La recherche dans le domaine de la protection des renseignements personnels sur la santé

Observations faites au Symposium de lAtlantique sur la protection de la vie privée dans les services de santé et la recherche en politiques

St-Jean (Terre Neuve et Labrador)
Le 20 avril 2009

Allocution de Sandy Hounsell
Analyste principal, Recherche, sensibilisation et engagement

(La version prononcée fait foi)

---

Introduction

Je suis très heureux daborder avec vous aujourdhui un sujet dune importance capitale. Ce sujet est profondément inscrit dans la psyché des Canadiennes et des Canadiens, quels que soient leurs antécédents, leur origine ethnique, leur situation sociale et économique, leur religion et même leur allégeance politique; je veux parler, bien entendu, des renseignements personnels sur la santé. Comme le disait George William Curtis, « Le bonheur, cest dabord et avant tout la santé ». Bien que nous soyons nombreux, particulièrement si nous sommes jeunes, à ne pas penser à notre santé tous les jours de notre vie, nous tous ici présents avons déjà eu affaire, dune manière ou dune autre, au système de santé. Dans lunivers technologique où nous vivons, il ne fait aucun doute que les renseignements sur la santé sont plus présents, plus facilement transférables et plus accessibles et, de ce fait, plus vulnérables quavant. Cest pour cette raison que jaimerais partager avec vous certaines réflexions sur la sécurité et la confidentialité de nos renseignements médicaux, surtout compte tenu de la croissance rapide et de la popularité grandissante des dossiers de santé électroniques.

Mais avant de commencer, jaimerais remercier lAtlantic Regional Training Centre qui a organisé cet événement inaugural et tout particulièrement Cathy Peyton qui, je le sais, a travaillé sans relâche à ce projet. En parcourant le programme, je constate que le Centre a réussi à réunir des conférenciers extrêmement compétents et respectés qui aborderont divers sujets liés à la santé.

La protection de la vie privée dans un contexte plus large

En octobre dernier, notre commissaire adjointe, Elizabeth Denham, a prononcé un discours au Nouveau-Brunswick à loccasion du Colloque sur la protection de la vie privée, la sécurité et la confiance, auquel certains dentre vous ont participé au Nouveau-Brunswick. Dans son exposé, Mme Denham a fait référence à louvrage de Ronald Wright intitulé « Brève histoire du progrès ». Dans ce livre, lauteur nous rappelle que lâge de la pierre taillée couvre toute la période allant de lapparition des hominidés fabricants doutils, il y a environ trois millions dannées, à la fin de lère glaciaire, il y a quelque 12 000 ans, ce qui représente plus de 99,5 p. 100 de lexistence de lhumanité. Durant cette longue période, les changements survenaient à un rythme tellement lent que des traditions culturelles entières se perpétuaient de génération en génération presque telles quelles. Un nouveau style ou une nouvelle technique pouvait prendre 100 000 ans à se développer. Le rythme sest finalement accéléré pour atteindre 10 000 ans, puis quelques milliers dannées et la vitesse folle de quelques siècles! En essence, le monde dans lequel nous naissons était pratiquement identique au monde dans lequel nous mourions.

Pensons maintenant au monde daujourdhui. Est-il le même quà notre naissance? Absolument pas! Pour la plupart, nous sommes tous nés avant lavènement dInternet, à une époque où il était impensable de stocker le dossier médical de plusieurs milliers de personnes sur un objet de la grosseur dun trousseau de clefs. Retournez 20 ans en arrière. Auriez-vous pu imaginer que toute votre histoire médicale puisse être transférée instantanément nimporte où au pays, ou que votre pharmacien soit en mesure de télécharger votre dossier sur son ordinateur de bureau au moment dexécuter vos ordonnances?

La vérité, cest que la technologie génère des changements à la vitesse de léclair et quil est quasiment impossible de suivre la cadence.

