Présentation

La loi sur l'accès et la protection en matière de renseignements personnels sur la santé (NB LAPRPS), accompagnée des Exigences générales, est une loi sur la confidentialité des données au Nouveau-Brunswick qui s'applique à la collecte, l'utilisation, la divulgation et la protection de renseignements personnels sur la santé placés sous la garde ou le contrôle du dépositaire.

Les clients gardent en permanence le contrôle sur la gestion de leur contenu stocké sur AWS et sur leur accès. AWS n'a pas la possibilité de voir ni de savoir quelles données sont chargées par les clients sur son réseau, notamment si ces données sont considérées ou non comme étant soumises à la loi NB LAPRPS. La responsabilité de s'assurer de la conformité à cette loi incombe donc aux clients. Les clients AWS peuvent concevoir et mettre en service un environnement AWS, et utiliser les services AWS de manière à respecter leurs obligations dans le cadre de la loi NB LAPRPS.

La région AWS Canada (Centre)est actuellement disponible pour plusieurs services, notamment Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) et Amazon Relational Database Service (Amazon RDS). Pour obtenir la liste complète des régions et services AWS, consultez la page relative à l'infrastructure mondiale. La tarification de la région Canada est disponible sur la page de présentation de chaque service, accessible via la page relative aux produits et services.

• En quoi consistent les lois LPRPDE et NB LAPRPS ? Quelle est la relation entre ces lois ?

  La loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est une loi fédérale canadienne régissant la collecte, l'utilisation et la divulgation d'informations personnelles dans le cadre d'activités commerciales dans l'ensemble des provinces canadiennes. Cependant, certaines provinces canadiennes ont également adopté leurs propres lois de portée générale en matière de protection des données personnelles, applicables tant au secteur public qu'au secteur privé, ainsi que des lois relatives à la confidentialité des données spécifiques aux données de santé personnelles. La loi sur l'accès et la protection en matière de renseignements personnels sur la santé, S.N.B. 2009, c. P-7.05 (« NB LAPRPS ») est une loi sur la protection de la vie privée au Nouveau-Brunswick (« NB »), qui s'applique à la collecte, à l'utilisation, à la divulgation et à la protection de renseignements personnels sur la santé par des organisations et des individus particuliers (appelés « dépositaire » en vertu de la loi NB LAPRPS) au Nouveau-Brunswick, et aux mesures à prendre pour protéger ces informations. La loi NB LAPRPS s'applique aux renseignements personnels sur la santé définis dans la loi NB LAPRPS comme « informations d'identification relatives à une personne, sous forme orale ou enregistrée, si les informations (a) concernent sa santé physique ou mentale, ses antécédents familiaux ou son dossier médical, y compris les renseignements d'ordre génétique le concernant ; (b) représentent des informations relatives à son inscription, y compris son numéro d'assurance-maladie ; (c) concernent les soins de santé qui lui sont fournis ; (d) concernent des informations relatives aux paiements ou à l'éligibilité à des soins de santé à l'égard de l'individu, ou l'éligibilité à une couverture des soins de santé à son égard ; (e) se rapportent au don, par le particulier, d'une partie de son corps ou d'une de ses substances corporelles, ou proviennent des résultats de tests ou d'examens effectués sur une partie du corps ou une substance corporelle de celui-ci ; (f) identifient son mandataire spécial ; (g) identifient son prestataire de soins de santé. » Un « dépositaire » est « une personne ou une organisation qui recueille, conserve ou utilise des renseignements personnels sur la santé dans le but de fournir ou d'aider à la fourniture de soins de santé ou de traitements, à la planification et à la gestion du système de soins de santé ou à l'exécution d'un service ou programme gouvernemental » et inclut les organismes publics et les prestataires de soins de santé qui ne sont ni les agents ni les employés d'un dépositaire, entre autres, au sens de la loi NB LAPRPS.

  La loi à laquelle est soumis un client AWS, et la mesure dans laquelle il l'est, qu'il s'agisse de la LPRPDE, de la loi NB LAPRPS ou de toute autre exigence d'une province canadienne relative à la protection des données personnelles, peut varier en fonction de l'activité du client.

  D'autres organisations peuvent également être assujetties à la LPRPDE ou à des lois provinciales sur la confidentialité des données. Pour plus d'informations sur la LPRPDE, veuillez consulter le site Web d’AWS ici.

  Pour savoir à quelles lois ils sont assujettis en matière de confidentialité des données, les clients doivent s'adresser à leurs propres conseillers juridiques.
  

• Comment les clients peuvent-ils se conformer à la loi NB LAPRPS sur AWS ?

  Les clients AWS peuvent concevoir et mettre en service un environnement AWS, et utiliser les services AWS de manière à respecter leurs obligations dans le cadre de la loi NB LAPRPS.

  Les clients assujettis à la loi NB LAPRPS peuvent être tenus de se conformer aux exigences encadrant la collecte, l'utilisation, la divulgation et la protection des renseignements personnels sur la santé. AWS donne aux clients le contrôle sur la manière dont leur contenu est stocké ou traité lorsqu'ils utilisent les services AWS, et notamment la manière dont ce contenu est sécurisé, ainsi que les personnes qui peuvent y accéder. AWS fournit des services que les clients peuvent configurer et utiliser de façon à garantir facilement la sécurité des renseignements personnels sur la santé stockés sur AWS. Toutefois, il incombe au client d'élaborer une solution qui respecte les exigences applicables en matière de confidentialité des données.

