Loi sur la protection des renseignements personnels sur la santé (Nouvelle-Écosse)

Présentation

La loi sur la protection des renseignements personnels sur la santé (LPRPS) est une loi provinciale sur la confidentialité des données en Nouvelle-Écosse qui s'applique à la collecte, l'utilisation, la divulgation, la conservation, la suppression et la destruction de renseignements personnels sur la santé. La LPRPS reconnaît le droit à la protection des renseignements personnels sur la santé des individus et le besoin en dépositaires pour collecter, utiliser et divulguer des renseignements personnels sur la santé permettant de fournir, prendre en charge et gérer les soins de santé.

Les clients gardent en permanence le contrôle sur la gestion de leur contenu stocké sur AWS et sur leur accès. Étant donné qu'AWS n'a pas la possibilité de savoir quelles données sont chargées par les clients sur son réseau, notamment si ces données sont considérées ou non comme étant soumises à la LPRPS, les clients sont responsables de leur conformité à cette loi. Les clients AWS peuvent concevoir et mettre en service un environnement AWS, et utiliser les services AWS de manière à respecter leurs obligations dans le cadre de la loi LPRPS.

La région AWS Canada (Centre)est actuellement disponible pour plusieurs services, notamment Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) et Amazon Relational Database Service (Amazon RDS). Pour obtenir la liste complète des régions et services AWS, consultez la page relative à l'infrastructure mondiale. La tarification de la région Canada est disponible sur la page de présentation de chaque service, accessible via la page relative aux produits et services. 

• En quoi consistent les lois PIPEDA, PIIDPA et LPRPS ? Quelle est la relation entre ces lois ?

  La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est une loi fédérale canadienne qui s'applique à la collecte, l'utilisation et la diffusion d'informations personnelles dans le cadre d'activités commerciales dans l'ensemble des provinces canadiennes. Cependant, certaines provinces canadiennes ont également adopté leurs propres lois de portée générale en matière de protection des données personnelles, applicables tant au secteur public qu'au secteur privé, ainsi que des lois relatives à la confidentialité des données spécifiques aux données de santé personnelles. La Personal Information International Disclosure Protection Act (PIIDPA) (loi sur la protection contre la divulgation à l'international des coordonnées personnelles) est une loi sur la confidentialité des données adoptée dans le but de protéger les coordonnées personnelles de la Nouvelle-Écosse, contre leur divulgation en dehors du Canada. Les renseignements personnels sur la santé (RPS) sont un sous-ensemble de coordonnées personnelles identifié dans la loi PIIDPA. La loi sur la protection des renseignements personnels sur la santé (LPRPS) est une loi sur la confidentialité des données en Nouvelle-Écosse qui s'applique à la collecte, l'utilisation, la divulgation, la conservation, la suppression et la destruction de renseignements personnels sur la santé placés sous la garde ou le contrôle du dépositaire.

  Les renseignements personnels sur la santé font référence à l'identification de renseignements concernant un individu, qu'il soit vivant ou non, et sous la forme de formulaires enregistrés ou non, relatifs à l'historique médical, à l'éligibilité ou aux informations d'enregistrement comme défini plus en détail dans la LPRPS. Le terme « dépositaire » se réfère à un individu ou à une entreprise dont les renseignements personnels sur la santé sont gardés ou contrôlés en conséquence de ou dans le cadre de l'utilisation des pouvoirs ou des responsabilités de la personne ou de l'entreprise comme défini plus en détail dans la LPRPS. Les dépositaires comprennent des professionnels de la santé réglementés et des pratiques de groupe, des autorités sanitaires, des centres de santé, des commissions de révision, des pharmacies et la Société canadienne du sang ainsi que des établissements de soins en continu comme précisé dans la LPRPS.

  La loi à laquelle est soumis un client AWS, et la mesure dans laquelle il l'est, qu'il s'agisse de la PIIDPA, de la LPRPS ou de toute autre exigence d'une province canadienne relative à la protection des données personnelles, peuvent varier en fonction de l'activité du client.

  D'autres organisations peuvent également être assujetties à la LPRPDE ou à des lois provinciales sur la confidentialité des données. Pour plus d'informations sur la LPRPDE, veuillez consulter le site Web d’AWS ici.

  Pour savoir à quelles lois ils sont assujettis en matière de confidentialité des données, les clients doivent s'adresser à leurs propres conseillers juridiques.
  

• Comment les clients peuvent-ils se conformer à la LPRPS sur AWS ?

  Les clients AWS peuvent concevoir et mettre en service un environnement AWS, et utiliser les services AWS de manière à respecter leurs obligations dans le cadre de la loi LPRPS.

  Les clients assujettis à la LPRPS peuvent être tenus de se conformer aux exigences encadrant la collecte, l'utilisation, la divulgation, la conservation, la suppression et la destruction des renseignements sur la santé. AWS donne aux clients le contrôle sur la manière dont leur contenu est stocké ou traité lorsqu'ils utilisent les services AWS, et notamment la manière dont ce contenu est sécurisé, ainsi que les personnes qui peuvent y accéder. AWS fournit des services que les clients peuvent configurer et utiliser de façon à garantir facilement la sécurité des renseignements personnels sur la santé stockés sur AWS. Toutefois, il incombe au client d'élaborer une solution qui respecte les exigences applicables en matière de confidentialité des données.