Je ne veux toutefois pas insinuer que nous devrions revenir à lâge de pierre. En réalité, le Commissariat appuie les avancées technologiques en général et dans le milieu des soins de santé en particulier. Notre rôle, cependant, est de veiller à ce que la protection de la vie privée demeure au centre des préoccupations et devienne une composante importante des technologies au fur et à mesure de leur conception. Pour citer notre commissaire adjointe : « Nous ne pouvons pas fermer les yeux sur les préoccupations en matière de protection de la vie privée que la mise en Suvre de nouvelles technologies suscite. »

Ces considérations sappliquent particulièrement à lélaboration des dossiers de santé électroniques (DSE). Bien que, fait quelque peu ironique, le passage des dossiers papier aux dossiers électroniques a été amorcé il y a bon nombre dannées, cela nen demeure pas moins une réalité. Le Commissariat est davis que les DSE peuvent améliorer les soins de santé et rendre le système plus efficace, mais il pense aussi quils soulèvent des questions de protection de la vie privée très importantes. Le rapport définitif du Conseil consultatif sur linfostructure de la santé affirmait, il y a dix ans, que sans « un respect minimal de la protection des renseignements médicaux des individus, le public perdra confiance dans le système dinformation sur la santé ». Cette remarque demeure dactualité. En mars 2007, le Commissariat a commandé un sondage EKOS sur les attitudes envers les questions de protection de la vie privée. Environ 60 p. 100 des personnes interrogées affirmaient alors que linformation sur la santé était lun des types de renseignements personnels quil était le plus important de protéger au moyen de ladoption de lois. Pourtant, seulement une légère proportion de Canadiennes et de Canadiens  17 p. 100  était davis que le gouvernement prend la protection des renseignements personnels au sérieux. Le niveau de confiance à légard des entreprises  13 p. 100  était encore plus bas. Il est évident que linformation sur la santé est la plus délicate. Cest celle qui en révèle le plus sur qui nous sommes.

Lois fédérales

Je ne vous apprendrai rien en vous disant que les lois canadiennes sont loin dêtre simples. Avec 10 provinces, trois territoires et un gouvernement central, la seule constante dans les lois canadiennes est leur manque duniformité.

À léchelon fédéral, le Commissariat surveille lapplication de deux lois : la Loi sur la protection des renseignements personnels (LPRP) et la Loi sur la protection des renseignements personnels et des documents électroniques (LPRPDE). La Loi sur la protection des renseignements personnels (qui sapplique au secteur public fédéral) date du temps où les fonctionnaires utilisaient encore des machines à écrire et, malheureusement, elle ne fait pas le poids face aux changements technologiques. Vous pouvez facilement imaginer les casse-tête que pose cette loi complètement désuète quand les ministères fédéraux qui offrent des services de santé à des groupes comme les Premières nations, les anciens combattants, les membres des forces armées et de la gendarmerie royale essaient dimplanter les DSE. Malgré les lacunes de la loi, le Commissariat continue de surveiller la situation et entend maintenir la protection de la vie privée au sommet de ses priorités.

En ce qui concerne le secteur privé, la LPRPDE sapplique partout au pays, sauf dans les provinces qui ont adopté une loi essentiellement similaire. Il sagit de la Colombie-Britannique, de lAlberta, du Québec et de lOntario (renseignements sur la santé seulement). Pour ce qui est des soins de santé dans le secteur privé, la LPRPDE sapplique aux renseignements personnels recueillis, utilisés et communiqués par les médecins, les laboratoires, les pharmaciens et les autres fournisseurs de soins de santé, dans le cadre dune activité commerciale. Ici, à Terre-Neuve-et-Labrador, la Personal Health Information Act a été adoptée par le Parlement, mais elle na pas encore été proclamée. Une fois quelle entrera en vigueur et si elle est déclarée essentiellement similaire à la loi fédérale, les renseignements sur la santé relèveront de la loi provinciale et non plus de la LPRPDE. Il est aussi important de noter, cependant, que chaque fois quun organisme communique des renseignements personnels dans le cadre dune activité commerciale transfrontalière, la LPRPDE sapplique et a préséance sur toutes les lois provinciales existantes en la matière.

Maintenant que ces notions sont bien claires, jaimerais faire quelques commentaires généraux sur la LPRPDE et son incidence dans le domaine des soins de santé. Dabord et avant tout, nous pensons que la Loi ne pose pas dobstacle à la circulation des renseignements dans une perspective de soins et de traitement des patients, à condition que ceux-ci soient manipulés comme il se doit. Par ailleurs, nous appuyons la notion de consentement implicite dans le contexte des soins de santé, à condition que le patient soit avisé. Ce qui nous inquiète, cependant, ce sont les questions non résolues liées à la circulation des renseignements sur la santé entre les territoires et la protection non uniforme des patients dans lensemble du pays. Beaucoup reste à faire à ce chapitre.

