Article – détails



Article

Alberta : Questions relatives à la protection de la vie privée et aux appareils informatiques portatifs

Date

7 mars 2007

AUTEUR(s)

Cappone D'Angelo
Catherine M. Samuel


Dans notre dernier numéro, nous avons traité de certaines questions et obligations juridiques liées à la perte ou au vol de renseignements personnels et d’autres données mobiles. Dans une récente décision, le commissaire à l’information et à la protection de la vie privée de l’Alberta a jugé que la Calgary Health Region (CHR) contrevenait à la loi de la province intitulée Health Information Act. Cette conclusion faisait suite à l’enquête entourant le vol de l’ordinateur portatif d’un thérapeute en santé mentale.

Le portable contenait une base de données sur plus d’un millier de patients actuels et passés − tous des enfants de moins de six ans − inscrits au programme coopératif en santé mentale de la CHR. L’ordinateur a été volé dans le domicile fermé à clé du thérapeute.

La CHR, de sa propre initiative, a signalé l’incident au Bureau du commissaire et a aussitôt pris des mesures pour aviser les personnes concernées. La CHR installe actuellement un logiciel de chiffrement dans ses secteurs commerciaux où des ordinateurs portatifs contenant des renseignements médicaux et d’autres renseignements sensibles sont utilisés.

La CHR installe également une technologie d’appel automatique sur les ordinateurs portatifs à haut risque, faisant en sorte que les ordinateurs portatifs volés envoient automatiquement un signal à la CHR à la première connexion à Internet. Jusqu’à la mise en place complète de la solution de chiffrement, les employés participant au programme utiliseront la technologie de réseau virtuel privé (RVP) pour accéder à la base de données à distance au moyen d’une connexion Internet chiffrée.

Le point de vue de McCarthy Tétrault :

Les provinces utilisent beaucoup les ordinateurs portatifs dans le secteur de la santé. Lorsqu’on a affaire avec des renseignements personnels et médicaux contenus dans des appareils portatifs, il est prudent de suivre les recommandations générales formulées par le Bureau du commissaire au sujet des appareils informatiques portatifs :

  • Procéder à une étude d’impact sur la vie privée (qui devrait inclure une évaluation des risques pour la sécurité) avant d’utiliser des appareils informatiques portatifs;
  • Ne pas stocker de renseignements personnels ou médicaux sur des appareils informatiques portatifs, sauf absolue nécessité − opter plutôt pour des technologies qui permettent un accès à distance sécurisé au réseau et aux données;
  • S’il faut stocker des renseignements personnels ou médicaux sur un appareil portatif, utiliser le chiffrement pour protéger les données − la protection par mot de passe ne suffit pas;
  • Limiter au minimum la quantité de renseignements personnels ou médicaux stockés sur des appareils informatiques portatifs, en fonction des besoins de gestion;
  • Vérifier périodiquement la conformité de vos pratiques aux politiques pour s’assurer de leur efficacité;
  • Donner au personnel une formation spécialisée sur les appareils informatiques portatifs, pour s’assurer qu’ils comprennent les risques associés et qu’ils savent comment protéger leur matériel.

Comme l’utilisation des ordinateurs portatifs pour le stockage de données confidentielles s’est généralisée, toutes les entreprises, même celles qui ne sont pas dans le secteur de la santé, ont intérêt à se pencher sur les incidences de cette décision sur leurs affaires.

Expertise