Conformité PHIPA en 2025 : Ce que les cliniques de santé ontariennes doivent vraiment faire
Les sanctions administratives pécuniaires sont maintenant exécutoires. La première SAP a été émise en août 2025 après qu'un médecin a accédé aux dossiers de 831 nouveau-nés sans autorisation. Voici ce que votre clinique ontarienne doit mettre en place.
Si vous gérez une clinique de santé en Ontario, les obligations de conformité PHIPA Ontario cliniques se sont considérablement renforcées depuis janvier 2024. Les sanctions administratives pécuniaires (SAP) sont désormais exécutoires, un médecin a fait l'objet de la première SAP en août 2025 pour avoir accédé sans autorisation aux dossiers de 831 nouveau-nés, et des décisions récentes du Commissaire à l'information et à la protection de la vie privée (CIPVP) ont confirmé que la compromission d'un seul compte courriel — même pendant moins d'une heure — déclenche l'obligation de signalement d'atteinte. Ce guide est rédigé pour les administrateurs de cliniques et les responsables de la protection des renseignements personnels, non pour les juristes.
La Loi sur la protection des renseignements personnels sur la santé (LPRPSP), 2004 (L.O. 2004, chap. 3, annexe A) — désignée PHIPA en anglais — est la principale loi ontarienne en matière de protection de la vie privée dans le secteur de la santé. Elle encadre la façon dont les renseignements personnels sur la santé (RPS) sont collectés, utilisés, divulgués, conservés et détruits par les personnes et organismes désignés comme dépositaires de renseignements sur la santé.
Les dépositaires de renseignements sur la santé comprennent :
- Les professionnels de la santé réglementés : médecins, infirmières, dentistes, pharmaciens, physiothérapeutes, etc.
- Les hôpitaux et autres établissements de santé
- Les établissements de soins de longue durée
- Les pharmacies, les laboratoires cliniques et les centres de prélèvement
- Les centres de santé communautaires, les centres d'accès aux soins communautaires et autres fournisseurs de services de santé
- Les bureaux de santé publique et les conseils de santé
- Les ministères gouvernementaux qui administrent des programmes de santé
La portée est large. Si vous exploitez une clinique dentaire, une clinique de physiothérapie, une équipe de santé familiale ou une pratique spécialisée indépendante en Ontario, la LPRPSP s'applique à vous.
Les agents agissent sous l'autorité d'un dépositaire : employés, sous-traitants, bénévoles, étudiants en stage. Le dépositaire demeure légalement responsable de la conformité de ses agents à la LPRPSP. Une atteinte commise par un agent est une atteinte du dépositaire.
Les gestionnaires de l'information sont des tiers qui traitent des RPS pour le compte d'un dépositaire : fournisseurs de DME en nuage, services de facturation, services de transcription, prestataires TI ayant accès aux systèmes. L'article 10 de la LPRPSP exige un accord écrit avec chaque gestionnaire de l'information, comportant des clauses précises en matière de protection des renseignements personnels et de sécurité. L'absence de cet accord constitue en elle-même une infraction à la loi. Voir notre module de gestion des fournisseurs pour centraliser tous vos accords avec les gestionnaires de l'information.
La LPRPSP structure ses exigences autour de huit obligations interdépendantes. Respecter ces huit obligations, c'est ce que la démonstration de conformité signifie concrètement pour le CIPVP.
