Loi sur la protection des renseignements personnels sur la santé (Terre-Neuve-et-Labrador)

Présentation

Canadian_Flag
Newfoundland-and-Labrador-Flag

La Loi sur la protection des renseignements personnels sur la santé , SNL 2008, c P-7.01 (LPRPS T.-N.-L.), est la législation sur la protection des renseignements personnels propre au secteur de la santé de Terre-Neuve-et-Labrador qui régit la collecte, l'utilisation et la divulgation des renseignements personnels sur la santé (RPS) impliqués dans la prestation des services de santé dans la province de Terre-Neuve-et-Labrador.

Les clients gardent en permanence le contrôle sur la gestion de leur contenu stocké sur AWS et sur leur accès. Étant donné qu'AWS n'a pas la possibilité de voir ni de savoir quelles données sont chargées par les clients sur son réseau, notamment si ces données sont considérées ou non comme étant soumises à la loi LPRPS, les clients sont responsables de leur conformité à cette loi. Les clients AWS peuvent concevoir et mettre en service un environnement AWS, et utiliser les services AWS de manière à respecter leurs obligations dans le cadre de la loi LPRPS T.-N.-L.

La région AWS Canada (Centre)est actuellement disponible pour plusieurs services, notamment Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) et Amazon Relational Database Service (Amazon RDS). Pour obtenir la liste complète des régions et services AWS, consultez la page relative à l'infrastructure mondiale. La tarification de la région Canada est disponible sur la page de présentation de chaque service, accessible via la page relative aux produits et services.

  • En quoi consistent les lois LPRPDE et LPRPS ? Quelle est la relation entre ces lois ?

    La loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est une loi fédérale canadienne régissant la collecte, l'utilisation et la diffusion d'informations personnelles dans le cadre d'activités commerciales dans l'ensemble des provinces canadiennes. Cependant, certaines provinces canadiennes ont également adopté leurs propres lois de portée générale en matière de protection des données personnelles, applicables tant au secteur public qu'au secteur privé, ainsi que des lois relatives à la confidentialité des données spécifiques aux données de santé personnelles. La Loi sur la protection des renseignements personnels sur la santé, SNL 2008, c P-7.01 (LPRPS T.-N.-L.), est la législation sur la protection des renseignements personnels en vigueur à Terre-Neuve-et-Labrador (T.-N.-L.) régissant la collecte, l'utilisation et la divulgation des renseignements personnels sur la santé (RPS) impliqués dans la prestation des services de santé à T.-N.-L. La loi LPRPS T.-N.-L. régit les informations détenues par les dépositaires de RPS telles que définies dans la réglementation, comme un pharmacien ou un service d'ambulance. Un « dépositaire » comprend, mais sans s'y limiter, un professionnel de la santé, lorsqu'il fournit des soins de santé à un particulier ou exerce une fonction nécessairement liée à la prestation de soins de santé à un particulier.

    La loi à laquelle est soumis un client AWS, et la mesure dans laquelle il l'est, qu'il s'agisse de la LPRPDE, de la LPRPS T.-N.-L. ou de toute autre exigence d'une province canadienne relative à la protection des données personnelles, peuvent varier en fonction de l'activité du client.

    D'autres organisations peuvent également être assujetties à la LPRPDE ou à des lois provinciales sur la confidentialité des données. Pour plus d'informations sur la LPRPDE, veuillez consulter le site Web d’AWS ici.

    Pour savoir à quelles lois ils sont assujettis en matière de confidentialité des données, les clients doivent s'adresser à leurs propres conseillers juridiques.

  • Comment les clients peuvent-ils se conformer à la loi LPRPS T.-N.-L. sur AWS ?

    Les clients AWS peuvent concevoir et mettre en service un environnement AWS, et utiliser les services AWS de manière à respecter leurs obligations dans le cadre de la loi LPRPS T.-N.-L.

    Les clients assujettis à la loi LPRPS T.-N.-L. peuvent être tenus de se conformer aux exigences encadrant la collecte, l'utilisation, la divulgation et la protection des renseignements personnels sur la santé. AWS donne aux clients le contrôle sur la manière dont leur contenu est stocké ou traité lorsqu'ils utilisent les services AWS, et notamment la manière dont ce contenu est sécurisé, ainsi que les personnes qui peuvent y accéder. AWS fournit des services que les clients peuvent configurer et utiliser de façon à garantir facilement la sécurité des renseignements personnels sur la santé stockés sur AWS. Toutefois, il incombe au client d'élaborer une solution qui respecte les exigences applicables en matière de confidentialité des données.

    Il convient de relever qu'il n'existe pas de « certification » en matière de conformité LPRPS T.-N.-L. officiellement reconnue, comme il existe des certifications ou des autorisations SOC, PCI ou FedRAMP. En revanche, AWS fournit à ses clients un volume considérable d'informations concernant les politiques, les processus et les contrôles établis et gérés par elle. AWS fournit des manuels, livres blancs et guides de bonnes pratiques disponibles sur la page consacrée aux ressources AWS en matière de conformité. Par ailleurs, les clients bénéficient d'un accès à la demande aux rapports d'audit tiers sur AWS dans AWS Artifact.

