Le Laboratoire #006
Une donnée patient trouvée où je ne la cherchais pas, un système qui l'emporte sur la volonté et ce qui protège vraiment votre pharmacie
Bienvenue à cette sixième édition du Laboratoire !
Cette semaine, on parle de la protection des données de vos patients. Plus précisément, de ce qu’est vraiment la Loi 25, et du vrai risque qui se cache dans le banal de votre pharmacie.
Voici 1 idée, 1 citation et 1 question pour ces deux prochaines semaines.
Bonne lecture.
1 Idée qui mijote dans ma tête
La semaine dernière, en classant des documents dans ma pharmacie, je suis tombé sur une information qui identifiait un patient, sans la chercher.
Le document listait les bénéficiaires d’un programme d’aide financière. Chaque nom était rattaché à celui du programme. Séparément, le nom et le programme ne disent rien. Ensemble, ils pointent vers une personne précise. On ne peut pas le détecter en regardant le nom du fichier. Il fallait lire le contenu.
C’est exactement le genre d’information que la Loi 25 protège. Beaucoup de pharmaciens en ont entendu parler sans savoir ce qu’elle dit vraiment.
C’est une loi québécoise adoptée en 2021, avec le projet de loi 64, qui encadre la protection des renseignements personnels. Elle s’applique à toute entreprise qui fait affaire au Québec, pas juste les grandes compagnies. Votre pharmacie en fait partie, et elle brasse des renseignements personnels toute la journée, ceux des patients comme ceux des employés.
Un renseignement personnel, c’est toute information qui permet d’identifier une personne, directement ou indirectement. Un nom ou un numéro d’assurance maladie, c’est direct. Deux informations anodines qui, une fois rapprochées, désignent la même personne, c’est indirect. C’est cette identification indirecte que presque personne ne comprend.
La Commission d’accès à l’information surveille, et elle peut sanctionner directement, sans passer par un tribunal. Une entreprise risque jusqu’à 2 % de son chiffre d’affaires annuel. Devant les tribunaux, l’amende grimpe à 4 %. Dans une pharmacie, ce pourcentage, c’est de l’argent réel, pas un plafond théorique.
Le vrai risque, dans votre pharmacie, n’est pas dans le dossier patient sous clé. Celui-là est déjà protégé. Le risque est dans tout ce qui circule autour sans protection, comme un fichier Excel partagé avec l’équipe ou le document administratif que j’ai trouvé.
Un nom de patient collé dans un ChatGPT public pour demander une analyse ne circule pas juste à l’interne. L’information quitte votre pharmacie et se retrouve sur un serveur américain, souvent sans que personne le réalise.
Personne ne fait ça par négligence. Ça arrive parce qu’aucune structure ne force la vérification. La rigueur personnelle ne tient pas à l’échelle. Vous pouvez être le pharmacien le plus consciencieux, vous allez manquer quelque chose.
Par où commencer? Pas par un gros projet de conformité. Par des questions simples, posées sur votre propre pharmacie:
Un patient peut-il être identifié par quelqu’un d’autre que mon équipe?
Mon équipe sait-elle qu’une information qui identifie un patient ou un collègue ne doit jamais atteindre une personne non autorisée, dans la pharmacie comme à l’extérieur?
Puis-je nommer tous les logiciels qui ont accès aux informations qui identifient mes patients et mes employés?
Est-ce que je sais par où passe chacune de ces informations, et où elle est stockée, sur papier comme à l’écran?
Est-ce que je sais qui peut y accéder, et depuis où, ici comme à l’extérieur?
Chaque réponse floue est un trou. Chaque trou se règle de la même façon, une barrière qui rend la fuite impossible, pas juste déconseillée. La Loi 25 vous donne déjà un point de départ, une personne responsable de la protection des renseignements personnels. Par défaut, dans votre pharmacie, c’est vous.
La conformité, ce n’est pas un document, ni une promesse. C’est une propriété de la façon dont vos systèmes sont montés.
Le patient ne saura jamais que son renseignement personnel est passé là où il ne devait pas. Alors c’est la structure qui doit l’attraper. Pas nous.
1 Citation qui me trotte dans la tête
« A bad system will beat a good person every time. »
Un mauvais système bat une bonne personne à tous les coups.
W. Edwards Deming
Deming parlait de qualité industrielle. La phrase s’applique mot pour mot à la protection des renseignements personnels. La meilleure intention ne remplace pas un mécanisme.
1 Question qui me fait réfléchir
Aujourd’hui, est-ce que la sécurité de ces informations repose sur une structure, ou sur la mémoire de votre équipe?
Alex
Je vous laisse avec ça.
Si vous n’avez pas encore votre Master Prompt pour personnaliser votre AI, j’ai construit un outil gratuit pour vous aider à le créer. C’est le premier polaroid que votre AI consulte pour savoir qui vous êtes.
alexandreung.com
À dans deux semaines.
Alex

