Introduction
L’Institut ontarien de recherche sur le cancer (IORC) est un centre d’excellence en recherche sur le cancer qui met l’accent sur la prévention, le dépistage précoce, le diagnostic et le traitement du cancer. L’IORC est un organisme à but non lucratif constitué sous le régime de la loi fédérale et financé par le ministère de la Recherche et de l’Innovation de l’Ontario.
L’IORC s’engage à respecter la vie privée, à protéger l’information confidentielle et à assurer la sécurité des renseignements personnels sur la santé et des renseignements personnels dont il a la garde ou le contrôle.
Le public peut consulter la déclaration d’engagement de l’IORC en matière de protection et de confidentialité des renseignements personnels à l’adresse http://www.iorc-oicr.ca/terms.html.
Portée générale
Cette politique porte sur la collecte, l’utilisation, la divulgation, la gestion, la protection, la conservation et la destruction des renseignements personnels sur la santé. Elle est fondée sur les dix principes relatifs à l’équité dans le traitement de l’information et des renseignements personnels de l’Association canadienne de normalisation, lesquels font partie de la loi canadienne sur la protection des renseignements personnels intitulée Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
Définitions
Se reporter au glossaire pour les politiques et les procédures en matière de protection des renseignements personnels de l’IORC.
- Politique et procédure
La partie qui suit décrit de quelle façon l’IORC adhère à ces principes.
- Principe 1 – Responsabilité
- La responsabilité de la conformité aux lois et règlements fédéraux et de l’Ontario applicables en matière de protection des renseignements personnels incombe au président et directeur scientifique de l’IORC. Celui‑ci a délégué cette responsabilité à la vice-présidente, Exploitation qui doit veiller à ce que l’IORC se conforme aux exigences prévues par la loi et adhère aux principes relatifs à la protection des renseignements personnels, à la confidentialité et à la sécurité de l’information.
L’agent chargé de la protection des renseignements personnels et l’agent de sécurité de l’information se sont vu conférer le pouvoir de gérer le programme de protection des renseignements personnels et de sécurité de l’information au quotidien. Une structure a été mise en place selon laquelle tous deux relèvent de la vice-présidente, Exploitation, dans le cadre de ces fonctions. Parmi les autres employés et comités qui contribuent à la bonne marche du programme relatif à la protection des renseignements personnels et à la sécurité de l’information, citons les responsables de la protection des renseignements personnels, le Comité de gouvernance de l’information et le Sous-comité de gouvernance de l’information. Les tâches et les responsabilités de ces postes et comités, de même que les activités clés des programmes visant la protection des renseignements personnels et la sécurité de l’information, figurent dans le mandat de l’IORC en matière de protection des renseignements personnels et de sécurité de l’information.
- Les personnes que l’IORC emploie ou embauche doivent se conformer à cette politique dans le cadre de la collecte, de l’utilisation, de la divulgation, de la gestion, de la protection, de la conservation et de la destruction de renseignements personnels sur la santé et de renseignements personnels. Toute personne que l’IORC emploie ou embauche est tenue de signer une entente de confidentialité (voir la politique sur la confidentialité de l’information). Les employés doivent assister et participer à une formation donnée par l’employeur sur la protection des renseignements personnels et signer le formulaire d’attestation de formation correspondant (se reporter à la politique sur la formation et la sensibilisation à la confidentialité de l’information, à la protection des renseignements personnels et à la sécurité de l’information).
- Il incombe à l’IORC de protéger la confidentialité de tous les renseignements personnels sur la santé et renseignements personnels transmis à un tiers fournisseur de services ou à un mandataire agissant au nom de l’IORC. L’IORC veille à ce que des processus adéquats soient mis en place pour protéger la confidentialité de tous les renseignements personnels et renseignements personnels sur la santé transmis à un tiers, et ce, avant même leur transmission. Les tiers qui sollicitent l’accès à des renseignements personnels et à des renseignements personnels sur la santé auprès de l’IORC doivent adhérer à cette politique et à toute entente en vigueur s’appliquant aux tiers fournisseurs de services et (ou) à l’échange d’information, et se conformer aux lois applicables sur la protection des renseignements personnels et des renseignements personnels sur la santé (se reporter aux politiques sur l’exécution des ententes s’appliquant aux tiers fournisseurs de services et sur les ententes visant l’échange d’information).
- Cette politique fait l’objet d’examens périodiques en vue d’assurer qu’elle reflète les lois et directives en vigueur ainsi que les pratiques en cours à l’IORC.
- La violation des dispositions de cette politique par un employé peut entraîner le recours à des mesures disciplinaires, voire son congédiement.
- L’IORC a mis des procédures en place pour recevoir des demandes et des plaintes, et pour y répondre.
