Loi sur la protection des renseignements personnels sur la santé (Ontario)

Présentation

La loi sur la protection des renseignements personnels sur la santé (Personal Health Information Protection Act, PHIPA) représente la loi de l'Ontario sur la protection des renseignements personnels, qui s'applique à la collecte, à l'utilisation et à la diffusion des données de santé personnelles (PHI) lors de la fourniture de services de santé.

Les clients contrôlent en permanence la manière dont ils gèrent et accèdent au contenu qu'ils stockent sur AWS. AWS n'a pas la possibilité de voir ni de savoir quelles données sont chargées par les clients sur son réseau, notamment si ces données sont considérées ou non comme étant soumises à la loi PHIPA. La responsabilité de s'assurer de la conformité à cette loi incombe donc aux clients. Les clients AWS peuvent concevoir et mettre en service un environnement AWS, et utiliser les services AWS de manière à respecter leurs obligations dans le cadre de la loi PHIPA.

La région AWS Canada (Centre) est actuellement disponible pour plusieurs services, notamment Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) et Amazon Relational Database Service (Amazon RDS). Pour obtenir la liste complète des régions et services AWS, consultez la page relative à l'infrastructure mondiale. La tarification de la région Canada est disponible sur la page détaillée de chaque service, accessible via notre page relative aux produits et services.

  • La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est une loi fédérale canadienne qui s'applique à la collecte, l'utilisation et la diffusion d'informations personnelles dans le cadre d'activités commerciales dans l'ensemble des provinces canadiennes. Cependant, certaines provinces canadiennes ont également adopté leurs propres lois en matière de protection générale des données personnelles, à la fois pour le secteur public et privé, ainsi que des lois relatives à la confidentialité des données spécifiques aux données de santé personnelles. La loi sur la protection des renseignements personnels sur la santé (Personal Health Information Protection Act, PHIPA) est la loi sur la protection des renseignements personnels adoptée par l'Ontario, qui s'applique à la collecte, à l'utilisation et à la diffusion des données de santé personnelles (PHI) lors de la fourniture de services de santé.

    La loi à laquelle est soumis un client AWS, et la mesure dans laquelle il l'est, qu'il s'agisse de la LPRPDE, de la loi PHIPA ou de toute autre exigence d'une province canadienne relative à la protection des données personnelles, peut varier en fonction de l'activité du client. En général, les dépositaires de renseignements sur la santé en Ontario, ainsi que leurs agents, sont soumis à la loi PHIPA, dès lors qu'il s'agit de données de santé personnelles (les autres aspects de leur activité pouvant être soumis à d'autres lois sur la confidentialité des données). Le terme « dépositaire de renseignements sur la santé » inclut les prestataires de soins (par ex : médecins, infirmiers, etc.), les hôpitaux, les maisons de soins de longue durée, les foyers de soins spéciaux, les centres d'accès aux soins communautaires, les réseaux locaux d'intégration des services de santé (RLISS), les pharmacies, les laboratoires médicaux, les médecins hygiénistes locaux, les services d'ambulance, les programmes de santé mentale des collectivités et le ministère de la Santé et des Soins de longue durée.

    Les autres organisations peuvent également être assujetties à la LPRPDE ou à des lois provinciales sur la confidentialité des données. Pour plus d'informations sur la LPRPDE, consultez la page consacrée à la LPRPDE pour AWS.

    Pour savoir à quelles lois ils sont assujettis en matière de confidentialité des données, les clients doivent s'adresser à leurs propres conseillers juridiques.

  • Les clients AWS peuvent concevoir et mettre en service un environnement AWS, et utiliser les services AWS de manière à respecter leurs obligations dans le cadre de la loi PHIPA.

    Les clients qui sont soumis à la loi PHIPA sont tenus responsables d'en respecter les exigences en ce qui concerne la collecte, l'utilisation et la diffusion des PHI. Les services AWS sont structurés de sorte que les clients contrôlent la manière dont leur contenu est stocké ou traité à l'aide d'AWS, et notamment la manière dont ce contenu est sécurisé, ainsi que les personnes qui peuvent y accéder. AWS fournit des services que les clients peuvent configurer et utiliser de façon à garantir facilement la sécurité de toute donnée de santé personnelle stockée sur AWS. Toutefois, il incombe au client d'élaborer une solution qui respecte les exigences applicables en matière de confidentialité des données.

