Programme des avantages pour soins de santé

Le présent rapport rend compte des constatations de l'Évaluation des facteurs relatifs à la vie privée (EFVP) visant le Programme des avantages pour soins de santé. Le 18 juin 2009, les modifications à la Loi sur les allocations aux anciens combattants ont reçu la sanction royale en vue de l'élargissement du Programme des allocations aux anciens combattants (AAC) et des avantages connexes, dont ceux qui relèvent du Programme des avantages pour soins de santé, de sorte que soient admis les anciens combattants alliés qui ont servi pendant la Seconde Guerre mondiale ou la guerre de Corée, ainsi que leurs survivants et/ou leurs personnes à charge. L'élargissement du programme a été l'occasion de soumettre le Programme des avantages pour soins de santé à une évaluation des facteurs relatifs à la vie privée (EFVP), y compris de l'élargissement actuel en faveur des anciens combattants alliés. Cette EFVP rend compte de l'état du Programme des avantages pour soins de santé au 31 octobre 2009.

Des prestations (avantages) et des services de soins de santé sont offerts aux anciens combattants sous une forme ou une autre depuis la fin de la Première Guerre mondiale (1914-1918). Au lendemain de la Seconde Guerre mondiale (1939-1945), le ministère des Anciens Combattants, qui venait d'être créé (1944), a déterminé qu'il fallait offrir des programmes de réadaptation soutenus à grande échelle pour répondre aux besoins des anciens combattants blessés de retour au pays ou de ceux qui, après avoir servi, éprouvaient de la difficulté à réintégrer la vie civile pour différentes raisons. On a donc mis au point un large éventail de programmes, incluant des soins médicaux, pour relever les défis auxquels les anciens combattants étaient confrontés.

À propos de l'Évaluation des facteurs relatifs à la vie privée (EFVP)

La présente Évaluation des facteurs relatifs à la vie privée s'appuie sur une analyse des activités du Programme des avantages pour soins de santé qu'exécute ACC, mais ne tient pas compte de la gestion des demandes, qui est assurée en sous-traitance par un tiers administrateur. Cette EFVP porte exclusivement sur le Programme des avantages pour soins de santé, à partir du stade où une décision d'admissibilité positive dans le cadre de certains programmes établit l'admissibilité d'un client donné aux prestations de soins de santé.

Anciens Combattants Canada (ACC) tient à protéger les renseignements personnels de tous les clients et a pris les mesures appropriées pour veiller à ce que le Programme des avantages pour soins de santé respecte les principes de la Loi sur la protection des renseignements personnels, du règlement connexe, ainsi que la Politique sur la protection de la vie privée du Secrétariat du Conseil du Trésor, qui régissent la collecte, l'utilisation, la divulgation, la correction, la protection, la conservation et le déclassement des renseignements personnels.

L'EFVP porte sur la façon dont les renseignements personnels sont recueillis, utilisés et communiqués pendant toute la durée du cycle de vie du Programme des avantages pour soins de santé. Les EFVP se fondent sur les dix principes universels relatifs à la protection de la vie privée et résultent des exigences de la Loi sur la protection des renseignements personnels. L'EFVP visant le Programme des avantages pour soins de santé a révélé cinq risques éventuels liés à la protection des renseignements personnels.

Risque 1 - Directives nécessaires concernant la collecte et la divulgation des renseignements personnels (Niveau de risque : faible)

Problème

La plupart des renseignements personnels nécessaires à l'autorisation et à l'approbation des prestations et des services sont recueillis indirectement auprès des fournisseurs de services et des professionnels de la santé. Les directives concernant la collecte et la divulgation des renseignements personnels sont insuffisantes, et cette lacune risque d'entraîner la collecte de renseignements inutiles et la divulgation non autorisée de renseignements.

Plan de gestion

Ce risque est considéré comme faible, puisque le client, en transmettant son numéro de carte santé à un fournisseur de services, consent de façon implicite à ce que les renseignements soient échangés pour faciliter l'exécution des services et des prestations. Pour atténuer les risques liés à cette activité, et pour veiller à ce que l'échange de renseignements se limite à ce qui est nécessaire pour l'exécution des services et des prestations, les renseignements nécessaires aux autorisations et aux approbations seront désignés comme tels et on communiquera au personnel des directives sur la collecte, l'utilisation et la divulgation des renseignements personnels.