- Principe 2 – Définition des fins de la collecte de renseignements
- Avant de recueillir ou de recevoir des renseignements personnels ou des renseignements personnels sur la santé, l’IORC est tenu de définir les fins pour lesquelles ces renseignements seront collectés, utilisés ou divulgués. La collecte de renseignements personnels et de renseignements personnels sur la santé se limite aux renseignements nécessaires aux fins définies et, le cas échéant, à des fins de recherche conforme à l’éthique.
- Les employés de l’IORC doivent connaître les fins pour lesquelles des renseignements personnels et des renseignements personnels sur la santé sont recueillis dans les fonds de données de leur secteur d’intervention.
- Lorsque des renseignements personnels et des renseignements personnels sur la santé préalablement recueillis doivent être utilisés ou divulgués à des fins non précisées auparavant, ils ne peuvent être utilisés et divulgués qu’une fois que ces nouvelles fins ont été définies et, si nécessaire (s’il s’agit de données de recherche), qu’une fois que le Comité d’éthique accorde son consentement.
- Principe 3 – Connaissance et consentement
- La collecte, l’utilisation et la divulgation de renseignements personnels et de renseignements personnels sur la santé sont conditionnels à l’obtention d’un consentement éclairé touchant les données de recherche et d’un consentement éclairé touchant les autres renseignements nominatifs; l’obtention d’un consentement éclairé n’est pas nécessaire quand ces activités sont permises ou exigées par la loi.
- Quand l’obtention d’un consentement explicite est nécessaire pour procéder à la collecte, à l’utilisation ou à la divulgation de renseignements personnels et de renseignements personnels sur la santé, l’IORC s’assurera que celui-ci a été obtenu
- Principe 4 – Limitation de la collecte de renseignements
- L’IORC ne procède à la collecte de données qu’à des fins de recherche ou autres dans les limites de son mandat et pour ses programmes affiliés.
- L’IORC ne procède pas à la collecte de renseignements personnels et de renseignements personnels sur la santé de façon arbitraire. La quantité et la nature des renseignements recueillis se limitent à ce qui est nécessaire pour les fins précisées.
- Les renseignements personnels et les renseignements personnels sur la santé sont recueillis directement des personnes à moins que la loi ne l’autorise ou ne l’exige.
- Tous les renseignements personnels et renseignements personnels sur la santé ayant fait l’objet d’une collecte hors du cadre défini sont retournés et (ou) détruits.
- Principe 5 – Limitation de l’utilisation, de la communication et de la conservation
- Les données de recherche recueillies par l’IORC servent à des fins de recherche contribuant à enrichir les connaissances sur le cancer et à améliorer des traitements destinés aux personnes aux prises avec le cancer. Les restrictions s’appliquant à l’utilisation et à la divulgation des données sont mises à exécution par l’application des politiques de l’IORC en la matière et par l’utilisation des moyens physiques des technologies de l’information et de l’architecture de sécurité de l’IORC. Toute autre donnée sera utilisée, divulguée et conservée pour les fins définies.
- Seul le personnel de l’IORC autorisé et désigné ayant signé l’entente de confidentialité et reçu la formation appropriée sur la protection des renseignements a accès aux renseignements personnels et aux renseignements personnels sur la santé. L’accès repose sur la nécessité pour le personnel de connaître ces renseignements pour qu’il accomplisse son travail à l’IORC. Aucun employé de l’IORC n’a accès aux renseignements personnels et renseignements personnels sur la santé à moins que son travail ne l’exige.
- L’IORC prend les mesures nécessaires pour se prémunir de tout risque de divulgation non autorisée des renseignements personnels et des renseignements personnels sur la santé. Les employés de l’IORC participant à la recherche doivent collaborer avec les dépositaires de l’information sur la santé, les chercheurs et les parties externes pour mettre au point des stratégies de préparation d’ensembles de données faisant en sorte d’éliminer le risque potentiel de divulgation par recoupement tout en répondant aux besoins de l’analyse pour le protocole de recherche approuvé. L’IORC élaborera et mettra en place des normes et des directives afin d’éviter la divulgation non autorisée de données et communiquera ces normes et directives aux dépositaires de l’information sur la santé, aux chercheurs et aux parties externes. Les échantillons biologiques ou les données associés ne sont pas révélés quand un cas de divulgation non autorisée n’est pas résolu selon les exigences de l’IORC.
- L’IORC peut participer au couplage de données avec des sources externes dans le cadre d’analyses particulières ou d’autres recherches sur le cancer s’il le fait conformément aux lois et aux règlements en vigueur. Tout ensemble de données couplées est assujetti aux politiques et procédures de l’IORC qui régissent la collecte, l’utilisation et la divulgation des renseignements personnels et des renseignements personnels sur la santé.
