ITAD sécurisé pour les organisations de santé : confidentialité, chaîne de possession et destruction certifiée des données au Canada

Dans le secteur de la santé, une violation de données n’est pas seulement un événement financier. C’est aussi un événement qui touche directement la confiance des patients. Au début de l’année 2025, une organisation canadienne du secteur de la santé a découvert qu’un accès non autorisé à ses systèmes était en cours depuis plusieurs semaines avant d’être détecté, entraînant finalement l’exposition des dossiers d’environ 1,9 million de patients. Cet incident a mis en évidence un risque que de nombreuses organisations de santé canadiennes n’ont pas encore pleinement pris en compte : l’exposition des données ne résulte pas uniquement des intrusions réseau. Elle peut également provenir d’équipements informatiques mis hors service de manière inadéquate.

Chaque serveur, poste de travail, tablette, appareil d’imagerie médicale et équipement réseau qui quitte un établissement de santé sans destruction certifiée des données et sans chaîne de possession documentée représente un risque potentiel de violation de données.

Ce guide présente le cadre de conformité applicable, l’ensemble des équipements nécessitant une mise hors service sécurisée ainsi que les normes de documentation qui protègent votre organisation en vertu de la PHIPA, de la LPRPDE (PIPEDA) et de la Loi 25 du Québec. Pour obtenir une compréhension plus globale de l’ITAD, consultez le guide d’eCycle Solutions sur la gestion de fin de vie des actifs informatiques au Canada.

Le cadre canadien de conformité pour la mise au rebut des équipements informatiques dans le secteur de la santé

Les organisations de santé au Canada évoluent dans un environnement de conformité en matière de protection des renseignements personnels plus exigeant que celui de presque tous les autres secteurs. L’obligation de protection ne prend pas fin lorsqu’un appareil est mis hors tension. Elle ne se termine que lorsque la destruction certifiée des données a été effectuée, documentée et confirmée.

PHIPA : la norme ontarienne pour les dépositaires de renseignements sur la santé

La PHIPA exige que les hôpitaux, les cliniques, les établissements de soins de longue durée, les pharmacies et les laboratoires de diagnostic prennent des mesures raisonnables pour protéger les renseignements personnels sur la santé contre le vol, la perte ainsi que l’utilisation ou la divulgation non autorisées. Cette obligation s’étend directement au moment où un appareil quitte l’établissement. Depuis le 1er janvier 2024, le Commissaire à l’information et à la protection de la vie privée de l’Ontario est autorisé à imposer des sanctions administratives pouvant atteindre 50 000 $ CA pour les particuliers et 500 000 $ CA pour les organisations.

La Loi 25 du Québec : le cadre le plus strict au Canada

Pleinement en vigueur depuis 2025, la Loi 25 du Québec s’applique à toute organisation qui recueille, utilise ou communique des renseignements personnels au Québec. Pour les organisations de santé ayant des activités ou des flux de données interprovinciaux, la Loi 25 constitue le cadre réglementaire le plus exigeant. Elle prévoit des pénalités comparables à celles du RGPD (GDPR) et impose une obligation de notification des incidents de confidentialité dans un délai de 72 heures lorsqu’il existe un risque de préjudice sérieux.

L’éventail des appareils nécessitant une destruction certifiée des données dans un environnement clinique est considérablement plus vaste que ce que la plupart des organisations prévoient :

• Équipements d’imagerie médicale : les appareils d’IRM, les tomodensitomètres (CT), les systèmes de radiographie numérique et les appareils d’échographie comportent généralement des disques internes qui stockent les images des patients ainsi que les métadonnées associées.
• Équipements diagnostiques : les électrocardiographes (ECG), les analyseurs sanguins et les systèmes de surveillance des patients contiennent fréquemment des modules de stockage intégrés qui enregistrent les identifiants des patients en même temps que les données cliniques.
• Postes de travail cliniques connectés au réseau : ils peuvent conserver localement des données de dossiers médicaux électroniques (DME) mises en cache longtemps après que l’organisation croit les avoir supprimées.
• Infrastructure réseau : les routeurs, commutateurs (switches) et pare-feu stockent des données de configuration, des journaux d’accès et des identifiants mis en cache qui peuvent constituer des voies d’accès indirectes aux renseignements personnels sur la santé protégés.

Le service de destruction des données d’eCycle Solutions est conçu pour prendre en charge l’ensemble de ces équipements, et non seulement le matériel informatique de bureau traditionnel.

Chaîne de possession : le dossier de conformité qui protège votre organisation

Dans le contexte de l’ITAD pour le secteur de la santé, la documentation de la chaîne de possession n’est pas une simple formalité administrative. Il s’agit de la preuve documentaire démontrant que votre organisation a respecté ses obligations légales depuis la mise hors service d’un appareil jusqu’à sa disposition finale. Dans le cadre d’une enquête réglementaire, d’un audit ou d’une allégation de violation de données, les registres de chaîne de possession constituent le fondement de votre défense.

