Babylon Health, fournisseur de services de santé en ligne, a développé une application qui met en relation les médecins et d’autres professionnels de la santé avec les patients grâce à des consultations vidéo ou audio à distance. Babylon Health est l’un des nombreux acteurs du marché mondial croissant des soins de santé virtuels, motivé par le désir de changement dans la prestation des soins de santé.
À la lumière de la pandémie de COVID-19, la demande de plateformes de soins de santé virtuels telles que les applications a augmenté de manière exponentielle. Cependant, l’utilisation croissante des plateformes de soins de santé virtuelles n’est pas sans risques. Le 9 juin 2020, Babylon Health a informé que son application avait subi une violation de données. L’un des utilisateurs de Babylon Health basés au Royaume-Uni a découvert qu’il avait accès à un enregistrement vidéo d’une consultation entre un médecin et un patient. La violation de Babylone a résulté d’une erreur de logiciel plutôt que d’une attaque malveillante et Babylon Health a pu résoudre le problème rapidement. Babylon Health a déclaré qu’un nombre limité d’utilisateurs au Royaume-Uni étaient touchés par le problème du logiciel, ce qui a conduit un utilisateur à visionner la première partie d’une consultation vidéo d’un autre utilisateur.
L’utilisation croissante des plateformes de soins de santé virtuels soulève des questions et des préoccupations au sujet de la protection des renseignements personnels sur la santé et de l’application de la législation sur la protection de la vie privée. Plus précisément, que se passe-t-il si une plateforme ou une application de soins de santé virtuelle subit une atteinte à la protection des données en Alberta? Qui porte la responsabilité d’un tel risque?
Les résidents de l’Alberta peuvent accéder virtuellement aux soins de santé, soit par l’entremise de telehealth services fournis par Alberta Health Services, soit par le biais d’applications développées en privé comme l’application Babylon. Les plateformes virtuelles permettent aux professionnels de la santé d’interagir avec les patients en temps réel sans nécessiter d’interaction physique, ce qui a un attrait évident lors d’un pandémie.
Ci-dessous, nous nous concentrons sur les applications qui sont conceptuellement similaires à l’application Babylon pour examiner comment les lois sur la protection de la vie privée s’appliqueront aux résidents et aux médecins de l’Alberta qui utilisent la technologie de soins de santé virtuels. Cependant, la législation et les risques discutés ci-dessous s’appliqueront probablement à d’autres plateformes virtuelles qui relient les patients et les médecins.
La Health Information Act (HIA), RSA 2000, c H-5, énonce les règles qui s’appliquent à la collecte, à l’utilisation, à la divulgation et à la protection des renseignements sur la santé en Alberta.
En vertu de l’EIS, le « dépositaire » des renseignements sur la santé a l’obligation de protéger ces renseignements. Pour les applications de soins de santé similaires à l’application Babylon, le médecin agréé fournissant des services de santé serait généralement le gardien des « informations de santé » partagées sur l’application (En tant que membres réglementés du College of Physicians and Surgeons of Alberta, les médecins sont les dépositaires de renseignements sur la santé en vertu de l’EIS; voir Règlement sur les renseignements sur la santé, Registre de l’Alberta 70/2001, s2(2)(i)). Les renseignements sur la santé saisissent les dossiers médicaux consultés au moyen de l’application, y compris les notes de consultation, les ordonnances ou les renvois. Les consultations vidéo ou audio des médecins qui sont enregistrées et accessibles au moyen de l’application constitueraient également des renseignements sur la santé en vertu de l’EIS.
Tout comme les médecins qui fournissent des services en personne, les médecins qui fournissent des services de santé virtuels ont le devoir de prendre des mesures raisonnables pour maintenir des mesures de protection appropriées afin de protéger les renseignements des patients partagés au moyen d’applications ou d’autres plateformes virtuelles (EIS, article 60). En tant que gestionnaires de l’information qui traitent et stockent les renseignements sur la santé, le fournisseur de l’application serait une « affiliée » du dépositaire (par. 1(1)a)(iv) et 66(1)). Bien que l’affilié dote doit se conformer à l’EIS et s’assurer que les renseignements sur la santé sont protégés, le dépositaire demeure ultimement responsable de la conformité à l’EIS (par. 66(6)). Par conséquent, toute atteinte à la vie privée pourrait entraîner une responsabilité à la fois pour le dépositaire et pour la société affiliée. Par conséquent, alors que les utilisateurs de l’application donnent leurs informations de santé à un affilié (par exemple, en remplissant des formulaires ou en fournissant des antécédents médicaux via l’application), aux fins de l’EIS, un utilisateur de l’application sera considéré comme ayant fourni les informations directement au médecin. Un médecin doit prendre des mesures raisonnables pour s’assurer que ces renseignements sont protégés.