  Notez que, contrairement aux normes SOC, PCI ou FedRAMP, qui peuvent autoriser ou certifier une entité, il n'existe aucune « certification » officielle pour la conformité à la loi NB LAPRPS. En revanche, AWS fournit à ses clients un volume considérable d'informations concernant les politiques, les processus et les contrôles établis et gérés par elle. AWS fournit des manuels, livres blancs et guides de bonnes pratiques disponibles sur la page consacrée aux ressources AWS en matière de conformité. Par ailleurs, les clients bénéficient d'un accès à la demande aux rapports d'audit tiers sur AWS dans AWS Artifact.
  

• Est-ce qu'AWS accède aux renseignements personnels sur la santé que les clients placent sur ses services ?

  Les clients gardent en permanence le contrôle sur la gestion de leur contenu stocké sur AWS et sur leur accès. AWS fournit un ensemble avancé de fonctionnalités d'accès, de chiffrement et de journalisation afin d'aider les clients à gérer leur accès et leur contenu. AWS n'accède pas au contenu du client et ne le diffuse pas, sauf à la demande expresse du client, en cas d'obligation légale, ou sur ordre légal valide et contraignant d'un organisme gouvernemental ou réglementaire compétent. À moins qu'il existe une interdiction légale ou une indication claire d'illégalité d'un tel procédé en lien avec l'utilisation des services AWS, AWS informe les clients préalablement à la divulgation de leur contenu, afin de leur permettre de prendre des mesures pour se protéger contre ce type d'opération. Pour plus d'informations, consultez notre FAQ sur la confidentialité des données.
  

• La loi NB LAPRPS interdit-elle à un client AWS de disposer de données en transit ou au repos en dehors du Nouveau-Brunswick ou du Canada ?

  Pour savoir comment se conformer aux lois sur la confidentialité des données, les clients doivent s'adresser à leurs propres conseillers juridiques. Par mesure de protection des renseignements sur la santé dont les dépositaires ont la garde ou le contrôle, la loi NB LAPRPS peut leur demander de mettre en place certaines mesures d'ordre administratif, technique et physique, par exemple. Les renseignements personnels sur la santé devant être stockés, utilisés ou divulgués hors du Nouveau-Brunswick peuvent être soumis à certaines obligations au titre de la loi NB LAPRPS préalablement auxdits stockage, utilisation et divulgation hors du Nouveau-Brunswick. Il est de la responsabilité de chaque client de déterminer si le transfert et le stockage de ses données hors du Nouveau-Brunswick ou du Canada satisfont à ses exigences de sécurité et de protection de la vie privée au titre de la loi NB LAPRPS.

  Les clients AWS doivent déterminer si la LPRPDE ou les lois d'autres provinces du Canada sont applicables et, le cas échéant, les consulter pour connaître les restrictions en matière de résidence des données. Les clients AWS choisissent la ou les régions AWS dans lesquelles leur contenu sera stocké. Nous ne déplacerons ni ne répliquerons pas le contenu du client en dehors de la ou des régions choisies par le client sans son consentement.
  

• La loi NB LAPRPS requiert-elle le chiffrement des renseignements sur la santé ?

  Au titre de la loi NB LAPRPS, il n'existe aucune exigence spécifique demandant de chiffrer les renseignements personnels sur la santé. Cependant, les entités assujetties à cette loi doivent suivre certaines étapes pour garantir la protection des renseignements personnels sur la santé, et il relève de la responsabilité de chaque client de déterminer si le chiffrement est approprié pour satisfaire à ses obligations en matière de sécurité. Conformément aux bonnes pratiques, AWS recommande de toujours chiffrer les renseignements personnels sur la santé au repos et en transit.
  

• Comment les clients peuvent-ils obtenir des informations en vue d'effectuer une évaluation de l'impact de la confidentialité des données en lien avec l'utilisation d'AWS ?

  AWS met à disposition une large gamme de ressources pour aider les clients à comprendre l'environnement et les contrôles de sécurité d'AWS. AWS fournit aux clients un accès à la demande aux rapports d'audit tiers (tels que nos rapports SOC 1 et SOC 2) dans AWS Artifact. AWS met également à disposition des manuels, des livres blancs et des bonnes pratiques sur la page consacrée aux ressources AWS en matière de conformité, expliquant comment exécuter des charges de travail en toute sécurité sur AWS.
  

• Comment les clients peuvent-ils mettre en œuvre les audits et la journalisation sur AWS ?

  Dans le cadre du modèle de responsabilité partagée, les clients doivent envisager de mettre en place des audits et une journalisation dans leur environnement AWS, d'une manière suffisante pour satisfaire à leurs obligations en matière de conformité. AWS propose des services qui simplifient la mise en œuvre de journalisations et d'architectures d'analyse de fichiers journaux scalables. AWS travaille également avec une large variété de partenaires dans AWS Marketplace, qui proposent des solutions de journalisation sécurisée. Pour plus d'informations sur la manière de mettre en œuvre la journalisation sur AWS, consultez la page consacrée aux fonctionnalités de journalisation sécurisée AWS.
  

• Pouvez-vous fournir des exemples d'autres organisations du secteur de la santé qui utilisent AWS au Canada ?

  Vous pouvez lire nos derniers articles de blog sur les tendances dans les soins de santé canadiens. Si vous souhaitez obtenir des informations sur la conformité pour le secteur de la santé dans le Cloud AWS, consultez cette page.