    Notez que, contrairement aux normes SOC, PCI ou FedRAMP, qui peuvent autoriser ou certifier une entité, il n'existe aucune « certification » officielle pour la conformité à la loi PHIPA. Au lieu de cela, AWS fournit à ses clients un grand nombre d'informations concernant les politiques, procédures et contrôles mis en place et opérés par ses soins. AWS met à disposition des manuels, des livres blancs et des guides de bonnes pratiques sur la page Ressources AWS en matière de conformité, et les clients disposent d'un accès à la demande aux rapports d'audit tiers d'AWS dans AWS Artifact. Les clients peuvent se baser sur ces informations pour évaluer si AWS répond à leurs exigences en matière de sécurité dans le cadre de la loi PHIPA.

  • Aucun contrat équivalent à l'accord de partenariat requis par la loi HIPAA aux États-Unis n'est exigé entre le client et AWS dans le cadre de la loi PHIPA. En cas de questions concernant l'applicabilité des termes spécifiques du contrat AWS, les clients doivent s'adresser aux représentants en charge de leur compte.

  • Les clients contrôlent en permanence la manière dont ils gèrent et accèdent au contenu qu'ils stockent sur AWS. AWS fournit un ensemble avancé de fonctionnalités d'accès, de chiffrement et de journalisation afin d'aider les clients à gérer leur contenu et à y accéder efficacement. AWS n'accède pas au contenu du client et ne le diffuse pas, sauf à la demande expresse du client, en cas d'obligation légale, ou sur ordre valide et contraignant d'un organisme gouvernemental ou réglementaire compétent. À moins qu'il existe une interdiction légale ou une indication claire d'illégalité d'un tel procédé en lien avec l'utilisation des services AWS, AWS informe les clients préalablement à la divulgation de leur contenu, afin de leur permettre de prendre des mesures pour se protéger contre ce type d'opération. Pour plus d'informations, consultez notre FAQ sur la confidentialité des données.

  • Pour savoir comment se conformer aux lois sur la confidentialité des données, les clients doivent s'adresser à leurs propres conseillers juridiques. De manière générale, aucune exigence de la loi PHIPA ne limite spécifiquement la possibilité pour une personne ou une organisation de transférer ou de stocker des données en dehors de l'Ontario ou du Canada. Toutefois, la loi PHIPA exige des entités qu'elles suivent certaines étapes afin de protéger les PHI. Il relève de la responsabilité de chaque client de déterminer si le transfert et le stockage des données en dehors du Canada satisfait à ses obligations en matière de sécurité.

    Les clients AWS doivent déterminer si les lois d'autres provinces du Canada s'appliquent et, le cas échéant, les consulter pour connaître les restrictions en matière de résidence des données. Les clients AWS choisissent la ou les régions dans lesquelles leur contenu sera stocké. AWS ne déplacera ni ne répliquera pas le contenu du client en dehors des régions qu'a choisies le client sans le consentement de ce dernier.

  • Dans le cadre de la loi PHIPA, il n'existe aucune exigence spécifique demandant de chiffrer les PHI. Cependant, les entités assujetties à cette loi doivent suivre certaines étapes pour garantir la protection des PHI, et il relève de la responsabilité de chaque client de déterminer si le chiffrement est approprié pour satisfaire à ses obligations en matière de sécurité. Conformément aux bonnes pratiques, AWS recommande de toujours chiffrer les PHI au repos et en transit.

  • AWS met à disposition une large gamme de ressources pour aider les clients à comprendre l'environnement et les contrôles de sécurité d'AWS. AWS fournit aux clients un accès à la demande à des rapports d'audit tiers (tels que nos rapports SOC 1 et SOC 2) dans AWS Artifact. AWS met également à disposition des manuels, des livres blancs et des bonnes pratiques sur la page Ressources AWS en matière de conformité, expliquant comment exécuter des workloads en toute sécurité dans AWS.

  • Par cohérence avec le modèle de responsabilité partagée, les clients doivent envisager de mettre en place des audits et une journalisation dans leur environnement AWS, d'une manière suffisante pour satisfaire leurs obligations en matière de conformité. AWS propose des services qui simplifient la mise en œuvre d'architectures d'analyse de fichiers journaux et de journalisation évolutive. AWS travaille également avec une large variété de partenaires dans AWS Marketplace, qui proposent des solutions de journalisation sécurisée. Pour plus d'informations sur la manière de mettre en œuvre la journalisation sur AWS, consultez la page consacrée aux fonctionnalités de journalisation sécurisée.

  • Vous pouvez lire nos derniers articles de blog sur les tendances dans les soins de santé canadiens. Si vous souhaitez obtenir des informations sur la conformité pour le secteur de la santé dans le cloud AWS, consultez cette page.

Ressources PHIPA

Principales tendances dans les soins de santé canadiens
Secteur public canadien
Des questions ? Contactez un représentant commercial d'AWS
Vous vous intéressez aux rôles de conformité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Compliance ?
Suivez-nous sur Twitter »