Des télécopies contenant des renseignements médicaux sont envoyées par erreur aux concierges d'un immeuble à appartements

Résumé d'incident n^o 1

Incident

En juillet 2004, le quotidien Edmonton Journal a rapporté qu'un couple de concierges d'un immeuble à appartements avait reçu de diverses sources des télécopies qu'on leur avait transmises par erreur. Ces télécopies contenaient des renseignements médicaux personnels.

Le Commissariat à la protection de la vie privée du Canada a enquêté en collaboration avec l'Office of the Information and Privacy Commissioner of Alberta sur cet incident (le Commissariat à l'information et à la protection de la vie privée de l'Alberta). Il a été établi que le couple avait reçu dix télécopies transmises par erreur par sept entreprises différentes. Or, certaines de ces transmissions relevaient de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Les deux entreprises responsables de ces transmissions sont :

• Dynacare
• Viewpoint

Voici un résumé de l'enquête sur les incidents.

Résumé de l'enquête — Dynacare

Dynacare, qui exploite des laboratoires médicaux, a fait une erreur dans la transmission d'une télécopie le 19 janvier 2004. La télécopie contenait des renseignements personnels tels que l'âge, la taille, l'usage du tabac et le numéro de patient d'une personne ayant subi des examens administrés par cette entreprise. En outre, la télécopie comprenait un diagnostic et les résultats de différentes analyses médicales concernant cette personne.

Une fois avertie de cette atteinte à la vie privée, l'entreprise a fait enquête sur l'incident. Elle a pu circonscrire la responsabilité à un groupe de cinq personnes sans toutefois être en mesure de déterminer précisément qui avait fait la transmission en cause. Le Commissariat a confirmé que la télécopie a été envoyée par transmission manuelle, autrement dit, qu'on avait composé le numéro manuellement.

Les cinq personnes pouvant être responsables ont prêté serment de confidentialité par écrit au moment de leur embauche. Elles connaissaient la nature confidentielle des dossiers médicaux et savaient qu'il faut veiller à ne pas communiquer de manière inappropriée les renseignements qu'ils contiennent. Les cinq employés n'avaient cependant jamais renouvelé leur serment. Depuis, l'entreprise a préparé un nouveau formulaire de serment et elle veillera désormais à ce que les employés fassent serment de confidentialité chaque année en signant le formulaire.

Dynacare a aussi mis en place une fonction automatique de télécopie dans ses ordinateurs. Les numéros sont entrés dans le système et leur exactitude est vérifiée. Lorsqu'un (e) employé (e) désire envoyer une télécopie, il ou elle se sert de ce système automatisé. Cette mesure minimise le risque d'erreur dans le cas des numéros utilisés fréquemment. Pour ce qui est des numéros composés rarement ou une seule fois (qui ne sont pas programmés dans le système), Dynacare a donné à ses employés des directives pour que ceux-ci confirment l'exactitude du numéro composé avant toute transmission.

Dynacare procède actuellement à une révision de ses politiques et procédures afin de se conformer pleinement aux lois en vigueur, y compris la Health Information Act de l'Alberta et la LPRPDE.

Dynacare n'avait pas avisé la personne dont des renseignements médicaux ont été communiqués par erreur, mais l'entreprise a indiqué qu'elle considérerait le faire.

Conclusions

La commissaire adjointe à la protection de la vie privée a conclu que Dynacare a divulgué des renseignements personnels sans consentement, ce qui est contraire aux dispositions de la LPRPDE.

Résumé de l'enquête — Viewpoint

Viewpoint est un organisme médical qui offre des services de consultation diagnostique. La télécopie en cause, envoyée le 14 avril 2004, était une évaluation médicale. Elle contenait le nom du patient, son âge, son occupation, des détails sur ses antécédents médicaux ainsi que des renseignements sur ses enfants. L'évaluation avait été envoyée par un médecin consultant au médecin de Viewpoint, lequel avait examiné le rapport et y avait ajouté des observations. L'évaluation devait ensuite être renvoyée au médecin consultant par télécopie, mais la transposition de deux chiffres du numéro à composer a entraîné l'envoi à un mauvais numéro. Bien que le médecin de Viewpoint ait ajouté des observations sur le rapport, ce n'est pas lui qui s'est chargé de son envoi. Viewpoint n'a pas pu déterminer qui a fait une erreur en composant le numéro.

Lorsque les personnes qui avaient reçu la télécopie ont communiqué avec Viewpoint à ce sujet, on leur a dit de détruire le document. Viewpoint a indiqué au Commissariat fédéral que si une telle erreur devait se reproduire à l'avenir, l'entreprise enverra plutôt un messager pour récupérer le document. Viewpoint a pris des mesures pour que l'on vérifie le numéro composé avant toute transmission et que tout incident soit rapporté à la direction.

Quant au patient en cause, Viewpoint a indiqué qu'il serait plus approprié que ce soit le médecin consultant qui communique avec le patient au sujet de cette communication, puisqu'ils ont une relation médecin-patient.

Conclusions

La commissaire adjointe a conclu que Viewpoint a enfreint la LPRPDE quand l'entreprise a communiqué des renseignements personnels sans consentement.

Recommandations faites à Dynacare et à Viewpoint

La commissaire adjointe a fait les recommandations suivantes aux deux entreprises :

• Que les entreprises suivent les recommandations du CPVP concernant la transmission de télécopies, telles qu'elles sont énoncées sur la fiche d'information Télécopieurs et renseignements personnels.
• Que les entreprises prennent des mesures pour aviser les personnes touchées que des renseignements médicaux les concernant ont été communiqués par inadvertance quand une télécopie a été envoyée à un mauvais numéro.
• Que les entreprises demandent chaque année à leurs employés de renouveler leur serment de confidentialité.