Droit au but

Protection de la confidentialité et accès aux dossiers médicaux électroniques

Christiane Larouche  |  2016-10-27

De plus en plus de personnes, de groupes ou d’organismes cherchent à obtenir un accès aux DME pour diverses raisons. Comment gérer toutes ces demandes ? Dans cet article, nous vous proposons quelques repères sur le sujet.

Me Christiane Larouche, avocate, travaille au Service juridique de la Fédération des médecins omnipraticiens du Québec.

Évolution des technologies, mais pas du cadre juridique

L’utilisation des dossiers médicaux électroniques (DME) comporte de nombreux avantages pour les médecins. Ils facilitent indéniablement l’accès aux dossiers des patients par les membres de l’équipe de soins et, par voie de conséquence, la coordination des soins. Ils rendent également possibles l’extraction et l’analyse de données à des fins d’amélioration de la qualité et de l’efficience des soins et des services par les professionnels. Les nouvelles possibilités offertes par les DME comportent cependant des risques de communication et d’utilisation inappropriée des renseignements personnels sur la santé des patients.

Les lois du Québec qui encadrent la protection des renseignements personnels demeurent cependant inchangées à ce jour et peuvent créer une confusion chez les médecins. En effet, la Loi sur la protection des renseignements personnels dans le secteur privé s’applique à la gestion des renseignements personnels par les médecins dans leurs cabinets privés alors que la Loi sur la protection des renseignements personnels dans le secteur public s’applique à la protection des renseignements personnels dans les établissements de santé du réseau. Pour ajouter à la complexité du tableau, la Loi sur le partage de certains renseignements de santé encadre pour sa part uniquement la gestion des renseignements personnels contenus dans le dossier de santé du Québec. Dans la plupart des autres provinces, on a adopté une loi unique visant spécifiquement la collecte, l’utilisation et la divulgation des renseignements de santé sans égard au lieu de prestation de services, ce qui simplifie grandement la tâche des médecins.

Retenons pour l’instant que les règles juridiques encadrant la protection de la confidentialité des dossiers médicaux en cabinet ou en établissement sont semblables, mais pas identiques. Cependant, dans chaque secteur, les règles sont les mêmes que le dossier soit sur support papier ou électronique.

L’obligation au secret professionnel

Le secret professionnel est une obligation légale et déontologique pour le médecin et les autres professionnels avec lesquels il collabore. Il s’agit d’un droit fondamental de chaque personne prévu par la Charte des droits et libertés de la personne. La Loi médicale, le Code des professions et les codes de déontologie des professionnels réitèrent tous ce principe.

Le secret professionnel est traité dans les articles 20 et 21 du Code de déontologie des médecins. Ces articles font état de la conduite attendue du médecin afin de préserver le secret professionnel. Entre autres devoirs, le médecin doit garder confidentiel ce qui est venu à sa connaissance dans l’exercice de sa profession, ce qui va bien au-delà des seules confidences du patient.

Les dérogations au secret professionnel

En vertu de la Charte des droits et libertés de la personne et du Code des professions, un professionnel ne peut être relevé de son secret professionnel que dans deux situations :

h le client autorise la divulgation ;

h une disposition expresse d’une loi autorise ou ordonne la divulgation.

Encadré

Le Code de déontologie des médecins reprend ces dérogations à l’article 20 et contient, depuis 2015, la possibilité d’une dérogation « lorsqu’il y a une raison impérative et juste ayant trait à la santé ou à la sécurité du patient ou de son entourage ». Cette exception vise les situations rarissimes où le médecin pourrait juger nécessaire de communiquer une information protégée par le secret dans le but de prévenir un acte de violence, dont un suicide. Le droit de toute personne au secours, également reconnu dans la Charte des droits et libertés de la personne, est le fondement légal de cette exception.

Le médecin est le « gardien » des DME

La protection de la confidentialité des dossiers médicaux est une composante importante du secret professionnel pour le médecin qui exerce en cabinet, qui s’inscrit dans le cadre des diverses obligations du médecin quant à la constitution, à la tenue, à la conservation et à la destruction des dos­siers médicaux.

Le Code de déontologie des médecins, le Code civil du Québec, la Loi sur la protection des renseignements personnels dans le secteur privé et le Règlement sur les dossiers, les lieux d’exercice et la cessation d’exercice d’un médecin encadrent tous le rôle du médecin qui exerce hors établissement à titre de gardien du dossier de ses patients.

On doit retenir que le médecin a l’obligation déontologique et légale de prendre des mesures raisonnables pour assurer la protection des renseignements personnels de ses patients lors de leur collecte, de leur utilisation ou de leur communication. Ces mesures doivent aussi tenir compte des personnes avec lesquelles le médecin collabore.

Des mesures raisonnables de protection pourraient notamment inclure :

h l’identification des personnes ayant des droits d’accès autorisés au DME ;

h l’identification des profils d’accès autorisés à ces personnes ;

h l’obtention de garanties contractuelles auprès des fournisseurs de services de DME assurant la protection de la confidentialité ;

h l’adoption d’une entente ou d’une politique gouvernant le partage et l’utilisation du DME au sein de la clinique ;

h la vérification régulière du registre des accès au DME pour veiller au respect de la politique d’accès.

Les divulgations autorisées par le patient

Le médecin peut bien sûr être autorisé par son patient à divulguer certaines informations confidentielles. Le consentement peut alors être implicite ou explicite.

Consentement implicite

Il est généralement admis que le médecin dispose d’un consentement implicite de son patient l’autorisant à communiquer les renseignements personnels sur sa santé nécessaires à la prestation de services par les professionnels qui font partie du cercle de soins.