| Obligation | Disposition de la LPRPSP | Ce qu'elle exige en pratique |
|---|---|---|
| Consentement | art. 18–28 | Ne collecter, utiliser ou divulguer des RPS qu'avec le consentement exprès ou implicite de la personne concernée, sauf si une exception prévue par la LPRPSP s'applique. Les personnes peuvent retirer leur consentement en tout temps. |
| Limitation de la collecte | art. 29 | Ne collecter que les RPS nécessaires à la finalité identifiée. Aucune collecte spéculative ou préventive au-delà de ce que l'épisode de soins requiert. |
| Utilisation et divulgation | art. 37–50 | Utiliser ou divulguer les RPS uniquement aux fins pour lesquelles ils ont été collectés, avec consentement, ou si la LPRPSP le permet expressément. L'extension des finalités sans consentement constitue une infraction. |
| Mesures de protection | art. 12(1)(a)–(b) | Mettre en place des mesures de protection techniques, physiques et administratives proportionnées à la sensibilité des RPS et aux risques d'accès non autorisé, de perte ou de destruction. |
| Droits d'accès | art. 52–54 | Répondre à une demande d'accès d'une personne à ses propres RPS dans les 30 jours. Fournir le dossier ou expliquer par écrit les exemptions applicables. |
| Correction | art. 55–56 | Accepter les demandes de correction des RPS. En cas de refus, joindre la déclaration de désaccord de la personne à son dossier et consigner le refus par écrit. |
| Signalement d'atteinte | art. 12(2) | Aviser le CIPVP et les personnes concernées dès que raisonnablement possible après tout accès, utilisation, divulgation, copie ou perte non autorisés de RPS. |
| Journaux d'audit | art. 12(1)(c) | Tenir un registre électronique de chaque accès aux RPS conservés sous forme électronique : qui y a accédé, quand, quels dossiers, et si des modifications ont été apportées. |
Durant les vingt premières années d'existence de la LPRPSP, les principaux outils d'application du CIPVP se limitaient aux ordonnances et aux rapports publics. Cela a changé le 1er janvier 2024, avec l'entrée en vigueur des sanctions administratives pécuniaires (SAP). Le CIPVP peut désormais imposer des pénalités financières directes sans passer par les tribunaux.
Montants maximaux des SAP en vertu de la LPRPSP :
- Organismes (dépositaires) : jusqu'à 500 000 $ par infraction
- Personnes physiques : jusqu'à 200 000 $ par infraction, ainsi qu'une peine d'emprisonnement pouvant aller jusqu'à un an
Les sanctions pénales prévues à l'article 72 de la LPRPSP demeurent applicables parallèlement aux SAP et prévoient leurs propres maximums : jusqu'à 1 000 000 $ pour les organismes et jusqu'à 200 000 $ pour les personnes physiques.
Décision 298 du CIPVP — août 2025 : Un médecin a accédé sans autorisation aux dossiers de santé électroniques de 831 nouveau-nés. Cet accès ne servait aucune fin de traitement ou de soins — les dossiers ont été utilisés à des fins de démarchage commercial privé. Le CIPVP a émis la première SAP en vertu des dispositions entrées en vigueur en janvier 2024. La décision 298 établit qu'accéder à des RPS au-delà de ce qui est nécessaire à une fin légitime de soins — même par un dépositaire autorisé — constitue une infraction à la LPRPSP désormais assortie de conséquences financières directes.
Lorsqu'une atteinte à la vie privée survient — ou lorsque vous pensez qu'elle pourrait s'être produite — le CIPVP s'attend à une intervention structurée et documentée. Les quatre étapes requises sont :
- Contenir — Mettre fin à l'atteinte immédiatement. Désactiver les comptes compromis, changer les identifiants, isoler les systèmes touchés et récupérer tout document papier concerné. Consigner les mesures de confinement et l'heure exacte à laquelle elles ont été prises.
- Aviser — Notifier le CIPVP dès que raisonnablement possible. Notifier également les personnes touchées, sauf si cette notification risque de compromettre une enquête policière ou de mettre quelqu'un en danger. Les deux notifications sont obligatoires en vertu de l'article 12(2) de la LPRPSP — elles ne sont pas discrétionnaires.
- Enquêter — Mener une enquête interne documentée. Déterminer quels RPS étaient en cause, combien de personnes ont été touchées, comment l'atteinte s'est produite, combien de temps elle a duré, et si des RPS ont effectivement été divulgués à des parties non autorisées.
- Prévenir — Mettre en place des mesures pour éviter la récurrence. Mettre à jour les contrôles techniques, réviser les politiques, former à nouveau le personnel concerné. Documenter les mesures préventives prises et conserver ces registres.