Pour en revenir au DSE, le Commissariat croit également que beaucoup de chemin reste à parcourir en ce qui a trait à la reddition de comptes, à la transparence à légard des patients, à laccès non autorisé, aux portails de patients et, bien entendu, aux utilisations secondaires. Je suis convaincu que ce dernier point intéressera bon nombre dentre vous. Essentiellement, le Commissariat croit que les malades méritent quon leur explique clairement ce qui arrive à leurs renseignements médicaux dans linfostructure des DES, de même que les options dont ils disposent pour contrôler qui peut y avoir accès. Nous savons que les passions sont exacerbées des deux côtés. Plus tôt ce mois-ci, la British Columbia Civil Liberties Association a affirmé que les DSE représentaient une « menace sérieuse » à la protection des renseignements médicaux et des droits des patients, tandis que le ministre de la Santé répète que les dossiers électroniques seront mieux protégés que les dossiers papier. Le débat fait aussi rage aux États-Unis, où un projet de loi prévoit une aide financière pour les médecins et les hôpitaux qui auront numérisé leurs dossiers de santé avant 2014. Ce projet de loi permettra aussi la vente des dossiers médicaux à des fins de santé publique et de recherche. Le 24 février, le président Obama a dit au Congrès que le plan de sauvetage du Congrès investira dans les dossiers de santé électroniques et toute nouvelle technologie qui réduira les erreurs et les coûts, assurera le respect de la vie privée et sauvera des vies. LInstitute for Health Freedom, dautre part, a indiqué que la loi ne garantit aucunement que les personnes ne possèdent et ne contrôlent leurs renseignements génétiques pas plus que leurs autres renseignements médicaux personnels. Le Congrès devrait donc sempresser de garantir les droits de propriété et le plein contrôle des Américains sur leurs renseignements médicaux personnels compte tenu de ladoption imminente de systèmes de DSE.

Ces polémiques mises à part, jespère que nous conviendrons au moins quil faut déployer beaucoup defforts pour établir un sain équilibre entre la protection de la vie privée des patients et laccès aux renseignements personnels pour des utilisations secondaires.

Bien que le Commissariat ne puisse renoncer à son indépendance en intervenant activement dans le processus délaboration des politiques gouvernementales, il accueille favorablement toutes les occasions de fournir des commentaires à titre de défenseur de la vie privée et en finançant la recherche privée dans le domaine de la protection des renseignements sur la santé par le biais de son Programme des contributions.

Par exemple, le Programme a permis de financer une partie des recherches effectuées par Don Willison sur les utilisations secondaires des renseignements personnels contenus dans les DSE. Dans son analyse, le professeur Willison considère la recherche observationnelle en santé et la protection des renseignements personnels comme des biens publics. Cependant, étant donné la tension et les défis inhérents à la coexistence pacifique de ces deux notions, il conclut que « les changements marginaux sont nettement insuffisants ».

Nous avons versé des fonds à lUniversité Memorial pour quelle examine les choix en matière de technologie et la politique de protection de la vie privée dans le domaine des soins de santé. Ce rapport, comme plusieurs autres, se trouve sur notre site web.

Nous avons aussi accordé des fonds au Centre for Innovation Law and Policy de lUniversité de Toronto pour quil examine comment les intérêts publics dans la recherche médicale sont évalués et mesurés par rapport aux intérêts des personnes en matière de protection de la vie privée dans le contexte de laccès aux données de recherche génétique. Nous attendons avec impatience les résultats de cette étude.

