Un professionnel demeure personnellement imputable en cas de partage des renseignements personnels de ses patients malgré sa bonne foi

26 septembre 2024

En date du 27 octobre 2023, le conseil de discipline du Collège des médecins du Québec (le « Conseil ») a rendu une décision d’importance quant au seuil minimal applicable aux professionnels en matière de protection des renseignements personnels portés à leur connaissance dans l’exercice de leur profession.

Il est désormais clairement établi que la méconnaissance d’un professionnel relativement au fonctionnement d’une plateforme infonuagique où sont sauvegardés des renseignements de nature médicale concernant des patients ne le libère pas des dispositions visant le secret professionnel et le droit à la confidentialité. Assurer un contrôle sur les droits d’accès à ce type de plateforme est crucial.

Dans cette affaire précise, la professionnelle a sauvegardé des fichiers de nature confidentielle concernant ses patients sur une plateforme infonuagique personnelle. Les fichiers enregistrés sous forme de photos comprennent notamment des photos de patients au bloc opératoire au moment d’une chirurgie, des observations cliniques, des ordonnances médicales, des listes opératoires, des horaires de garde, des comptes rendus et des notes d’évolution.

La plateforme infonuagique en question a été créée par son ex-conjoint, qui en était le propriétaire, et elle était utilisée comme plateforme infonuagique familiale. Il possédait l’identifiant et le mot de passe de sa conjointe. Il agissait également comme adjoint au sein de la société qu’elle avait créée pour l’exercice de sa profession. Son ex-conjoint a donc eu accès aux nombreux fichiers qu’elle avait enregistrés sur la plateforme dans le cadre de l’exercice de sa profession.

Le tribunal souligne que malgré sa bonne foi, la professionnelle a permis à un tiers l’accès à des fichiers contenant des renseignements médicaux confidentiels et des informations nominatives sur des patients.

Compte tenu des faits établis, le Conseil a conclu que la professionnelle, en faisant confiance à son ex-conjoint, ne s’était pas conformée aux dispositions visant la protection des droits des patients, le secret professionnel et le droit à la confidentialité des renseignements de nature médicale.

Il ressort de cette décision que le conseil de discipline a pris en compte les éléments suivants :

  • La gravité objective de l’infraction commise par la professionnelle, qui met en cause les droits fondamentaux des patients protégés par la Charte des droits et libertés de la personneet par de nombreuses lois.
  • Les manquements de la professionnelle ne constituent pas un acte isolé, considérant la durée pendant laquelle l’infraction a été commise, soit neuf ans.
  • La professionnelle savait que son ex-conjoint avec accès à la plateforme infonuagique où elle sauvegardait des photos et des informations concernant ses patients.
  • La professionnelle a reconnu les faits durant l’enquête et a autodivulgué les violations de confidentialité au Service de l’inspection professionnelle du Collège des médecins, à la Commission de l’accès à l’information et aux directions des établissements où elle a exercé.

Le tribunal rappelle que même si un professionnel agit de bonne foi, fait preuve d’une méconnaissance en informatique ou quant au fonctionnement d’une plateforme infonuagique et qu’il dénonce volontairement la divulgation accidentelle de renseignements personnels, celui-ci contrevient néanmoins à ses obligations d’assurer la confidentialité des dossiers médicaux, de restreindre l’accès aux seules personnes autorisées et de respecter le secret de tout renseignement de nature confidentielle qui vient à sa connaissance dans l’exercice de sa profession.

Le conseil de discipline, dans une décision rendue le 9 avril 2024, a entériné une recommandation commune de radiation temporaire d’une durée de deux semaines.

Il faut donc retenir de ces décisions qu’un professionnel usant de technologies dans le cadre de l’exercice de sa profession a une obligation de diligence qui s’étend à la connaissance des technologies utilisées ainsi qu’à leur contrôle en vue de maintenir la confidentialité des renseignements personnels en sa possession.