Si une atteinte à la protection des données se produit sur une plateforme de soins de santé virtuelle entraînant la divulgation non autorisée de renseignements permettant d’identifier individuellement des renseignements sur la santé, l’affilié (c.-à-d. le fournisseur de l’application) doit en aviser le dépositaire (c.-à-d. le ou les médecins ou d’autres dépositaires comme les Services de santé de l’Alberta, selon le cas) dès que possible. Sous réserve de certaines exceptions, le gardien doit alors aviser :
En somme, si une violation de données se produit (que ce soit par une action malveillante, une erreur, un problème logiciel ou autre) et que des informations de santé sont divulguées, le médecin fournissant des services via une plate-forme virtuelle porte la responsabilité de la violation.
L’EIS n’exige pas une norme de perfection; les médecins ont le devoir de prendre des mesures raisonnables pour s’assurer que des mesures de protection appropriées sont en place. Malgré la prise de mesures raisonnables pour protéger les renseignements, des atteintes à la vie privée peuvent encore se produire.
En cas d’atteinte à la vie privée, le commissaire déterminera si le dépositaire et, par extension, la société affiliée, ont pris des mesures raisonnables et examinera (entre autres choses) l’évaluation des facteurs relatifs à la vie privée fournie par le dépositaire (comme l’exige le par. 64(1)), les politiques en place et les ententes de gestion de l’information avec la société affiliée (comme l’exige l’article 66). Les tribunaux ont le pouvoir d’exécuter les ordonnances du commissaire. Un gardien peut être reconnu coupable d’une infraction ou condamné à une amende conformément à l’EIS (article 107), si un tribunal détermine qu’un gardien :
Les lois sur la protection des renseignements personnels du secteur privé de l’Alberta, la Personal Information Protection Act (PIPA), SA 2003, c P-6.5., peuvent également s’appliquer aux atteintes à la protection des données qui se produisent par l’intermédiaire de plateformes de soins de santé virtuelles, comme les applications, que l’atteinte soit ou non liée à des renseignements sur la santé. Dans ce cas, l’application ou le fournisseur de services virtuels serait probablement responsable de toute atteinte à la vie privée entraînant la divulgation de renseignements personnels.
Si la plateforme de soins de santé virtuelle transfère ou finit par stocker des renseignements personnels ou des renseignements sur la santé à l’extérieur de l’Alberta, la protection de ces renseignements peut également être assujettie aux lois de la juridiction où ces données sont finalement transférées ou stockées. De plus, les lois fédérales sur la protection des renseignements personnels, comme la Loi sur la protection des renseignements personnels et les documents électroniques, LS 2000, ch. 5, peuvent s’appliquer. Si des renseignements sont transférés à l’extérieur du Canada, d’autres lois peuvent s’appliquer en fonction de l’endroit où les renseignements sont finalement transférés.
Les services de soins de santé virtuels, comme les applications de consultation vidéo, présentent une occasion de réduire ou d’éliminer les obstacles à l’accès aux ressources de soins primaires. Cependant, à mesure que l’utilisation de la médecine virtuelle continue de croître, les risques soulignés ci-dessus continueront de jouer un rôle clé dans le niveau d’adhésion des médecins et de dépendance du public à l’égard des plateformes de soins de santé virtuelles.
La violation de Babylon souligne la réalité que, en fin de compte, les violations de données peuvent se produire indépendamment des mesures prises par les plates-formes de soins de santé virtuelles pour sécuriser les informations et les données sensibles. Une prise de conscience des risques, jumelée à l’élaboration d’un plan d’action qui est en place avant qu’une atteinte à la protection des données ne se produise, peut servir à atténuer les risques juridiques associés aux atteintes à la protection des données.
Avant d’entrer dans cet espace, les médecins et les entreprises qui développent des plateformes de soins de santé virtuelles devraient examiner attentivement l’applicabilité de la législation sur la protection de la vie privée et accorder la priorité à l’élaboration de stratégies d’atténuation conçues pour réduire ou éliminer le risque associé à l’utilisation et au transfert d’informations sensibles sur des plateformes virtuelles.
Si vous ou votre organisation avez des questions concernant la confidentialité et la technologie des soins de santé virtuels, veuillez contacter les auteurs ou les membres de notre