Qui est un dépositaire de renseignements sur la santé selon la LPRPS? Un guide en langage clair

L'article 3(1) de la LPRPS définit un dépositaire de renseignements sur la santé comme une personne ou un organisme qui a la garde ou le contrôle de renseignements personnels sur la santé dans le cadre de l'exercice de ses pouvoirs ou fonctions. La définition est ancrée dans la fonction — non dans la taille de l'organisme, sa structure juridique, ni dans l'idée que vous vous faites de votre rôle.

La loi énumère explicitement les catégories de dépositaires. Vous êtes un dépositaire si vous appartenez à l'une des catégories suivantes :

• Un professionnel de la santé réglementé — médecin, infirmière, dentiste, pharmacien, physiothérapeute, chiropraticien, optométriste, sage-femme, etc.
• Une personne qui exploite un groupe de professionnels de la santé en cabinet collectif
• Une personne qui exploite une pharmacie
• Un hôpital au sens de la Loi sur les hôpitaux publics
• Une personne qui exploite un établissement de santé autonome
• Une personne qui exploite un établissement de soins de longue durée
• Une personne qui exploite un service de soins à domicile
• Services de soutien à domicile et en milieu communautaire (anciennement les centres d'accès aux soins communautaires)
• Un service ambulancier au sens de la Loi sur les ambulances
• Un laboratoire ou un centre de prélèvement d'échantillons
• Un établissement psychiatrique ou de santé mentale
• Les entités désignées par règlement

Les dépositaires assument la responsabilité ultime de tous les RPS qu'ils détiennent — qu'ils les gèrent eux-mêmes ou qu'ils en délèguent la gestion à d'autres. Cette responsabilité ne peut être transférée par contrat, par entente d'impartition ni par aucune autre structure organisationnelle.

La LPRPS définit un mandataire comme une personne qui, avec l'autorisation d'un dépositaire, agit pour le compte de ce dépositaire à l'égard de renseignements personnels sur la santé — aux fins du dépositaire, et non à des fins personnelles.

La catégorie des mandataires est délibérément large. Elle comprend notamment :

• Le personnel administratif qui accède aux dossiers patients dans le cadre de son travail quotidien — réceptionnistes, secrétaires médicales, commis à la facturation
• Les cliniciens employés par le dépositaire ou travaillant sous son autorité — infirmières, professionnels paramédicaux, associés cliniques
• Les bénévoles et les étudiants en stage clinique dont le travail implique des RPS
• Les sous-traitants TI et le personnel de soutien technique qui ont accès aux systèmes cliniques contenant des RPS
• Les sous-traitants de facturation autorisés par le dépositaire à traiter des réclamations de patients

Ce qui définit la relation de mandataire, c'est l'autorisation du dépositaire. Votre réceptionniste qui accède au dossier d'un patient pour confirmer un rendez-vous agit à titre de mandataire. Cet accès est autorisé par vous — et vous en êtes responsable. La LPRPS précise que les mandataires ne peuvent pas collecter, utiliser ni divulguer des RPS au-delà de ce qui est nécessaire aux fins du dépositaire et de la portée de leur autorisation.

Un gestionnaire de l'information est une personne ou un organisme qui traite, conserve, récupère, transfère ou détruit des renseignements personnels sur la santé pour le compte d'un dépositaire, ou qui lui fournit des services de gestion de l'information ou de technologie de l'information.

Contrairement aux mandataires — qui agissent sous la direction continue du dépositaire dans le cadre des opérations courantes — les gestionnaires de l'information exercent des fonctions techniques ou opérationnelles définies, généralement dans le cadre d'un contrat de service écrit. Ils gèrent les RPS en tant que prestataires de services, non dans un rôle de soins.

Les gestionnaires de l'information courants pour les organismes de santé ontariens comprennent :

• Les plateformes de dossier médical électronique (DME) et de dossier de santé électronique en nuage
• Les fournisseurs d'infrastructure et d'hébergement en nuage dont les serveurs conservent des RPS
• Les services de facturation médicale et de traitement des réclamations d'assurance
• Les services de transcription médicale et de documentation clinique
• Les fournisseurs de sauvegarde des données, d'archivage et de reprise après sinistre
• Les fournisseurs de services TI gérés ayant un accès à distance aux systèmes cliniques
• Les fournisseurs de plateformes de messagerie sécurisée et de communication avec les patients

L'une des idées reçues les plus répandues en matière de protection de la vie privée dans le secteur de la santé est la croyance que confier la gestion des RPS à un fournisseur tiers transfère la responsabilité légale à ce fournisseur. Aux termes de la LPRPS, ce n'est pas le cas.

Lorsque vous faites appel à un fournisseur de DME, un service d'hébergement en nuage ou un service de facturation pour gérer des RPS en votre nom, vous demeurez le dépositaire de renseignements sur la santé. Le fournisseur devient votre gestionnaire de l'information. Vous êtes responsable de vous assurer qu'il respecte la LPRPS — ce qui exige une entente écrite adéquate, un suivi raisonnable de sa conformité, et la mise en place d'un mécanisme de notification en cas d'atteinte sur ses systèmes.

