auxlo
Start free assessment
Vie privée en santé en Ontario

La conformité à la LPRPS pour les dépositaires et les fournisseurs de technologies de la santé.

La Loi sur la protection des renseignements personnels sur la santé de l'Ontario est l'un des régimes de vie privée les plus prescriptifs au Canada. Nous aidons les dépositaires de renseignements sur la santé et les fournisseurs qui les servent à bâtir des programmes LPRPS qui résistent à l'examen du CIPVP, sans bloquer les opérations cliniques ou produits.

Book a 30-min scoping callRun a free self-assessment
Amendes organisationnelles jusqu'à
1 000 000 $
Signalement des atteintes
Obligatoire au CIPVP
Portée
Dépositaires et mandataires

Ce que la LPRPS exige concrètement

La LPRPS régit la collecte, l'utilisation et la communication de renseignements personnels sur la santé par les dépositaires en Ontario. Les obligations principales : consentement éclairé (exprès pour la plupart des communications, implicite dans le cercle des soins), désignation d'une personne-ressource, pratiques d'information écrites, mesures de protection proportionnelles à la sensibilité, droits d'accès et de correction des personnes, discipline de conservation, journalisation de tous les accès aux dossiers électroniques et signalement obligatoire des atteintes dans les cas définis.

Les mandataires, y compris les fournisseurs de services électroniques et les fournisseurs de technologies de la santé, ne peuvent traiter les RPS au nom du dépositaire qu'en vertu d'une entente écrite qui répercute des obligations équivalentes à celles de la LPRPS. Le dépositaire demeure responsable.

Où les programmes LPRPS échouent habituellement

  • Journaux d'audit que personne ne consulte. La LPRPS exige la journalisation des accès aux RPS électroniques et un processus pour détecter et corriger les accès non autorisés. Le CIPVP a rendu des ordonnances précisément à ce sujet.
  • Ententes avec les mandataires sans répercussion des obligations LPRPS. Des contrats de fournisseurs qui protègent la propriété intellectuelle mais pas les RPS, sans clause de notification des atteintes.
  • Demandes de verrouillage traitées de façon ad hoc. Les personnes peuvent restreindre la communication; la réponse technique et procédurale doit être conçue à l'avance.
  • Réponse aux atteintes sans critères CIPVP. Les dépositaires ne savent pas quand le signalement est obligatoire ou discrétionnaire.
  • Produits de technologies de la santé conçus sans égard à la LPRPS. Des flux de données, des paramètres de conservation et des fonctionnalités analytiques qui créent une responsabilité pour le dépositaire après le déploiement.

Comment nous travaillons avec les fournisseurs de technologies de la santé

Pour les fournisseurs qui développent des produits utilisés par des dépositaires ontariens, la conformité à la LPRPS est une exigence commerciale. L'approvisionnement hospitalier pose des questions précises : résidence des données, normes de chiffrement, journalisation des audits, SLA de notification des atteintes, contrôles des sous-traitants, conditions des ententes avec les mandataires et preuve de formation du personnel.

Nous aidons les fournisseurs à se préparer : documentation sur la vie privée et la sécurité, gabarit d'entente avec les mandataires défendable, contrôles techniques alignés aux attentes du CIPVP et artefacts demandés par les équipes d'approvisionnement des dépositaires.

La LPRPS et l'IA dans les soins de santé

Les outils IA, qu'il s'agisse d'aide à la décision clinique, de scribes ambiants ou de robots de triage, touchent les RPS par nature. Nous jumelons les revues LPRPS à notre travail de gouvernance IA (ISO/CEI 42001, NIST AI RMF) pour que la documentation des modèles, la surveillance des biais et les contrôles de supervision humaine soient intégrés au programme de vie privée dès le premier jour.

FAQ

Common questions

Qui est assujetti à la LPRPS?
La Loi sur la protection des renseignements personnels sur la santé de l'Ontario s'applique aux dépositaires de renseignements sur la santé, notamment les hôpitaux, les médecins, les pharmacies, les établissements de soins de longue durée, les soins communautaires, les laboratoires et la plupart des autres fournisseurs de soins de santé réglementés, ainsi qu'à leurs mandataires et fournisseurs de services électroniques. Les fournisseurs de technologies de la santé qui traitent des RPS au nom d'un dépositaire héritent des obligations par le biais de leurs contrats.
Quelles sont les sanctions prévues par la LPRPS?
Les personnes physiques risquent des amendes pouvant atteindre 200 000 $ et/ou un an d'emprisonnement; les organisations risquent des amendes pouvant atteindre 1 000 000 $. Le Commissaire à l'information et à la protection de la vie privée de l'Ontario (CIPVP) enquête et ordonne des mesures correctives. Le signalement obligatoire des atteintes au CIPVP et aux personnes concernées s'applique dans les cas définis.
Devons-nous signaler les atteintes au CIPVP?
Oui, dans les cas définis : vol ou perte de RPS, utilisation ou communication non autorisée, utilisation non autorisée ultérieure, série d'atteintes similaires, mesures disciplinaires contre un mandataire ou atteinte importante par son ampleur ou sa sensibilité. Le CIPVP exige également un rapport statistique annuel sur les atteintes.
Comment la LPRPS interagit-elle avec la LPRPDE?
La LPRPS de l'Ontario est déclarée essentiellement similaire à la LPRPDE pour les renseignements sur la santé traités par des dépositaires en Ontario. La LPRPDE s'applique toujours aux activités commerciales hors de la relation dépositaire et aux flux de données interprovinciaux. La plupart des fournisseurs de technologies de la santé en Ontario sont conçus pour satisfaire aux deux lois.
Qu'en est-il des autres provinces?
Chaque province a sa propre loi sur la vie privée en matière de santé : la HIA en Alberta, la LPRPS au Manitoba et au Nouveau-Brunswick, la Loi sur les renseignements médicaux en Nouvelle-Écosse, et ainsi de suite. Au Québec, les renseignements sur la santé sont régis par la Loi sur les services de santé et les services sociaux. Nous adaptons les programmes aux provinces dans lesquelles vous exercez vos activités.

Your next enterprise contract is waiting on this.

  • Flat fee, total cost known up front
  • Canadian data residency available on paid engagements
Book a free intro call