- L’IORC a mis en place des procédures et des directives régissant la conservation sécuritaire des renseignements personnels et des renseignements personnels sur la santé; les données ne sont pas conservées au-delà de la période de conservation des données établie dans sa politique, laquelle est conforme aux lois applicables.
- Les renseignements personnels et les renseignements personnels sur la santé n’étant plus nécessaires aux fins pour lesquelles ils ont été recueillis sont détruits de façon sécuritaire après l’expiration de la période de conservation.
- Principe 6 – Exactitude des renseignements personnels et des renseignements personnels sur la santé
- L’IORC exige que les renseignements personnels et les renseignements personnels sur la santé qu’il reçoit soient exacts, complets et à jour au moment de la collecte, tel que vérifié par la personne ou l’organisme ayant procédé à leur collecte.
- L’IORC ne met pas à jour les renseignements personnels ni les renseignements personnels sur la santé recueillis, sauf si cela s’avère nécessaire pour les besoins pour lesquels ils ont été recueillis. Les données rendues anonymes ne sont pas mises à jour par l’IORC.
- Principe 7 – Mesures de sécurité
- L’IORC a mis en œuvre des dispositifs et des mesures de sécurité protégeant contre la perte, le vol, l’accès non autorisé, la divulgation, la copie, l’utilisation, la modification et l’élimination des renseignements personnels et des renseignements personnels sur la santé.
Dispositifs physiques
- L’IORC fournit un environnement physique sécuritaire pour l’équipement et les installations hébergeant les renseignements personnels et les renseignements personnels sur la santé ainsi que pour les employés utilisant ces renseignements. (Se reporter à la description du programme de l’IORC en matière de sécurité de l’information et aux énoncés de politique associés ainsi qu’aux politiques sur la sécurité des installations et la gestion des cartes d’accès et des clés.)
Mesures administratives
- Tous les employés de l’IORC sont tenus de signer une entente de confidentialité. Les renseignements personnels et les renseignements personnels sur la santé ne sont communiqués qu’aux employés désignés en fonction de leur besoin de les connaître, et ils sont protégés par des ententes de partage des données le cas échéant. L’IORC sensibilise tous ses employés à l’importance de protéger la confidentialité des renseignements personnels et des renseignements personnels sur la santé.
- L’IORC a instauré des politiques et des procédures relatives à l’élimination et à la destruction des renseignements personnels et des renseignements personnels sur la santé afin d’empêcher tout accès à ces renseignements par des parties non autorisées. (Pour de l’information au sujet des dossiers papier, se reporter aux politiques relatives à la conservation, au transfert et à l’élimination des dossiers administratifs, et à la conservation, au transfert et à l’élimination des dossiers contenant des renseignements personnels sur la santé et des renseignements confidentiels ou de nature délicate. Pour de l’information au sujet des dossiers sur support électronique, se reporter aux énoncés de politique 3.0 sur le cryptage, 4.0 sur la conservation, la sauvegarde, l’élimination et la destruction sécuritaires des données électroniques et 5.0 sur la protection des données (cryptage, transmission et stockage.)
- Des évaluations des facteurs relatifs à la vie privée sont menées (conformément à la politique de l’IORC sur les évaluations des facteurs relatifs à la vie privée) pour détecter et résoudre les problèmes menaçant la protection des renseignements et pour assurer la mise en œuvre de stratégies d’atténuation du risque et de mesures de suivi. Ces évaluations comprennent, selon le cas, des analyses de la sécurité et des évaluations de la menace et des risques et portent sur les fonds de données et les pratiques organisationnelles.
Moyens technologiques
- L’IORC adopte les normes de l’industrie et vérifie périodiquement ses systèmes pour assurer que son matériel de stockage des données et ses systèmes de communication sont sécuritaires. (Se reporter à la description du programme et aux énoncés de politique de l’IORC sur la sécurité de l’information.)
- Principe 8 – Transparence
- L’IORC fait en sorte que l’information au sujet de ses politiques et pratiques concernant la gestion des renseignements personnels, des renseignements personnels sur la santé et des échantillons biologiques soit accessible. Les politiques et pratiques régissant ces activités sont facilement accessibles sur l’intranet de l’IORC. Certaines politiques ainsi qu’un énoncé qui décrit les pratiques relatives aux renseignements sont publiés sur Internet.
