Extraits pertinents :

[1] Le 30 janvier 2015, un article2 du Journal de Montréal révèle que des documents contenant des renseignements personnels des patients du Centre intégré universitaire de santé et de services sociaux du Centre-Ouest-de-l’Île-deMontréal (anciennement Hôpital général juif Sir Mortimer B. Davis) (l’organisme) ont été retrouvés sur l’autoroute 15.

[4] Dans ces réponses, la responsable précise le contexte entourant les faits à l’origine de l’enquête, et ce, dans les termes suivants : « Nous avons découvert que c’était une erreur de la part de la secrétaire qui lors de l’épuration des dossiers cliniques a déposé les documents à détruire dans le bin de recyclage plutôt que le bin de déchiquetage »

[5] Elle précise également que l’organisme a mis en place des mesures pour éviter que ce genre d’incident ne se reproduise, notamment en modifiant les politiques en place, en informant le personnel par le biais de l’intranet de ces modifications et en changeant l’étiquetage des bacs de recyclage et de déchiquetage.

[6] Le 4 avril 2016, la Commission transmet à l’organisme un avis d’intention l’informant qu’elle a pris connaissance du document intitulé « La politique et la procédure de recyclage de [l’organisme] » transmis par la responsable de l’organisme à la Direction de la surveillance de la Commission le 16 octobre 2015. Ce document se présente sous la forme d’un graphique reprenant le logo du recyclage sur lequel on peut lire que les employés sont encouragés à déchiqueter leur propre papier pour en assurer la confidentialité ou encore à les placer dans des contenants marqués « Total Shred ».

[10] Le 24 mai 2016, la coordonnatrice des services d’archives médicales répond pour l’organisme. Elle soutient que l’organisme a :

  • révisé sa politique intitulée Programme de recyclage du papier après l’incident à l’origine de l’enquête de la Commission et que cette dernière est diffusée régulièrement auprès des employés;
  • fait en sorte que les bacs de recyclage pour les documents confidentiels et non confidentiels soient mieux identifiés. Elle mentionne également que si un document confidentiel est retrouvé dans un bac de recyclage destiné aux documents non confidentiels, un suivi est fait avec les superviseurs;
  • communiqué avec les personnes visées par l’incident.

Analyse 

[14] La Loi sur l’accès prévoit qu’un organisme public doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels qu’il détient, et ce, tout au long de leur cycle de vie.

63.1. Un organisme public doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.

[15] Ces mesures doivent être raisonnables et tenir compte notamment de la sensibilité des renseignements, de leur qualité et de leur support.

[17] Des mesures de sécurité adéquates contribuent non seulement à limiter les risques d’utilisation ou de communication inappropriée de ces renseignements personnels, mais aussi à encadrer la conservation et la destruction de ces renseignements.

[18] De même, lors d’un évènement compromettant la confidentialité de renseignements personnels, l’organisme doit prendre les moyens nécessaires afin d’éviter ou de limiter le préjudice que les personnes concernées par les renseignements personnels peuvent subir et éviter qu’une telle situation se reproduise.

[22] Considérant les mesures prises par l’organisme et qu’il s’agit d’un cas isolé, la Commission n’entend pas émettre d’ordonnance et ferme le dossier.

[23] Elle recommande toutefois à l’organisme de prendre les mesures nécessaires afin que le contrat de service qui sera conclu à la suite de l’appel d’offres mentionné au paragraphe 11 et qui implique la communication de renseignements personnels réfère aux dispositions de la Loi sur l’accès applicables aux renseignements communiqués, aux mesures prises pour s’assurer de leur caractère confidentiel, à leurs conditions d’utilisation et de conservation et à la signature d’un engagement de confidentialité.


Dernière modification : le 14 décembre 2017 à 17 h 35 min.