Une chaîne de possession conforme comprend :

• Documentation de collecte : chaque appareil récupéré, y compris le numéro d’étiquette d’actif, le numéro de série, le type d’appareil, la date, l’heure et le nom du technicien ayant pris possession de l’équipement.
• Registres de transport sécurisé : confirmation que les appareils ont été transportés dans des emballages inviolables par du personnel autorisé, sans accès non autorisé pendant le transport.
• Confirmation de réception : preuve que chaque appareil ayant quitté votre établissement est bien arrivé à l’installation de traitement prévue.
• Registres de destruction des données : méthode appliquée à chaque appareil, date de destruction et identification du technicien ou de l’équipement ayant effectué le processus.
• Certificat de destruction : délivré pour chaque appareil; il constitue la preuve légale officielle attestant que les données ont été éliminées de façon irréversible.

Les organisations de santé qui ne sont pas en mesure de produire ces documents pour chaque appareil retiré du service se trouvent, du point de vue réglementaire, dans la même situation que celles qui n’ont jamais effectué la destruction des données. L’absence de documentation est considérée comme une absence d’action.

Effacement certifié ou destruction physique : choisir la méthode selon le niveau de risque

La méthode de destruction des données appliquée à un appareil du secteur de la santé est à la fois une décision de conformité et une décision financière. L’effacement certifié des données, réalisé conformément à des normes reconnues et documenté par un certificat propre à chaque appareil, permet de remettre à neuf et de revendre un équipement en bon état physique, générant ainsi une récupération de valeur tout en respectant les exigences légales de la LPRPDE (PIPEDA) et de la PHIPA.

La destruction physique — y compris le déchiquetage des disques durs, le démagnétisage (degaussing) ou la pulvérisation — constitue la méthode appropriée pour les appareils ayant stocké des catégories de données particulièrement sensibles, pour ceux dont les supports de stockage ne peuvent pas être effacés de manière fiable en raison d’une défaillance matérielle, ou encore pour les organisations soumises à des exigences contractuelles ou réglementaires imposant la destruction physique.

Les services de revente et de destruction certifiée d’eCycle Solutions sont tous deux conçus pour répondre aux exigences du secteur de la santé et fournissent la documentation requise par la PHIPA et la Loi 25.

Questions fréquemment posées

Quelles lois canadiennes sur la protection des renseignements personnels s’appliquent aux équipements informatiques de santé retirés du service ?

En Ontario, la PHIPA s’applique aux dépositaires de renseignements sur la santé et exige une destruction certifiée lorsque les renseignements personnels sur la santé ne sont plus nécessaires. Elle prévoit des sanctions administratives pouvant atteindre 500 000 $ CA par organisation. La LPRPDE (PIPEDA) s’applique à l’échelle fédérale et encadre notamment les transferts transfrontaliers de données ainsi que les entités sous réglementation fédérale. La Loi 25 du Québec, pleinement en vigueur depuis 2025, prévoit des pénalités pouvant atteindre 25 millions de dollars canadiens ou 4 % du chiffre d’affaires mondial et impose une obligation de notification des incidents de confidentialité dans un délai de 72 heures. Ces trois cadres réglementaires considèrent l’élimination inadéquate d’équipements informatiques contenant des renseignements personnels comme un incident de confidentialité devant être signalé.

Quels appareils au sein d’une organisation de santé nécessitent une destruction certifiée des données ?

Tout appareil ayant déjà stocké des renseignements personnels sur la santé doit faire l’objet d’une destruction certifiée des données. Cela comprend les équipements informatiques traditionnels tels que les ordinateurs portables, les ordinateurs de bureau et les serveurs, ainsi que les équipements cliniques comme les appareils d’imagerie médicale, les dispositifs diagnostiques, les systèmes de surveillance des patients, les postes de travail connectés au réseau et les composantes d’infrastructure réseau telles que les routeurs, les commutateurs (switches) et les pare-feu, qui peuvent stocker des journaux d’accès ou des identifiants mis en cache.

Quelle documentation une organisation de santé doit-elle conserver pour satisfaire aux exigences de la PHIPA après la mise au rebut d’équipements informatiques ?

Un dossier de conformité conforme à la PHIPA comprend un certificat de destruction délivré pour chaque appareil, un registre de chaîne de possession couvrant toutes les étapes, de la collecte jusqu’à la disposition finale, la méthode de destruction des données utilisée ainsi que la norme à laquelle elle est conforme et, le cas échéant, une attestation de recyclage ou de revente confirmant la destination finale de l’appareil. Ces documents devraient être conservés pendant une période minimale de 24 mois, conformément aux exigences fédérales de tenue de registres relatives aux incidents de confidentialité prévues par la LPRPDE.

Pourquoi la documentation de la chaîne de possession est-elle particulièrement importante dans le cadre de l’ITAD pour le secteur de la santé ?

La documentation de la chaîne de possession constitue la preuve démontrant que votre organisation a respecté ses obligations légales depuis la mise hors service d’un appareil jusqu’à sa disposition finale. Dans le cadre d’une enquête menée en vertu de la PHIPA, d’un audit ou d’un recours collectif, l’absence de registres de chaîne de possession est considérée comme équivalente à l’absence de toute mesure de protection. Les organisations qui ne peuvent pas démontrer une traçabilité documentée de chaque appareil retiré du service s’exposent à un risque juridique non quantifié que des pratiques ITAD adéquatement documentées permettent d’éliminer.