne ou un groupe de personnes).

Registre des avis de directives de consentement

Santé Ontario consigne tous les avis de dérogation à la préséance du consentement fournis aux DRS, lesquels servent d'avis de directive de consentement (puisqu'une dérogation à la préséance du consentement ne peut être effectuée que si une directive de consentement est en place). Voir le registre des avis de dérogations à la préséance du consentement ci-dessous.

Registre des avis de dérogations à la préséance du consentement

Santé Ontario tient un registre des avis de dérogation à la préséance du consentement transmis aux DRS conformément au par. 55.7(6) de la LPRPS.

Le registre comprend les éléments suivants :

• Le ou les employés ou agents de SO ayant transmis l'avis;
• Le DRS auquel l'avis a été transmis;
• La date de transmission de l'avis;
• Le DRS ayant divulgué les RPS à la suite de la dérogation;
• Le nom de tout mandataire du DRS ayant recueilli les renseignements, s'il est disponible;
• La personne à laquelle se rapportent les RPS;
• Le type de RPS recueillis;
• La date et l'heure de la collecte; et
• Le motif de la collecte (c'est-à-dire fournir des soins de santé ou faciliter leur prestation avec le consentement de la personne, prévenir un préjudice pour la personne concernée, ou prévenir un préjudice pour une autre personne ou un groupe de personnes).

Registre des rapports de dérogations à la préséance du consentement transmis au CIPVP

Santé Ontario tient un registre des rapports annuels transmis au CIPVP, fondés sur ou contenant tout renseignement, autre que des RPS, consigné dans le dossier électronique que Santé Ontario conserve pour chaque instance où des RPS accessibles au moyen du DSE et faisant l'objet d'une directive de consentement ont été divulgués depuis le dernier rapport, conformément au paragraphe 16 de l'art. 55.3 de la LPRPS.

Pour chaque rapport annuel, le registre indique les éléments suivants :

• Le ou les employés ou autres agents de SO qui ont transmis le rapport au CIPVP;
• Le ou les employés ou autres personnes agissant pour le compte du CIPVP auxquels le rapport a été transmis;
• La date à laquelle le rapport a été transmis; et
• La date à laquelle le prochain rapport annuel doit être transmis au CIPVP.

Registre des demandes de dossiers électroniques des directives de consentement et des dérogations à la préséance du consentement provenant des DRS

Santé Ontario tient un registre des dossiers électroniques fournis aux DRS conformément au paragraphe 9 de l'art. 55.3 de la LPRPS.

Pour chaque demande de dossiers électroniques reçue d'un DRS, le registre indique les éléments suivants :

• Le ou les employés ou autres agents de SO qui ont reçu la demande de dossiers électroniques;
• La date à laquelle la demande de dossiers électroniques a été reçue par SO;
• Le DRS qui a présenté la demande de dossiers électroniques;
• Les types de dossiers électroniques demandés par le DRS;
• Le ou les employés ou autres agents de SO qui ont répondu à la demande;
• Les types de dossiers électroniques fournis au DRS;
• Le mandataire du DRS à qui les dossiers électroniques ont été fournis;
• La forme sous laquelle les dossiers électroniques ont été fournis au DRS;
• La manière dont les dossiers électroniques ont été fournis au DRS; et
• La date à laquelle les dossiers électroniques ont été fournis au DRS.

Registre des demandes de dossiers électroniques des directives de consentement et des dérogations à la préséance du consentement provenant du CIPVP

Santé Ontario tient un registre des dossiers électroniques fournis au CIPVP conformément au paragraphe 8 de l'art. 55.3 de la LPRPS.

Pour chaque demande de dossiers électroniques reçue du CIPVP, le registre indique les éléments suivants :

• Le ou les employés ou autres agents de Santé Ontario qui ont reçu la demande de dossiers électroniques;
• La date de réception de la demande;
• Le ou les employés ou autres personnes agissant pour le compte du CIPVP qui ont présenté la demande;
• Les types de dossiers électroniques demandés par le CIPVP;
• Le ou les employés ou autres agents de Santé Ontario qui ont répondu à la demande;
• Les types de dossiers électroniques fournis au CIPVP;
• Le ou les employés ou autres personnes agissant pour le compte du CIPVP à qui les dossiers électroniques ont été fournis;
• La forme sous laquelle les dossiers électroniques ont été fournis au CIPVP;
• La manière dont les dossiers électroniques ont été fournis au CIPVP; et
• La date à laquelle les dossiers électroniques ont été fournis au CIPVP.

Registre des vérifications des dossiers électroniques des directives de consentement et des dérogations à la préséance du consentement

Santé Ontario tient un registre de toutes les vérifications effectuées sur les dossiers électroniques des directives de consentement et des dérogations à la préséance du consentement qu'elle est tenue de conserver conformément aux paragraphes 5 et 6 de l'art. 55.3 de la LPRPS.

Pour chaque vérification effectuée, le registre doit indiquer les éléments suivants :

• La nature et la portée de la vérification;
• Le ou les employés ou autres agents de Santé Ontario qui ont effectué la vérification;
• La date à laquelle la vérification a été effectuée;
• Les résultats de la vérification;
• Toute mesure de suivi à prendre à la suite de la vérification;
• Le ou les employés ou autres agents de Santé Ontario chargés de prendre les mesures de suivi;
• La date à laquelle les mesures de suivi ont été achevées;
• Le ou les employés ou autres agents de Santé Ontario, ou autres tiers, auxquels les résultats de la vérification doivent être communiqués;
• Le ou les employés ou autres agents de Santé Ontario chargés de communiquer les résultats de la vérification.

Indicateurs à déclarer au CIPVP

Santé Ontario veille à consigner et à conserver les renseignements nécessaires à la préparation des indicateurs relatifs à la gestion du consentement dans le DSE exigés par le Manuel des OP du CIPVP et énumérés ci-dessous :

• Le nombre d'instances où une directive de consentement a été établie, modifiée ou retirée depuis le dernier examen du CIPVP.
• Le nombre d'instances où un avis de directive de consentement a été fourni à un DRS conformément au par. 55.6(7) de la LPRPS depuis le dernier examen du CIPVP.
• Le nombre d'instances où un DRS a dérogé à une directive de consentement conformément à l'art. 55.7 de la LPRPS depuis le dernier examen du CIPVP, ainsi que le nombre de fois où chacun des par. 55.7(1), (2) ou (3) de la LPRPS a été invoqué pour déroger à la directive de consentement.
• Le nombre d'instances où un avis de dérogation à la préséance du consentement a été fourni à un DRS conformément au par. 55.7(6) de la LPRPS depuis le dernier examen du CIPVP.
• Les dates auxquelles les rapports de dérogations à la préséance du consentement ont été transmis au CIPVP conformément au paragraphe 16 de l'art. 55.3 de la LPRPS depuis le dernier examen du CIPVP.
• Le nombre de demandes reçues des DRS conformément au paragraphe 9 de l'art. 55.3 de la LPRPS pour les dossiers électroniques des directives de consentement et des dérogations à la préséance du consentement depuis le dernier examen du CIPVP.
• Le nombre de demandes reçues du CIPVP conformément au paragraphe 8 de l'art. 55.3 de la LPRPS pour les dossiers électroniques des directives de consentement et des dérogations à la préséance du consentement depuis le dernier examen du CIPVP.