Le cercle de soins pourrait être plus ou moins étendu, selon l’état du patient et le nombre de professionnels de la santé qu’il consulte. Il pourrait inclure des médecins, des infirmières, des travailleurs sociaux, etc.

Le consentement implicite ne permet donc pas un partage tous azimuts du DME. Avant de communiquer des renseignements, le médecin doit faire preuve de rigueur pour dé­ter­miner si :

1. la communication vise un professionnel de la santé de l’équipe de soins du patient ;

2. la communication vise les seuls renseignements de santé nécessaires à la prestation de soins aux services par ce professionnel.

Bien que le médecin puisse donc présumer d’un consentement implicite de son patient, il devra respecter toute manifestation d’un refus de divulgation de sa part. La confiden­tialité des données étant régie par le patient, lui seul peut y renoncer en l’absence d’une disposition législative ou d’un ordre d’un tribunal autorisant la divulgation des données sans son consentement. Heureusement, les DME permettent de gérer les profils d’accès et de les restreindre selon la volonté exprimée par le patient.

Plusieurs médecins nous ont fait part de l’étonnement de certains patients concernant le partage de leur DME par des professionnels de sites cliniques différents. Pour ces patients, le concept de GMF n’est pas clair. Il y a donc également lieu de tenir compte de ce que les patients peuvent raisonnablement comprendre et anticiper. Ceci met en relief l’importance d’éduquer et d’informer les patients sur l’utilisation du DME. Plus le patient est bien informé, plus on pourra présumer de son consentement implicite (encadré).

Consentement explicite

Un consentement explicite du patient est nécessaire pour autoriser la divulgation de renseignements personnels à des tiers qui ne font pas partie du « cercle de soins » du patient et chaque fois que la divulgation ne vise pas une prestation de soins ou des services de santé.

Pour être valide, le consentement doit satisfaire à certains critères :

h il doit être manifeste, c’est-à-dire évident, certain et indiscutable ;

h il doit être libre, c’est-à-dire être donné sans contrainte ;

h il doit être éclairé, c’est-à-dire précis, rigoureux et spécifique. À cette fin, la personne doit avoir reçu toute l’information nécessaire concernant les renseignements deman­dés (par qui, pourquoi et à quelle fin). Ce n’est qu’avec ces informations qu’elle est en mesure d’établir la portée du consentement donné ;

h il doit être donné à des fins spécifiques et pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé. La durée n’est pas obligatoirement liée à un nombre de jours, de mois, ou d’années, mais pourra faire référence à un événement précis ou à une situation donnée.

Un consentement n’est pas permanent et il peut être retiré en tout temps par une personne.

Les divulgations sans le consentement du patient

Plusieurs dérogations au secret professionnel sont autorisées par des lois du Québec et permettent la transmission de renseignements sans le consentement du patient. C’est le cas notamment dans les situations suivantes :

h transmission de renseignements relatifs à un signalement à la demande du Directeur de la protection de la jeunesse (Loi sur la protection de la jeunesse, articles 35.4 et 36) ;

h transmission d’un avis de décès à un coroner (Loi sur la recherche des causes et des circonstances de décès, articles 34, 48.1 et 49) ;

h transmission d’une déclaration de maladies à déclaration obligatoire à un directeur de la santé publique (Loi sur la santé publique, article 93) ;

h transmission de rapports à un représentant de la Commission des normes, de l'équité, de la santé et de la sécurité au travail.en application des lois et règlements (Loi sur la santé et la sécurité au travail, article 173) ;

h transmission de tout renseignement demandé par le syndic ou un syndic adjoint du Collège des médecins à la suite d’un signalement (Code de déontologie des médecins, article 120).

Cette liste n’est pas exhaustive. Par ailleurs, on ne peut raisonnablement s’attendre à ce qu’un médecin connaisse toutes les exceptions contenues dans les lois du Québec. Pour cette raison, le médecin qui reçoit une demande d’accès d’un tiers devrait aller chercher des conseils auprès de l’Association canadienne de protection médicale pour apprécier le bien-fondé de la demande et la portée de la divulgation autorisée.

Soyez alerte

En principe, les demandes d’accès au DME sont explicites et ne passent pas inaperçues. Cependant, vous devez faire preuve de vigilance, car il semble qu’une application introduite récemment dans un DME permettait à un tiers d’accéder au dossier sans le consentement préalable des médecins et des patients. Cette situation déviante ne répond pas aux normes d’homologation et de certification des DME. Il y a lieu d’être vigilant lors de l’introduction de toute nouvelle fonctionnalité dans vos DME pour assurer la protection de la confidentialité des DME de vos patients. Posez-vous un certain nombre de questions, comme :

h Quelle est la raison d’être de cette nouvelle fonctionnalité ?

h A-t-elle pour objet de faciliter les soins et services à mes patients ?

h Sert-elle véritablement les intérêts de mes patients ou de tiers ?

h Ai-je été adéquatement informé sur sa raison d’être et son fonctionnement ?

h Cette fonctionnalité permet-elle à des tiers, soit des personnes qui ne participent pas aux soins prodigués aux patients, d’avoir accès à des renseignements du DME, de les utiliser ou de les conserver ?

h Si oui, à quels renseignements ont-ils accès, à quelles fins et selon quelles modalités ? Les renseignements auxquels ils ont accès sont-ils nécessaires ?

h Ai-je obtenu un consentement explicite de chacun de mes patients pour utiliser cette fonctionnalité et communiquer ces renseignements à des tiers ?

h S’agit-il d’un consentement manifeste, libre, éclairé et donné à des fins spécifiques pour une période circonscrite ?

En bref, ne tenez rien pour acquis. Posez des questions et assurez-vous de comprendre les enjeux associés. Il vous appartient de protéger les renseignements personnels de vos patients ! //