Risque 2 - Avis de protection des renseignements personnels (Niveau de risque : faible)

Problème

Certains formulaires utilisés pour la collecte de renseignements personnels dans le cadre du Programme des avantages pour soins de santé ne comportent aucun avis de protection des renseignements personnels. Pour de nombreux programmes de choix (PDC), les formulaires ne constituent pas la méthode habituelle de collecte de renseignements personnels. Aucun message uniforme documenté ne semble exister pour informer les clients de leurs droits en ce qui a trait à la collecte, à l'utilisation et à la divulgation des renseignements.

Plan de gestion

On examinera et on mettra à jour les avis de protection des renseignements personnels qui apparaissent sur les formulaires, et on établira ou documentera des avis concernant l'admissibilité aux prestations de soins de santé, afin de satisfaire aux exigences du Conseil du Trésor et de respecter les normes d'ACC.

Risque 3 - Utilisation du formulaire d'acceptation et de consentement (Niveau de risque : moyen)

Problème

On se sert du formulaire d'acceptation et de consentement pour obtenir le consentement des clients en vue de la collecte de renseignements sur divers diagnostics, soins et services rendus par des fournisseurs de services et des professionnels de la santé. Seules la date, la signature du client et celle du témoin apparaissent sur ce formulaire. Par conséquent, il est parfois difficile d'identifier le client. Les indications ne sont pas suffisamment claires en ce qui a trait à la façon dont le formulaire sera utilisé, et pendant combien de temps, et aucune information n'est fournie à propos des conséquences auxquelles s'expose une personne si elle refuse de signer le formulaire. Par conséquent, le client n'est peut-être pas pleinement informé de ses droits.

Plan de gestion

On révisera le formulaire d'acceptation et de consentement afin qu'il comporte les identificateurs du client nécessaires, pour permettre d'établir un lien approprié avec le bon client et de donner des précisions concernant la durée de la période de validité. On transmettra au client des renseignements précis sur le moment où le consentement sera utilisé, et la façon dont il le sera.

Risque 4 - Les systèmes électroniques d'ACC ne comportent aucune fonction de déclassement (Niveau de risque : faible)

Problème

Les systèmes électroniques d'ACC, c'est-à-dire le Réseau de prestation des services aux clients (RPSC) et le Système fédéral de traitement des demandes de soins de santé (SFTDSS), ne sont pas dotés des fonctions nécessaires au déclassement des documents. Par conséquent, les renseignements ne sont pas gérés intégralement du début à la fin de leur cycle de vie conformément aux exigences législatives et à celles des organismes centraux. Bien que ce problème ne présente aucun risque immédiat pour la sécurité des renseignements de la clientèle, cette pratique constitue une infraction manifeste aux lois et aux politiques de protection des renseignements personnels et de gestion de l'information.

Plan de gestion

Il s'agit là d'un risque ministériel qui ne concerne pas uniquement le Programme des avantages pour soins de santé. En ce moment, on a mis au point un plan d'action qui énonce les tâches de haut niveau à exécuter pour corriger la situation. On a réalisé, par rapport à ce plan d'action, des progrès comme l'établissement de périodes de conservation des renseignements des clients d'ACC, et l'élaboration d'une proposition en vue du classement par ordre de priorité des technologies de l'information. Pour assurer la poursuite des progrès, ACC élaborera un plan d'action plus détaillé qui comprendra des estimations des coûts, qui sera porté à l'attention de la direction et qui servira à la planification des activités.

Risque 5 - Évaluation de la menace et des risques (EMR) pour la protection des renseignements personnels (Niveau de risque : faible)

Problème

Aucune évaluation de la menace et des risques (EMR) n'a été exécutée à l'égard du Programme des avantages pour soins de santé, ce qui peut entraîner des lacunes relativement à la détermination et la protection de l'information sensible.

Plan de gestion

Le recours aux locaux à bureaux actuels, à des processus déjà utilisés et au personnel en place a pour effet d'affaiblir la probabilité d'un incident de la sécurité ou d'une atteinte à la vie privée. Le Programme des avantages pour soins de santé, étant en oeuvre depuis longtemps, les pratiques et les procédures sont bien établies et bien comprises, et le respect de la vie privée des clients est assuré. Pour le moment, ACC acceptera le risque et surveillera la situation. Si la situation devait changer (c.-à-d. les processus, les systèmes, etc.), on réévaluera l'approche.

Conclusion

Bien que la présente EFVP ait fait ressortir un certain nombre de risques liés à la protection des renseignements personnels, on a mis au point des plans de gestion qui correspondent au niveau de risque.

Date de modification :