  Il convient de relever qu'il n'existe pas de « certification » en matière de conformité LPRPS officiellement reconnue, comme il existe des certifications ou des autorisations SOC, PCI ou FedRAMP. En revanche, AWS fournit à ses clients un volume considérable d'informations concernant les politiques, les processus et les contrôles établis et gérés par elle. AWS fournit des manuels, livres blancs et guides de bonnes pratiques disponibles sur la page consacrée aux ressources AWS en matière de conformité. Par ailleurs, les clients bénéficient d’un accès à la demande aux rapports d’audit tiers sur AWS dans AWS Artifact.
  

• Est-ce qu'AWS accède aux renseignements sur la santé que les clients placent sur ses services ?

  Les clients gardent en permanence le contrôle sur la gestion de leur contenu stocké sur AWS et sur leur accès. AWS fournit un ensemble avancé de fonctionnalités d'accès, de chiffrement et de journalisation afin d'aider les clients à gérer leur accès et leur contenu. AWS n'accède pas au contenu du client et ne le diffuse pas, sauf à la demande expresse du client, en cas d'obligation légale, ou sur ordre légal valide et contraignant d'un organisme gouvernemental ou réglementaire compétent. À moins qu'il existe une interdiction légale ou une indication claire d'illégalité d'un tel procédé en lien avec l'utilisation des services AWS, AWS informe les clients préalablement à la divulgation de leur contenu, afin de leur permettre de prendre des mesures pour se protéger contre ce type d'opération. Pour plus d'informations, consultez notre FAQ sur la confidentialité des données.
  

• La loi LPRPS interdit-elle à un client AWS de disposer de données en transit ou au repos en dehors de la Nouvelle-Écosse ou du Canada ?

  Pour savoir comment se conformer aux lois sur la confidentialité des données, les clients doivent s'adresser à leurs propres conseillers juridiques. La loi LPRPS peut autoriser les dépositaires à stocker ou divulguer les renseignements personnels sur la santé en dehors de la Nouvelle-Écosse, sous réserve de certaines exigences. Selon la loi PIIDPA, il peut être demandé aux organismes publics de stocker et d'accéder aux données personnelles au Canada. Il est de la responsabilité de chaque client de déterminer si le transfert et le stockage de ses données hors de la Nouvelle-Écosse ou du Canada satisfont à ses exigences de sécurité et de protection de la vie privée au titre de la LPRPS ou de la loi PIIDPA.

  
  Les clients AWS doivent déterminer si la LPRPDE ou les lois d'autres provinces du Canada sont applicables et, le cas échéant, les consulter pour connaître les restrictions en matière de résidence des données. Les clients AWS choisissent la ou les régions AWS dans lesquelles leur contenu sera stocké. Nous ne déplacerons ni ne répliquerons le contenu du client en dehors de la ou des régions choisies par le client sans son consentement.
  

• La LPRPS requiert-elle le chiffrement des renseignements sur la santé ?

  Au titre de la LPRPS, il n'existe aucune exigence spécifique demandant de chiffrer les renseignements sur la santé. Cependant, les entités assujetties à cette loi doivent suivre certaines étapes pour garantir la protection des renseignements de santé, et il relève de la responsabilité de chaque client de déterminer si le chiffrement est approprié pour satisfaire à ses obligations en matière de sécurité. Conformément aux bonnes pratiques, AWS recommande de toujours chiffrer les renseignements de santé au repos et en transit.
  

• Comment les clients peuvent-ils obtenir des informations en vue d'effectuer une évaluation de l'impact de la confidentialité des données en lien avec l'utilisation d'AWS ?

  AWS met à disposition une large gamme de ressources pour aider les clients à comprendre l'environnement et les contrôles de sécurité d'AWS. AWS fournit aux clients un accès à la demande aux rapports d'audit tiers (tels que nos rapports SOC 1 et SOC 2) dans AWS Artifact. AWS met également à disposition des manuels, des livres blancs et des bonnes pratiques sur la page consacrée aux ressources AWS en matière de conformité, expliquant comment exécuter des charges de travail en toute sécurité sur AWS.
  

• Comment les clients peuvent-ils mettre en œuvre les audits et la journalisation sur AWS ?

  Dans le cadre du modèle de responsabilité partagée, les clients doivent envisager de mettre en place des audits et une journalisation dans leur environnement AWS, d'une manière suffisante pour satisfaire à leurs obligations en matière de conformité. AWS propose des services qui simplifient la mise en œuvre de journalisations et d'architectures d'analyse de fichiers journaux scalables. AWS travaille également avec une large variété de partenaires dans AWS Marketplace, qui proposent des solutions de journalisation sécurisée. Pour plus d'informations sur la manière de mettre en œuvre la journalisation sur AWS, consultez la page consacrée aux fonctionnalités de journalisation sécurisée.
  

• Pouvez-vous fournir des exemples d'autres organisations du secteur de la santé qui utilisent AWS au Canada ?

  Vous pouvez lire nos derniers articles de blog sur les tendances dans les soins de santé canadiens. Si vous souhaitez obtenir des informations sur la conformité pour le secteur de la santé dans le Cloud AWS, consultez cette page.