  • Est-ce qu'AWS accède aux renseignements personnels sur la santé que les clients placent sur ses services ?

    Les clients gardent en permanence le contrôle sur la gestion de leur contenu stocké sur AWS et sur leur accès. AWS fournit un ensemble avancé de fonctionnalités d'accès, de chiffrement et de journalisation afin d'aider les clients à gérer leur accès et leur contenu. AWS n'accède pas au contenu du client et ne le diffuse pas, sauf à la demande expresse du client, en cas d'obligation légale, ou sur ordre légal valide et contraignant d'un organisme gouvernemental ou réglementaire compétent. À moins qu'il existe une interdiction légale ou une indication claire d'illégalité d'un tel procédé en lien avec l'utilisation des services AWS, AWS informe les clients préalablement à la divulgation de leur contenu, afin de leur permettre de prendre des mesures pour se protéger contre ce type d'opération. Pour plus d'informations, consultez notre FAQ sur la confidentialité des données.  

  • La loi LPRPS T.-N.-L. interdit-elle à un client AWS de disposer de données en transit ou au repos en dehors de T.-N.-L. ou du Canada ?

    Pour savoir comment se conformer aux lois sur la confidentialité des données, les clients doivent s'adresser à leurs propres conseillers juridiques. Par mesure de protection des renseignements sur la santé dont les dépositaires ont la garde ou le contrôle, la loi LPRPS T.-N.-L. peut leur demander de mettre en place certaines mesures d'ordre administratif, technique et physique, par exemple. Les RPS devant être stockés, utilisés, divulgués ou accessibles hors de T.-N.-L. ou du Canada peuvent être soumis à certaines obligations au titre de la loi LPRPS T.-N.-L. préalablement auxdits stockage, utilisation, divulgation et accès hors de T.-N.-L. ou du Canada. Il relève de la responsabilité de chaque client de déterminer si le transfert et le stockage de ses données hors de T.-N.-L. ou du Canada satisfont à ses exigences de sécurité et de protection de la vie privée au titre de la loi LPRPS T.-N.-L.

    Les clients AWS doivent déterminer si la LPRPDE ou les lois d'autres provinces du Canada sont applicables et, le cas échéant, les consulter pour connaître les restrictions en matière de résidence des données. Les clients AWS choisissent la ou les régions AWS dans lesquelles leur contenu sera stocké. Nous ne déplacerons ni ne répliquerons pas le contenu du client en dehors de la ou des régions choisies par le client sans son consentement.

  • La loi LPRPS T.-N.-L. requiert-elle le chiffrement des renseignements personnels ?

    Au titre de la loi LPRPS T.-N.-L., il n'existe aucune exigence spécifique demandant de chiffrer les renseignements personnels. Cependant, les entités assujetties à cette loi doivent suivre certaines étapes pour garantir la protection des renseignements personnels sur la santé, et il relève de la responsabilité de chaque client de déterminer si le chiffrement est approprié pour satisfaire à ses obligations en matière de sécurité. Conformément aux bonnes pratiques, AWS recommande de toujours chiffrer les RPS au repos et en transit.

  • Comment les clients peuvent-ils obtenir des informations en vue d'effectuer une évaluation de l'impact de la confidentialité des données en lien avec l'utilisation d'AWS ?

    AWS met à disposition une large gamme de ressources pour aider les clients à comprendre l'environnement et les contrôles de sécurité d'AWS. AWS fournit aux clients un accès à la demande aux rapports d'audit tiers (tels que nos rapports SOC 1 et SOC 2) dans AWS Artifact. AWS met également à disposition des manuels, des livres blancs et des bonnes pratiques sur la page Ressources AWS en matière de conformité, expliquant comment exécuter des charges de travail en toute sécurité dans AWS.

  • Comment les clients peuvent-ils mettre en œuvre les audits de leur environnement sur AWS ?

    Dans le cadre du modèle de responsabilité partagée, les clients doivent envisager de mettre en place des audits et une journalisation dans leur environnement AWS, d'une manière suffisante pour satisfaire à leurs obligations en matière de conformité. AWS propose des services qui simplifient la mise en œuvre d'architectures d'analyse de fichiers journaux et de journalisation évolutive. AWS travaille également avec une large variété de partenaires dans AWS Marketplace, qui proposent des solutions de journalisation sécurisée. Pour plus d'informations sur la manière de mettre en œuvre la journalisation sur AWS, consultez la page consacrée aux fonctionnalités de journalisation sécurisée AWS.

  • Pouvez-vous fournir des exemples d'autres organisations du secteur de la santé qui utilisent AWS au Canada ?

    Vous pouvez lire nos derniers articles de blog sur les tendances dans les soins de santé canadiens. Si vous souhaitez obtenir des informations sur la conformité pour le secteur de la santé dans le Cloud AWS, consultez cette page.

compliance-contactus-icon
Vous avez des questions ? Contacter un représentant commercial d'AWS
Explorer les rôles de conformité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Compliance ?
Suivez-nous sur Twitter »