Recherche et protection de la vie privée

Jaimerais maintenant discuter de la recherche et, en particulier, de laccès aux renseignements médicaux personnels à des fins de recherche. Il est important de mentionner que le conseil consultatif dont jai parlé plus tôt avait envisagé dès le départ que les systèmes de DSE serviraient à la fois aux soins de santé et à la recherche en santé. Comme tout le monde, je conçois que des DSE interopérables offriront dincroyables possibilités pour la recherche médicale et quétant donné les gains en rapidité et en efficacité quils permettront de réaliser, les Canadiennes et les Canadiens en sortiront gagnants. Il est tout aussi important de reconnaître, cependant, que notre système de santé repose sur la confiance. Les patients transmettent volontiers des renseignements médicaux délicats à leurs professionnels de la santé parce quils ont confiance que ces renseignements demeureront confidentiels et ne seront pas communiqués à lextérieur du milieu des soins de santé. Dans un récent sondage BBC World News America/Harris, on demandait aux gens daccorder une note de confiance à divers secteurs. Tout au haut de la liste venaient les professionnels de la santé, comme les médecins et les hôpitaux. Nous devons continuer dalimenter cette confiance, quelles que soient nos intentions, à défaut de quoi la quantité et la fiabilité des renseignements fournis par les patients pourraient sen trouver affectées, de qui ne pourrait faire autrement que de diminuer la qualité des soins de santé.

Fait intéressant, les systèmes de réseautage social se retrouvaient tout au bas de la liste.

Je reconnais la valeur de la recherche et je crois que le public en fait autant. Cest pourquoi je pense que la majorité des Canadiennes et des Canadiens acceptent dappuyer la recherche médicale, surtout quand ils sont convaincus quelle servira les intérêts du public et que les renseignements sont en sécurité. Cela ne veut pas dire, cependant, que les Canadiennes et les Canadiens renoncent à un contrôle rigoureux de leurs renseignements médicaux personnels. Cela veut tout simplement dire que nous devons unir nos forces pour encourager la recherche utile dune manière qui respecte le droit de chacun de déterminer qui utilise ces renseignements et de quelle manière. Il faut aussi être attentifs à la sécurité et à la protection des renseignements qui nous sont confiés. Sinon, nous allons inévitablement miner la confiance des gens dans le système en entier, ce qui est simplement inacceptable.

Lincident qui sest produit en janvier 2007 en Ontario illustre bien notre propos. Un médecin du Hospital for Sick Children a quitté lhôpital avec un ordinateur portable. Il a garé sa voiture dans un stationnement du centre-ville en laissant lordinateur entre les sièges. Quand il est revenu, lordinateur avait disparu, tout comme les renseignements médicaux personnels de près de 3000 patients participant ou ayant participé à des projets de recherche. Les politiques ont été resserrées à la suite de lincident. Six semaines plus tard, un autre professionnel de la santé du même hôpital a perdu un lecteur flash à laéroport. Ni lordinateur ni le lecteur nont été retrouvés, et les données quils contenaient navaient pas été chiffrées.

Après ces incidents, lhôpital a examiné ses bases de données et ses registres de recherche. Comme le mentionnait un récent article du journal The Telegram, seulement deux des 52 études examinées respectaient à 100 p. 100 les politiques.

Voici dautres exemples récents :

• Un entrepreneur du Provincial Public Health Lab de Terre-Neuve-et-Labrador qui avait apporté son portable à la maison a accidentellement exposé des renseignements médicaux confidentiels par sa connexion Internet;
• En avril 2008, un portable contenant les renseignements médicaux de 2500 patients inscrits à une étude des US National Institutes of Health a été volé. Ici encore, les renseignements (noms, diagnostics et résultats dimagerie cardiaque) nétaient pas chiffrés;
• En novembre, une clé USB a été volée dans le bureau dun employé dhôpital du Texas. La clé contenait les renseignements médicaux et financiers de 1200 porteurs du VIH, sidéens et autres. La clé nétait pas chiffrée ni protégée par un mot de passe;
• Ce mois-ci, on a appris quun médecin de lAlberta ayant fermé son bureau il y a deux ans avait laissé 3000 dossiers de patients dans les locaux abandonnés;
• Ce mois-ci toujours, lopposition au Nouveau-Brunswick a exigé la démission du ministre de la Santé après une troisième atteinte à la sécurité des dossiers de santé en un an à peine. Au cours du dernier incident, un employé dune autorité en matière de santé a perdu un bloc-notes électronique contenant les coordonnées de 203 personnes. Le ministère de la Santé na été informé que cinq semaines plus tard. Dans les deux autres incidents, des bandes électroniques avaient été perdues et des renseignements médicaux confidentiels sétaient retrouvés au verso dun devoir dun élève de 5e année.

