Health Information Act (Alberta)

Présentation

La Health Information Act (HIA) est la loi sur le respect de la vie privée de l’Alberta portant sur la collecte, l’utilisation, la divulgation et la protection des renseignements sur la santé placés sous la garde ou le contrôle du dépositaire.

Les clients gardent en permanence le contrôle sur la gestion de leur contenu stocké sur AWS et sur leur accès. Étant donné qu'AWS n'a pas la possibilité de voir ni de savoir quelles données sont chargées par les clients sur son réseau, notamment si ces données sont considérées ou non comme étant soumises à la HIA, les clients sont responsables de leur conformité à cette loi. Les clients AWS peuvent concevoir et mettre en œuvre un environnement AWS, et utiliser les services AWS de manière à respecter leurs obligations au titre de la HIA.

La région AWS Canada (Centre)est actuellement disponible pour plusieurs services, notamment Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) et Amazon Relational Database Service (Amazon RDS). Pour obtenir la liste complète des régions et services AWS, consultez la page relative à l'infrastructure mondiale. La tarification de la région Canada est disponible sur la page de présentation de chaque service, accessible via la page relative aux produits et services.

• En quoi consistent les lois LPRPDE et HIA ? Quelle est la relation entre les deux ?

  La loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est une loi fédérale canadienne régissant la collecte, l'utilisation et la diffusion d'informations personnelles dans le cadre d'activités commerciales dans l'ensemble des provinces canadiennes. Cependant, certaines provinces canadiennes ont également adopté leurs propres lois de portée générale en matière de protection des données personnelles, applicables tant au secteur public qu’au secteur privé, ainsi que des lois relatives à la confidentialité des données spécifiques aux données de santé personnelles. La Health Information Act (HIA) est la loi sur le respect de la vie privée de l’Alberta portant sur la collecte, l’utilisation, la divulgation et la protection des renseignements sur la santé placés sous la garde ou le contrôle du dépositaire. Constituent des « renseignements sur la santé » (a) les informations relatives au diagnostic, au traitement ou aux soins et (b) les informations d’enregistrement. Le terme « dépositaire » désigne, entre autres, les prestataires de soins de santé, les professionnels de la santé désignés (médecins, infirmiers, etc.), les organisations assurant des prestations de services de santé (hôpitaux, centres de soins, ambulanciers, etc.), ainsi que toute autre entité publique intervenant dans le secteur de la santé (par exemple les conseils de santé provinciaux, les autorités sanitaires régionales et les conseils de santé communautaires).

  La loi à laquelle est soumis un client AWS, et la mesure dans laquelle il l'est, qu'il s'agisse de la LPRPDE, de la loi HIA ou de toute autre exigence d'une province canadienne relative à la protection des données personnelles, peuvent varier en fonction de l'activité du client.

  D’autres organisations peuvent également être assujetties à la LPRPDE ou à des lois provinciales sur la confidentialité des données. Pour plus d'informations sur la LPRPDE, veuillez consulter le site Web d’AWS ici.

  Pour savoir à quelles lois ils sont assujettis en matière de confidentialité des données, les clients doivent s'adresser à leurs propres conseillers juridiques.
  

• Comment les clients peuvent-ils se conformer à la HIA sur AWS ?

  Les clients AWS peuvent concevoir et mettre en œuvre un environnement AWS, et utiliser les services AWS de manière à respecter leurs obligations au titre de la HIA.

  Les clients assujettis à la HIA peuvent être tenus de se conformer aux exigences encadrant la collecte, l’utilisation, la divulgation et la protection des renseignements sur la santé. AWS donne aux clients le contrôle sur la manière dont leur contenu est stocké ou traité lorsqu’ils utilisent les services AWS, et notamment la manière dont ce contenu est sécurisé, ainsi que les personnes qui peuvent y accéder. AWS fournit des services que les clients peuvent configurer et utiliser de façon à garantir facilement la sécurité des renseignements personnels sur la santé stockés sur AWS. Toutefois, il incombe au client d'élaborer une solution qui respecte les exigences applicables en matière de confidentialité des données.

  Il convient de relever qu’il n’existe pas de « certification » en matière de conformité HIA officiellement reconnue, comme il existe des certifications ou des autorisations SOC, PCI ou FedRAMP. En revanche, AWS fournit à ses clients un volume considérable d’informations concernant les politiques, les processus et les contrôles établis et gérés par elle. AWS fournit des manuels, livres blancs et guides de bonnes pratiques disponibles sur la page consacrée aux ressources AWS en matière de conformité. Par ailleurs, les clients bénéficient d’un accès à la demande aux rapports d’audit tiers sur AWS dans AWS Artifact.

