Annonce

Le Commissariat est satisfait des mesures de redressement mises en œuvre par une société de gestion des REEE qui recueillait et utilisait les données de patientes de la maternité d’un hôpital sans leur consentement

Le 24 janvier 2017

Une société de gestion de régimes enregistrés d’épargne-études (REEE) dont la représentante recueillait et utilisait les renseignements personnels de patientes sans leur consentement a mis en œuvre les recommandations formulées par le Commissariat à la protection de la vie privée du Canada.

Une enquête menée auprès de la Corporation REEE Global (Global) a révélé que la société avait contrevenu à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada, lorsqu’elle a recueilli, utilisé et communiqué les renseignements personnels de la plaignante, une patiente de la maternité d’un hôpital de Toronto, sans le consentement de cette dernière.

L’enquête a également révélé que les politiques et les procédures mises en place par Global ainsi que la formation offerte à ses employés n’étaient pas suffisantes pour assurer que ses représentants obtenaient les coordonnées d’éventuelles clientes en conformité avec la LPRPDE.

Global a accepté de mettre en œuvre les recommandations formulées par le Commissariat.

Un an après la publication du rapport de conclusions, Global a confirmé qu’un tiers indépendant avait effectué une vérification et certifié que les mesures de responsabilisation de Global étaient assez efficaces pour fournir l’assurance raisonnable que les renseignements personnels traités par la société étaient recueillis et utilisés en conformité avec la LPRPDE.

Le Commissariat a également reçu copie du rapport de vérification produit par le tiers indépendant. À la lumière des mesures prises par Global, il juge que la société a donné suite à ses recommandations.

L’enquête a été menée en collaboration avec le Commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP), dont la compétence s’étend aux hôpitaux de l’Ontario en vertu de la Loi sur la protection des renseignements personnels sur la santé de l’Ontario (LPRPS). L’enquête du CIPVP a fait ressortir que l’hôpital Rouge Valley n’avait pas mis en place les mesures de précaution d’ordre pratique et administratif raisonnables pour protéger les renseignements des patientes. Le CIPVP, qui a émis une ordonnance en vertu de la LPRPSO [en anglais seulement], a indiqué que l’hôpital a depuis pris des mesures pour corriger les lacunes mises au jour par l’enquête du CIPVP et a rempli les conditions requises par l’ordonnance.

Ces enquêtes témoignent de la capacité des autorités fédérales et provinciales à travailler ensemble pour s’attaquer aux questions importantes liées à la protection de la vie privée et à la LPRPDE qui relèvent de plusieurs ordres de gouvernement et qui ont une incidence sur le public.

Date de modification :