L'article 12(1)(c) de la LPRPSP oblige chaque dépositaire à veiller à ce qu'un registre soit tenu de chaque accès aux RPS conservés sous forme électronique. Pour toute clinique utilisant un dossier médical électronique (DME), cela signifie que chaque consultation, modification et exportation d'un dossier patient doit générer une entrée d'audit contenant :
- La date et l'heure de l'accès
- L'identité de la personne qui a accédé au dossier
- Les dossiers ou fichiers patients spécifiques qui ont été consultés
- Si le dossier a seulement été consulté, ou également modifié ou exporté
Ces registres doivent être conservés et mis à la disposition du CIPVP sur demande. Le CIPVP a relevé l'insuffisance des journaux d'audit dans plusieurs décisions d'enquête sur des atteintes. Une clinique incapable de démontrer — au moyen de registres électroniques inviolables — qui a accédé à quel dossier patient et quand, se trouve dans une position de grande faiblesse lors de toute enquête du CIPVP.
La journalisation d'audit automatisée est la norme attendue par le CIPVP : chaque action est consignée sans intervention manuelle, conservée pendant la période applicable, et exportable sur demande. Si vos systèmes actuels ne génèrent pas des journaux d'audit complets, cette lacune doit être comblée avant qu'une atteinte survienne — pas après. Découvrez comment notre plateforme automatise la collecte de la piste d'audit PHIPA avec des journaux inviolables que votre équipe peut produire à tout moment.
Sur la base des exigences de la LPRPSP et des priorités d'application publiées par le CIPVP, voici le cadre de conformité fondamental que toute clinique de santé ontarienne devrait avoir en place :
- Désigner un responsable de la protection des renseignements personnels avec une autorité documentée et des responsabilités clairement définies.
- Réaliser et documenter une évaluation de l'impact sur la vie privée (ÉIVP) pour tout nouveau système, programme ou processus impliquant des RPS.
- Tenir un inventaire écrit de tous les RPS détenus : leur nature, leur lieu de stockage et les personnes qui peuvent y accéder.
- Conclure un accord écrit de gestion de l'information (art. 10 LPRPSP) avec chaque fournisseur ou tiers qui traite des RPS en votre nom.
- Mettre en place une journalisation d'audit électronique automatisée et inviolable sur chaque système détenant ou accédant à des RPS.
- Tenir à jour un Plan d'intervention en cas d'atteinte documenté, précisant les rôles, les contacts d'escalade et le processus de notification au CIPVP.
- Former chaque membre du personnel ayant accès aux RPS sur les exigences de la LPRPSP au moins une fois par an. Conserver les attestations signées comme preuve.
- Appliquer des contrôles d'accès basés sur les rôles : seul le personnel dont la fonction exige l'accès à des RPS spécifiques doit y avoir accès.
- Revoir et tester les mesures de protection techniques et administratives au moins une fois par an. Documenter la révision par écrit.
- Mettre en place un processus permettant aux patients de soumettre des demandes d'accès et de correction, et s'assurer que le personnel connaît le délai de réponse de 30 jours.
La priorité d'application actuelle du CIPVP — illustrée par les SAP, les décisions sur les atteintes et les rapports publics — se concentre sur trois domaines où les vérifications révèlent systématiquement des lacunes : l'adéquation de la piste d'audit, la rapidité du signalement des atteintes et les accords avec les gestionnaires de l'information. Effectuez une vérification de conformité gratuite pour savoir où se situe votre clinique par rapport aux priorités actuelles du CIPVP.
- LPRPSP, 2004. Loi sur la protection des renseignements personnels sur la santé, 2004, L.O. 2004, chap. 3, annexe A
- CIPVP — Protection de la vie privée en santé. Commissaire à l'information et à la protection de la vie privée de l'Ontario — Protection de la vie privée en matière de santé
- Décision 298 du CIPVP. Commissaire à l'information et à la protection de la vie privée de l'Ontario, Décision LPRPSP 298 (août 2025)
- Décision 255 du CIPVP. Commissaire à l'information et à la protection de la vie privée de l'Ontario, Décision LPRPSP 255 (juillet 2024)