Depuis la parution de la stratégie pancanadienne sur les données de santé en mail 2022 et son appel à établir des « Chief Data Stewards » à travers les provinces et territoires du pays, on commence de plus en plus à parler du modèle britannique des Caldicott Guardians. Mais qui sont-ils et en quoi peuvent-ils nous servir de guides pour repenser les rôles et responsabilités des gardiens de la protection des données personnelles au Canada et au Québec ?
Les Caldicott Guardians sont les personnes responsables de la protection des renseignements personnels au sein des organisations du système de santé britannique (NHS). Ils sont appelés ainsi car leur nomination, à la fin des années 90, s’est faite suite à la mise en oeuvre d’un comité présidé par Dame Fiona Caldicott. Sa mission principale était de renforcer la protection de l’information confidentielle des patients, de leurs proches et du personnel. Dame Fiona Caldicott était alors directrice du Somerville College d’Oxford, psychiatre consultante et ancienne présidente du Royal College of Psychiatrists. Inutile de dire que le comité mis en place fut rapidement connu sous le nom de Comité Caldicott. Dans son rapport final datant de 1997, il préconisait notamment l’établissement de gardiens de la confidentialité de l’information dans les établissements du NHS. Ceux-ci devinrent alors les « Caldicott Guardians ».
Ces gardiens de la confidentialité sont réunis au sein d’un corps professionnel à part entière appelé UK Caldicott Guardians Council (UKCGC). Ce conseil vient soutenir ses membres dans leur mandat de protecteur des données personnelles en leur fournissant plusieurs ressources et offres de formation. Il s’assure aussi de l’harmonisation des pratiques de protection et de partage de l’information confidentielle à travers le réseau, en produisant des lignes directrices et des guides fondés sur les 8 principes des Caldicott Guardians et intégrant les meilleures pratiques et cadres de gouvernance en vigueur.
Les 8 principes des Caldicott Guardians
Principe 1 : Justifier la ou les finalités de l’utilisation des informations confidentielles
Principe 2 : N’utiliser les informations confidentielles que lorsque cela est nécessaire
Principe 3 : Utiliser le minimum d’informations confidentielles nécessaires
Principe 4 : L’accès aux informations confidentielles doit se faire sur la base d’un besoin justifié, pour des personnes et un temps déterminé
Principe 5 : Toute personne ayant accès à des informations confidentielles doit être consciente de ses responsabilités
Principe 6 : Respecter la loi
Principe 7 : Le devoir de partager des informations pour les soins individuels est aussi important que le devoir de protéger la confidentialité du patient
Principe 8 : Informer les patients et les usagers sur la manière dont leurs informations confidentielles sont utilisées
Au Québec, avec l’adoption du projet de loi 64, les établissements de soins et de services sociaux, tout comme le reste des organismes publics, doivent dès septembre 2022 nommer un responsable de l’accès à l’information et de la protection des renseignements personnels et déterminer précisément ses rôles et responsabilités. Ces responsables, répartis à travers les institutions, auraient tout à gagner à se réunir au sein d’un comité semblable à celui regroupant les Caldicott Guardians au Royaume-Uni. Il pourrait non seulement leur permettre d’échanger des enjeux et des solutions, mais aussi et surtout de se doter de principes directeurs et de guides permettant d’harmoniser leurs pratiques de gestion des données personnelles et de protection de l’information confidentielle des patients, de leurs proches et du personnel.