Extraits pertinents :

[2] La plaignante reproche à l’organisme d’avoir communiqué à des tiers des renseignements personnels la concernant, soit des renseignements de nature médicale, sans son consentement.

Les faits 

[4] La plaignante affirme que Mme …, … à l’emploi de l’organisme, aurait communiqué à des amis et des membres de sa famille des renseignements concernant son état de santé.

[5] Selon l’enquête, deux témoins affirment solennellement que Mme … leur a communiqué des renseignements de cette nature à quelques reprises.

[8] Au moment des faits reprochés, aucune journalisation des accès n’était en place. L’organisme indique que cette mesure est en processus d’implantation.

[12] Dans ses observations, reçues le 28 octobre dernier, l’organisme affirme qu’il prenait divers moyens, à l’époque de la plainte, pour rappeler régulièrement à ses employés, stagiaires et médecins les règles de confidentialité applicables aux renseignements personnels auxquels ils ont accès chaque jour. Il cite divers moyens de sécurité et de sensibilisation visant tant les dossiers papiers qu’informatiques des usagers (registres, formation, engagements de confidentialité, discussions lors de rencontres d’équipe, etc.).

[13] L’organisme ajoute qu’en raison de la fusion des établissements publics de santé et de services sociaux du …, des mesures supplémentaires s’ajouteront sous peu, dont : [...] 2) Des dépliants concernant la confidentialité, la sécurité et la journalisation provenant de l’AGISQ (Association des gestionnaires de l’information de santé du Québec) seront remis au personnel de l’établissement. 3) Enfin, des travaux régionaux sont en cours afin de doter les installations de l’organisme d’une politique uniforme concernant la confidentialité. Cette politique sera un levier afin de bien informer tous les employés de l’importance du respect de la confidentialité et des conséquences du nonrespect de celle-ci.

[14] L’organisme précise également qu’en attendant que cette politique soit adoptée, les mesures suivantes sont en place, afin d’éviter ou de limiter le préjudice que pourraient subir les personnes concernées par la divulgation des renseignements les concernant : • Depuis le 1er juin dernier, l’archiviste à la performance journalise une fois par semaine les accès de cinq employés (jour/soir/nuit), par échantillonnage. Cette journalisation permet de produire divers rapports permettant d’identifier des situations possiblement à risque. • Si une telle situation est identifiée, une procédure permet à l’archiviste à la performance d’informer le chef de service de l’employé concerné et le chef de service des archives. Le chef de service décide de la conséquence, sanction ou mesure disciplinaire à imposer à l’employé fautif, le cas échéant.

[16] Ainsi, l’organisme soumet qu’il rappelle de façon régulière à ses employés les règles de confidentialité et qu’il s’est doté d’une procédure en cas d’incident compromettant la confidentialité de renseignements personnels.

[18] En résumé, l’organisme rappelle que la plaignante, l’employée visée par la plainte et certaines des personnes rencontrées lors de l’enquête ont des liens familiaux. Toutefois, les relations entre ces personnes sont tendues; certains liens sont rompus. D’autres procédures impliquant ces personnes ont également été intentées.

Analyse

[21] Les dispositions suivantes prévoient que les renseignements personnels et les renseignements contenus au dossier de l’usager d’un organisme sont confidentiels :

Loi sur l’accès

53. Les renseignements personnels sont confidentiels sauf dans les cas suivants:

1° la personne concernée par ces renseignements consent à leur divulgation; si cette personne est mineure, le consentement peut également être donné par le titulaire de l’autorité parentale;

2° ils portent sur un renseignement obtenu par un organisme public dans l’exercice d’une fonction juridictionnelle; ils demeurent cependant confidentiels si l’organisme les a obtenus alors qu’il siégeait à huis-clos ou s’ils sont visés par une ordonnance de non-divulgation, de non-publication ou de non-diffusion.

[22] Par ailleurs, selon la Loi sur l’accès, un organisme public a l’obligation de prendre les mesures de sécurité propres à assurer la protection des renseignements personnels qu’il détient, et ce, à chacune des étapes du cycle de vie de ces renseignements :

63.1. Un organisme public doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.

[23] Ces mesures doivent être raisonnables et tenir compte notamment de la sensibilité des renseignements, de leur quantité et de leur support.

[24] Les renseignements personnels visés par la plainte sont de nature particulièrement sensible : ils révèlent des informations concernant la santé d’une personne.

[25] Des mesures de sécurité adéquates contribuent à limiter les risques d’utilisation ou de communication inappropriée de ces renseignements personnels.

[26] De même, lors d’un événement compromettant la confidentialité de renseignements personnels, l’organisme doit prendre les moyens nécessaires afin d’éviter ou de limiter le préjudice que les personnes concernées par les renseignements personnels peuvent subir et d’éviter qu’une telle situation se reproduise.

[30] Toutefois, la Commission croit que ces mesures pourraient être bonifiées par l’adoption d’une politique, d’une directive ou d’une procédure prévoyant les actions à prendre lorsqu’il est informé d’un incident compromettant la confidentialité des renseignements personnels qu’il détient. Cette procédure devrait inclure les incidents de toute nature (pas uniquement les incidents résultant d’un geste d’un employé) et prévoir des mesures propres à éviter ou à limiter le préjudice que les personnes concernées par les renseignements personnels peuvent subir à la suite de cet incident. Par exemple, en cas d’envoi d’informations personnelles par courrier à la mauvaise personne, quelles mesures doivent être prises afin de récupérer ces renseignements et d’éviter que ces informations ne soient diffusées davantage.

CONCLUSION

[31] À la lumière de l’enquête et des autres éléments au dossier, la Commission conclut que l’organisme a pris les mesures de sécurité conformes à l’article 63.1 de la Loi sur l’accès.

[32] EN CONSÉQUENCE, LA COMMISSION :

[33] ANNULE les conclusions et les ordonnances comprises dans la décision du 10 août 2015 rendue dans le présent dossier, soit :

DÉCLARE la plainte fondée;

ORDONNE à l’organisme de prendre des mesures de sécurité supplémentaires propres à assurer la confidentialité des renseignements personnels qu’il détient au sujet des usagers, notamment de rappeler de façon régulière aux membres de son personnel, de même qu’aux médecins, gestionnaires, bénévoles et aux stagiaires leurs obligations en matière de confidentialité et de se doter d’une procédure en cas d’incident compromettant la confidentialité de renseignements personnels.

ORDONNE à l’organisme d’informer la Direction de la Surveillance de la Commission des mesures de sécurité supplémentaires mises en place et de l’avancement du projet de journalisation des accès aux dossiers des usagers dans un délai de 90 jours de la réception de la présente décision.

[34] Toutefois, elle recommande à l’organisme de se doter d’une procédure à suivre en cas d’incident compromettant la confidentialité de renseignements personnels qui inclut les incidents de toute nature et prévoit des mesures propres à éviter ou à limiter le préjudice que les personnes concernées par les renseignements personnels peuvent subir à la suite de cet incident.