Ce ne sont là que quelques exemples qui contribuent à miner la confiance des gens dans le secteur de la santé. En janvier de cette année, lAssociation médicale canadienne déclarait que les sondages dopinion des dix dernières années révélaient, année après année, que 11 p. 100 des répondants cachaient de linformation à leur médecin parce quils craignant quelle ne demeure pas confidentielle. LAlberta Medical Association a récemment exprimé des inquiétudes similaires en réaction au dépôt du projet de loi 52 : « Si les patients ne croient pas que nous pouvons protéger leur vie privée et sils pensent que nous pouvons être forcés de communiquer les renseignements quils nous confient, ils cesseront de nous dire tout ce que nous avons besoin de savoir pour poser le bon diagnostic et les soigner convenablement ». Dans un message sur notre blogue, une femme nous disait avoir perdu confiance dans le système médical. Par conséquent, elle se tenait aussi loin que possible des médecins et ne leur fournissait quun minimum de renseignements. Elle a fait cet aveu en réaction au rapport publié récemment par le Darmonth College des États-Unis qui affirmait que des données séchappaient de partout dans le secteur des soins de santé. Le mois dernier, neuf familles du Minnesota ont intenté une poursuite contre lÉtat pour empêcher que lADN de leur nourrisson soit prélevé à des fins de recherche.

De toute évidence, cest ce genre de situations que nous souhaitons tous éviter, et la dernière chose que nous voulons, cest que les patients cachent de linformation aux professionnels de la santé. La question se pose donc en ces termes : comment encourager et soutenir la recherche médicale tout en préservant un niveau acceptable de protection de la vie privée et de contrôle de la part du patient? Bien que des travaux prometteurs soient en cours dans ce domaine, travaux dont nous entendrons certainement parler dans les deux prochains jours, il reste énormément à faire dans ce domaine. Je ne prétends pas avoir toutes les réponses, mais le Commissariat croit quil est indispensable de se pencher sur des questions comme le consentement, la participation des patients, les mesures de sécurité techniques et lutilisation de données dépersonnalisées. Ce nest quà ces conditions que nous pouvons espérer que le public continuera de faire confiance au système de santé et que des recherches utiles pourront se poursuivre sans miner cette confiance.

Conclusion

En conclusion, je tiens à répéter que notre rôle en tant quorganisme fédéral de surveillance de la vie privée consiste à promouvoir lapplication de normes rigoureuses et uniformes à léchelle du Canada. Comme ladoption pancanadienne des DSE avance à grands pas, il est important de veiller à ce que cette rigueur et cette uniformité sappliquent à lensemble du secteur des soins de santé. Ce faisant, nous nessayons aucunement dempêcher ou de retarder ladoption des DSE. En fait, nous croyons que les DSE pourraient soulager notre système de santé rendu à bout et, en fin de compte, améliorer le traitement des patients.

Nous ne pouvons faire fi, toutefois, du fait quil y a bien trop dorganismes gouvernementaux et privés, tout bien intentionnés soient-ils, qui ne respectent pas la vie privée. Tout compte fait, ce qui risque le plus de nuire au succès des DSE en général et de la recherche en particulier, ce nest pas nécessairement la technologie, mais la perte de confiance attribuable au laisser-aller dans le domaine de la protection de la vie privée. Le Commissariat est enthousiaste à lidée de sassocier aux fournisseurs de soins de santé, aux chercheurs et à dautres parties concernées pour établir un système de soins de santé plus fort et plus perfectionné sur le plan technologique, dans le respect absolu de ce droit important entre tous, le droit à la vie privée.

Dans un récent article du Ottawa Citizen, Ian Kerr et Valerie Steeves de lUniversité dOttawa ont bien exprimé mon point de vue. Ils disaient que « même sil est vrai que les technologies émergentes façonnent et modulent nos valeurs jusquà un certain point, il est tout aussi vrai que nos valeurs les plus profondes devraient façonner et moduler les technologies émergentes ».

Je vous laisse sur cette dernière citation, dAlbert Einstein cette fois, qui disait que « si nous savions ce que nous faisons, ça ne sappellerait pas de la recherche ».

Je vous remercie et je vous souhaite une excellente conférence.