Le CIPVP a été explicite dans ses décisions d'application : l'absence d'une entente écrite avec un gestionnaire de l'information constitue une infraction à la LPRPS de la part du dépositaire — indépendamment du fait qu'une atteinte se soit produite ou non. Le fait qu'un fournisseur ait omis de vous aviser d'une atteinte survenue sur ses systèmes ne vous protège pas contre la responsabilité envers le CIPVP ou les patients touchés.

• Vérifiez chaque mandataire et gestionnaire de l'information avant de leur accorder l'accès aux RPS — et non après une atteinte
• Assurez-vous que vos ententes avec les gestionnaires de l'information contiennent les dispositions requises par la LPRPS — les conditions générales standard d'un fournisseur ne suffisent pas
• Conservez des droits d'audit sur vos gestionnaires de l'information afin de pouvoir vérifier qu'ils respectent effectivement leurs obligations

La LPRPS exige une entente écrite avec chaque gestionnaire de l'information. Cette entente doit aller bien au-delà d'un contrat de service ordinaire ou des conditions d'utilisation standard d'un fournisseur. Une entente conforme à la LPRPS doit couvrir chacun des éléments suivants :

1. Limitation de la finalité — le gestionnaire de l'information ne peut utiliser, divulguer ni conserver des RPS qu'aux fins expressément définies dans l'entente. Le fournisseur ne peut pas utiliser vos données patients à des fins de développement de produits, d'analytique ou de marketing sans autorisation explicite.
2. Mesures de protection requises — l'entente doit exiger des protections techniques et administratives proportionnées à la sensibilité des RPS et aux risques identifiés d'accès non autorisé ou de perte.
3. Obligation de notification en cas d'atteinte — le gestionnaire de l'information doit être contractuellement tenu de vous aviser promptement dès qu'il découvre ou soupçonne un accès, une utilisation, une divulgation ou une perte non autorisés de RPS — afin que vous puissiez remplir vos propres obligations envers le CIPVP et les patients touchés.
4. Droits d'audit — vous devez conserver le droit de vérifier la conformité du gestionnaire de l'information à l'entente et à la LPRPS, notamment par la réalisation ou la commandite de vérifications de conformité.
5. Interdiction de sous-traitance — le gestionnaire de l'information ne devrait pas être autorisé à déléguer la gestion des RPS à un sous-traitant sans votre consentement écrit préalable.
6. Retour et destruction sécuritaire des données — l'entente doit préciser ce qu'il advient des RPS à la fin de la relation : retour au dépositaire, destruction sécuritaire avec certification écrite, ou autre procédure documentée approuvée par vous.

Le CIPVP a conclu dans plusieurs décisions que cocher 'j'accepte' sur les conditions d'utilisation en ligne d'un fournisseur ne satisfait pas à l'exigence d'entente écrite de la LPRPS. L'entente doit aborder spécifiquement la gestion des RPS, les mesures de protection et les obligations en cas d'atteinte. Centralisez toutes vos ententes avec les gestionnaires de l'information, leurs dates d'expiration et les clauses requises en un seul endroit — notre module de registre des fournisseurs est conçu précisément pour cette obligation.

Les professionnels de la santé en pratique solo — médecins, dentistes, pharmaciens, physiothérapeutes et autres professionnels réglementés — sont personnellement des dépositaires de renseignements sur la santé aux termes de la LPRPS. Les obligations ne se limitent pas aux organismes ou aux sociétés. Si vous êtes un professionnel de la santé réglementé qui détient des dossiers patients dans le cadre de votre pratique, toutes les exigences de la LPRPS vous s'appliquent directement et personnellement.

Cela est important parce que les dépositaires individuels sont personnellement assujettis aux outils d'application de la LPRPS. Des sanctions administratives pécuniaires (SAP) pouvant atteindre 200 000 $ par infraction pour les personnes physiques sont disponibles depuis le 1er janvier 2024. La décision 298 du CIPVP d'août 2025 — dans laquelle une SAP a été émise contre un médecin pour l'accès non autorisé aux dossiers de 831 nouveau-nés — confirme que le CIPVP utilisera ces pénalités contre des praticiens individuels lorsque la situation le justifie.

Un praticien solo ne peut pas déléguer sa responsabilité en matière de LPRPS à un gestionnaire de bureau, un prestataire TI ou un service de facturation. Les tâches peuvent être déléguées — la responsabilité, non. Un programme de protection de la vie privée documenté n'est pas une formalité administrative : pour un praticien solo, c'est la principale preuve que les obligations de la LPRPS ont été prises au sérieux.

1. LPRPS, 2004. Loi sur la protection des renseignements personnels sur la santé, 2004, L.O. 2004, chap. 3, annexe A
2. CIPVP — Droits à la vie privée en matière de santé. Commissaire à l'information et à la protection de la vie privée de l'Ontario — Vos droits à la vie privée en matière de santé en Ontario
3. CIPVP — Les dépositaires et la loi. Commissaire à l'information et à la protection de la vie privée de l'Ontario — Les dépositaires et la loi