• Est-ce qu'AWS accède aux renseignements sur la santé que les clients placent sur ses services ?

  Les clients gardent en permanence le contrôle sur la gestion de leur contenu stocké sur AWS et sur leur accès. AWS fournit un ensemble avancé de fonctionnalités d'accès, de chiffrement et de journalisation afin d'aider les clients à gérer leur accès et leur contenu. AWS n'accède pas au contenu du client et ne le diffuse pas, sauf à la demande expresse du client, en cas d'obligation légale, ou sur ordre légal valide et contraignant d'un organisme gouvernemental ou réglementaire compétent. À moins qu'il existe une interdiction légale ou une indication claire d'illégalité d'un tel procédé en lien avec l'utilisation des services AWS, AWS informe les clients préalablement à la divulgation de leur contenu, afin de leur permettre de prendre des mesures pour se protéger contre ce type d'opération. Pour plus d'informations, consultez notre FAQ sur la confidentialité des données.
  

• La loi HIA interdit-elle à un client AWS de disposer de données en transit ou au repos en dehors de l'Alberta ou du Canada ?

  Pour savoir comment se conformer aux lois sur la confidentialité des données, les clients doivent s'adresser à leurs propres conseillers juridiques. Par mesure de protection des renseignements sur la santé dont les dépositaires ont la garde ou le contrôle, la HIA peut leur demander de mettre en place certaines mesures d’ordre administratif, technique et physique, par exemple. Les renseignements sur la santé devant être stockés, utilisés ou divulgués hors de l’Alberta peuvent être soumis à certaines obligations au titre de la HIA préalablement auxdits stockage, utilisation et divulgation hors de l’Alberta. Il est de la responsabilité de chaque client de déterminer si le transfert et le stockage de ses données hors de l’Alberta ou du Canada satisfont à ses exigences de sécurité et de protection de la vie privée au titre de la HIA.

  Les clients AWS doivent déterminer si la LPRPDE ou les lois d'autres provinces du Canada sont applicables et, le cas échéant, les consulter pour connaître les restrictions en matière de résidence des données. Les clients AWS choisissent la ou les régions AWS dans lesquelles leur contenu sera stocké. Nous ne déplacerons ni ne répliquerons le contenu du client en dehors de la ou des régions choisies par le client sans son consentement.
  

• La HIA requiert-elle le chiffrement des renseignements sur la santé ?

  Au titre de loi HIA, il n'existe aucune exigence spécifique demandant de chiffrer les renseignements sur la santé. Cependant, les entités assujetties à cette loi doivent suivre certaines étapes pour garantir la protection des renseignements de santé, et il relève de la responsabilité de chaque client de déterminer si le chiffrement est approprié pour satisfaire à ses obligations en matière de sécurité. Conformément aux bonnes pratiques, AWS recommande de toujours chiffrer les renseignements de santé au repos et en transit.
  

• Comment les clients peuvent-ils obtenir des informations en vue d'effectuer une évaluation de l’impact de la confidentialité des données en lien avec l'utilisation d'AWS ?

  AWS met à disposition une large gamme de ressources pour aider les clients à comprendre l'environnement et les contrôles de sécurité d'AWS. AWS fournit aux clients un accès à la demande aux rapports d'audit tiers (tels que nos rapports SOC 1 et SOC 2) dans AWS Artifact. AWS met également à disposition des manuels, des livres blancs et des bonnes pratiques sur la page consacrée aux ressources AWS en matière de conformité, expliquant comment exécuter des charges de travail en toute sécurité sur AWS.
  

• Comment les clients peuvent-ils mettre en œuvre les audits et la journalisation sur AWS ?

  Dans le cadre du modèle de responsabilité partagée, les clients doivent envisager de mettre en place des audits et une journalisation dans leur environnement AWS, d'une manière suffisante pour satisfaire à leurs obligations en matière de conformité. AWS propose des services qui simplifient la mise en œuvre de journalisations et d'architectures d'analyse de fichiers journaux scalables. AWS travaille également avec une large variété de partenaires dans AWS Marketplace, qui proposent des solutions de journalisation sécurisée. Pour plus d'informations sur la manière de mettre en œuvre la journalisation sur AWS, consultez la page consacrée aux fonctionnalités de journalisation sécurisée.
  

• Pouvez-vous fournir des exemples d'autres organisations du secteur de la santé qui utilisent AWS au Canada ?

  Vous pouvez lire nos derniers articles de blog sur les tendances dans les soins de santé canadiens. Si vous souhaitez obtenir des informations sur la conformité pour le secteur de la santé dans le Cloud AWS, consultez cette page.