- Principe 9 – Accès des personnes aux renseignements personnels et aux renseignements personnels sur la santé
- L’IORC n’est pas un dépositaire d’information sur la santé et ne conserve pas de dossiers sur les personnes dans une optique de prestation de services de santé. L’IORC ne met pas à jour les dossiers des personnes dans le but d’assurer l’exactitude ou le caractère actuel des renseignements qui les concernent. Les personnes qui souhaitent avoir accès à leur dossier et qui supposent que celui-ci est conservé par l’IORC sont priées de communiquer avec le dépositaire d’information sur la santé qui a créé ce dossier ou recueilli l’information qui les concerne. Cela inclut le cas où le dépositaire de l’information sur la santé procède à la collecte de renseignements à des fins de recherche pour le compte de l’IORC ou dans le cadre de projets commandités par l’IORC.
- Les personnes ont le droit d’accéder aux renseignements tels qu’ils sont recueillis par l’IORC mais ne peuvent accéder aux renseignements provenant des chercheurs.
- Principe 10 – Possibilité de porter plainte à l’égard du non-respect des principes
Les questions, préoccupations et plaintes au sujet de la politique de l’IORC sur la protection des renseignements personnels doivent être adressées à l’agent chargé de la protection des renseignements personnels selon les modalités indiquées ci-dessous. Toute préoccupation ou question sera traitée rapidement. Les plaintes jugées fondées donneront lieu à des mesures appropriées de la part de l’IORC, voire à la modification de ses politiques et procédures le cas échéant.
Pour plus d’information au sujet des pratiques de l’IORC relatives à la protection des renseignements personnels, consulter le site Web de l’IORC (www.oicr.on.ca, en anglais seulement) ou communiquer avec le responsable :
Agent chargé de la protection des renseignements personnels de l’IORC
Institut ontarien de recherche sur le cancer
Centre MaRS
661, avenue University
Bureau 510
Toronto (Ontario)
Canada M5G 0A3
416-673-6646
Les questions, préoccupations et plaintes peuvent être adressées au Commissaire à l’information et à la protection de la vie privée de l’Ontario.
Coordonnées du Commissaire à l’information et à la protection de la vie privée de l’Ontario :
Commissaire à l’information et à la protection de la vie privée de l’Ontario
2, rue Bloor Est
Bureau 1400
Toronto (Ontario)
Canada M4W 1A8
Site Web : www.ipc.on.ca
Téléphone : 416-326-3333, interurbain : 1-800-387-0073 (depuis l’Ontario)
- L’atteinte à la protection des renseignements personnels désigne l’usage abusif ou la divulgation inappropriée ou non autorisée des renseignements personnels et des renseignements personnels sur la santé sous la garde ou le contrôle de l’IORC. Les atteintes à la protection des renseignements personnels comprennent l’utilisation et la divulgation de renseignements personnels et de renseignements personnels sur la santé qui contreviennent aux lois ou à la politique de l’IORC en matière de protection des renseignements personnels et à sa politique et à ses procédures relatives à la gestion des atteintes à la protection des renseignements personnels.
- L’IORC protège les employés qui dénoncent les atteintes à la protection des renseignements personnels, les violations potentielles des lois applicables et le non-respect de la politique de l’IORC en matière de protection des renseignements personnels (se reporter à la politique de dénonciation). Cette protection couvre aussi les personnes qui refusent d’exécuter une action parce qu’elles jugent que celle-ci est contraire aux lois applicables ou ne respecte pas la politique de l’IORC en matière de protection des renseignements personnels.
Documents associés
Politiques et procédures sur la gestion des cartes d’accès et des clés
Politique en matière de confidentialité de l’information et entente de confidentialité de l’IORC
Politique et procédures de l’IORC relatives à la gestion des atteintes à la protection des renseignements personnels
Politique en matière de rangement du bureau
Politique relative à l’utilisation et à la divulgation des données et formulaire d’évaluation de projet concernant la protection des renseignements personnels
Politique des ressources humaines relative à la protection des renseignements personnels
Politique et procédures de l’IORC relatives aux programmes de sécurité de l’information
Politique de l’IORC en matière d’éthique et d’intégrité de la recherche
Politique et procédures relatives aux demandes concernant les renseignements personnels
Politique et procédures concernant les plaintes en matière de protection des renseignements personnels
Politique sur les évaluations des facteurs relatifs à la vie privée
Conservation, transfert et élimination des dossiers administratifs de l’IORC
Conservation, transfert et élimination des dossiers contenant des renseignements personnels sur la santé et des renseignements confidentiels ou de nature délicate
Envoi et réception de renseignements personnels sur la santé, de renseignements personnels et de renseignements confidentiels ou de nature délicate
Politiques sur la sécurité des installations
Politique sur la formation et la sensibilisation à la protection des renseignements personnels et à la sécurité de l’information
Politique de dénonciation.
Références
Annexe 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ)
Alinéa 39 (1) (c) sur la tenue de registres de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS)