Problème 6796

Incidents associés

Incident 8116 Rapports
AI-Powered Transcription Services Allegedly Leak Confidential Workplace Discussions

Loading...
Réponse de l'IPC à une violation de la confidentialité hospitalière impliquant un outil de transcription par IA
ipc.on.ca · 2025

27 octobre 2025

PAR COURRIEL

Madame, Responsable de la protection des renseignements personnels sur la santé,

Objet : Signalement d’atteinte à la protection des renseignements personnels HR24-00691

Le 17 décembre 2024, vous avez signalé une atteinte à la protection des renseignements personnels sur la santé en vertu de la Loi sur la protection des renseignements personnels sur la santé (la Loi) au Commissariat à l’information et à la protection de la vie privée de l’Ontario (le CIPVP). Le CIPVP a ouvert le dossier HR24-00691 pour traiter cette affaire.

Aperçu de l’atteinte :

Circonstances de l’atteinte

Vous avez signalé que le 23 septembre 2024, une réunion virtuelle d’hépatologie à laquelle participaient des médecins de l’hôpital a été enregistrée par inadvertance par un outil de transcription utilisant l’intelligence artificielle, Otter.ai (l’« Outil de transcription » ou l’« Outil »).

Vous avez signalé que l'outil de transcription est disponible sur les navigateurs web et sous forme d'application mobile. Cet outil utilise l'intelligence artificielle pour transcrire la parole en texte et permet aux utilisateurs d'obtenir des comptes rendus et des résumés de réunions détaillés. Il est compatible avec les plateformes de communication courantes telles que Zoom, Google Meet et Microsoft Teams, et peut accéder aux invitations de réunion enregistrées dans les calendriers numériques. L'utilisation de cet outil n'est pas autorisée au sein de l'hôpital.

Vous avez également signalé qu'un ancien médecin est le titulaire du compte Otter.ai responsable de l'enregistrement. Ce médecin a quitté l'hôpital en juin 2023 et a installé Otter.ai sur son appareil personnel en septembre 2024.

Bien que ce médecin ne travaillât plus pour l'hôpital au moment de la violation de données, l'outil a pu accéder à l'invitation à la réunion via son calendrier numérique personnel (non professionnel) en raison de deux failles de sécurité critiques. Premièrement, le médecin a utilisé son adresse courriel personnelle (et non son adresse courriel professionnelle) dans le groupe de réunion, contrairement au règlement de l'hôpital. Deuxièmement, l'organisateur de la réunion n'a pas retiré le médecin de l'invitation après son départ de l'hôpital en juin 2023. Par conséquent, le médecin a conservé l'accès à l'invitation dans son calendrier numérique personnel pendant plus d'un an après son départ.

Par conséquent, l'outil a pu se joindre à la réunion d'hépatologie du 23 septembre 2024 en accédant au lien figurant dans le calendrier courriel personnel du médecin et en enregistrer la réunion sans problème.

Services administratifs, 2, rue Bloor Est

Bureau 1400, Toronto (Ontario) Canada M4W 1A8

Tél. : (416) 326-3333

1 (800) 387-0073

ATS/ATS : (416) 325-7539

Site Web : www.ipc.on.ca

Avis. La faille a été découverte lorsqu'un résumé de réunion et un accès à la transcription de l'enregistrement ont été automatiquement envoyés par courriel aux participants après la réunion, y compris au titulaire du compte.

Vous avez indiqué que, d'après les informations dont dispose l'hôpital, il s'agissait de la seule invitation à une réunion hospitalière figurant dans l'agenda personnel du médecin et consultée par l'outil.

Portée

Vous avez indiqué que, durant la réunion, les renseignements médicaux personnels de sept patients ont été discutés entre les participants et consignés dans la transcription. Ces patients étaient hospitalisés et recevaient des soins.

Les renseignements médicaux personnels concernés par la fuite comprenaient les noms des patients, leur sexe, le nom du médecin, les diagnostics, les notes médicales et les renseignements sur les traitements.

Mesures de confinement :

============

Vous avez indiqué que, pour contenir la fuite, l'hôpital a :

  • Annulé l'invitation numérique à l'outil de transcription afin qu'il ne puisse plus participer à aucune réunion.

  • Vous avez identifié les personnes ayant participé à la réunion et/ou reçu une copie du courriel et leur avez demandé de supprimer immédiatement et définitivement toutes les copies de ce courriel de tous les systèmes et appareils concernés. Sur les 65 destinataires, 53 ont confirmé avoir supprimé le courriel ou ne jamais l'avoir reçu. Vous avez indiqué que les 12 personnes restantes semblent avoir quitté l'hôpital.

  • Vous avez demandé au personnel de supprimer l'outil et/ou tout outil similaire de tous les appareils susceptibles d'avoir accès aux comptes de l'hôpital et avez rappelé à tous les employés que seules les technologies et applications approuvées peuvent être utilisées avec les identifiants et appareils de l'hôpital.

  • Vous avez demandé à l'ancien médecin de supprimer tous les documents relatifs à l'hôpital de ses comptes, systèmes et appareils personnels, conformément aux politiques internes, et obtenu sa confirmation.

  • Vous avez demandé au médecin de contacter Otter.ai pour demander la suppression des informations enregistrées lors de la réunion. Cependant, vous avez indiqué que le médecin n'a pas répondu à cette demande.

Notification :

=============

Vous avez indiqué que cinq des sept personnes concernées ont été avisées de l'atteinte à la vie privée par courrier le 17 décembre 2024. Les lettres d'avis contenaient les renseignements suivants : les détails et l'étendue de l'atteinte à la vie privée,

les mesures prises pour y remédier, la notification de l'atteinte à la vie privée au Comité de prévention et de contrôle de la qualité (CPCQ), la possibilité pour les patients de porter plainte auprès du CPCQ et les renseignements sur la façon de procéder, ainsi que les coordonnées de la personne à l'hôpital qui pourrait être contactée pour obtenir de plus amples renseignements.

Vous avez indiqué que les deux autres personnes concernées sont décédées. Pour l'une d'elles, l'hôpital a transmis une copie de la lettre d'avis à son exécuteur testamentaire. Pour l'autre, aucun exécuteur testamentaire n'est connu. Par conséquent, vous avez téléchargé une copie de la lettre d'avis dans le dossier médical électronique du patient.

Mesures correctives :

============

Vous avez indiqué que, pour prévenir d'autres atteintes à la vie privée de ce type, l'hôpital a pris les mesures suivantes :

**i. **Pare-feu : L’hôpital a bloqué l’accès aux outils de rédaction assistée par ordinateur (IA) tels que Otter.ai et deepseek.com depuis ses locaux, grâce à la configuration de son pare-feu.

**ii. **Formation mise à jour : L’hôpital a mis à jour ses supports de formation sur la protection de la vie privée afin d’aborder explicitement les outils d’IA et sa politique d’utilisation de l’IA. ^1^ Ce nouveau contenu de formation a été mis en ligne fin juin 2025 pour les étudiants en médecine et sera disponible à l’automne 2025 pour les autres agents de l’hôpital. L’hôpital a indiqué que cette formation mise à jour sera également partagée avec d’autres établissements hospitaliers.

Cette formation comprend le passage suivant : « Toutes les ressources informatiques utilisées à des fins professionnelles [à l’hôpital], y compris celles qui font appel à l’IA, doivent être approuvées par [l’hôpital]. La saisie de renseignements personnels sur la santé (RPS), de renseignements personnels ou d’informations confidentielles sur la sécurité du patient dans des outils non approuvés constitue une atteinte à la vie privée et contrevient à la LPRPS et aux lignes directrices professionnelles, car les fournisseurs pourraient utiliser les données [de l’hôpital] à des fins non [hospitalières]. Une atteinte à la vie privée peut entraîner des mesures disciplinaires, un signalement à l’ordre professionnel et au commissaire à l’information et à la protection de la vie privée, ainsi que des amendes personnelles pouvant atteindre 200 000 $ et des amendes organisationnelles pouvant atteindre 1 000 000 $. »

iii. Politiques mises à jour : La politique de l’hôpital sur l’utilisation appropriée de l’information et des technologies de l’information a été révisée en juin 2025 afin de tenir compte de l’utilisation des outils d’IA. Cette politique comprend les dispositions suivantes, pertinentes compte tenu des circonstances de cette violation :

o Les agents de l’hôpital doivent toujours utiliser uniquement leur identifiant et leur mot de passe (« identifiants ») attribués pour accéder aux informations et aux ressources informatiques de l’hôpital, à l’exception des identifiants partagés ou de groupe autorisés.

o Utiliser uniquement les ressources informatiques approuvées par l’hôpital pour mener à bien les activités de l’hôpital.

o Utiliser uniquement les ressources informatiques approuvées par l’hôpital (y compris les outils d’intelligence artificielle (IA), les logiciels/bots automatisés et autres ressources informatiques) lors de la saisie, du traitement ou de la discussion d’informations de santé protégées (ISP), d’informations personnelles (IP) ou de données de communication de renseignements personnels (DCP).

| |

| | |

^1^ L'hôpital a indiqué que, bien que le médecin ait suivi une formation sur la protection de la vie privée en 2021 et 2022, celle-ci ne portait pas sur l'utilisation des outils d'IA.

o La saisie de renseignements personnels sur la santé (RPS) dans des outils non approuvés constitue une violation de la vie privée et une infraction à la LPRPS et aux lignes directrices et politiques de l'ordre professionnel, car les fournisseurs pourraient utiliser les RPS de l'hôpital pour entraîner leurs algorithmes et à d'autres fins non liées à l'hôpital.

o Il est recommandé de vérifier systématiquement la liste des participants aux réunions afin de repérer toute présence d'outils d'IA ou d'agents automatisés non approuvés, et de les retirer des réunions avant de poursuivre ou avant d'aborder toute question relative aux RPS.

o Les agents de l'hôpital ne doivent jamais utiliser d'outils numériques non autorisés (y compris des produits d'IA comme ChatGPT) à des fins professionnelles.

De plus, vous avez indiqué que l'établissement dispose d'un programme de gouvernance de l'IA qui encadre l'acquisition, la mise en œuvre et l'utilisation des outils d'IA à l'hôpital. Ce programme est supervisé par un Comité de gouvernance de l'IA, dont le Bureau de la protection de la vie privée de l'hôpital est membre.

Conclusion et recommandations :

=================================

Outre les mesures prises par l'hôpital pour contenir, enquêter sur, corriger la violation et informer les personnes concernées, je recommande à l'hôpital de prendre les mesures supplémentaires suivantes :

  1. Confinement :

i. Soumettre une demande officielle à Otter.ai pour supprimer toutes les données de santé personnelles (DSP) des patients de l'hôpital conservées depuis la réunion du 23 septembre 2024. Bien que nous reconnaissions que l'hôpital ait demandé au médecin de soumettre lui-même une demande, vraisemblablement parce qu'il était le titulaire du compte, l'hôpital n'a reçu aucune confirmation de sa part quant à la soumission de la demande ou à la suppression effective de celle-ci. De plus, en tant que dépositaire des données de santé personnelles en question, l'hôpital aurait dû soumettre sa propre demande à Otter.ai pour supprimer les DSP concernées afin de contenir la violation.

ii. **Pour les 12 destinataires qui n'ont pas confirmé la suppression du courriel et qui ont depuis quitté l'hôpital, veuillez supprimer le courriel de leur compte de messagerie professionnel. Si l'un de ces destinataires a reçu le courriel via un compte de messagerie externe (non professionnel), veuillez le contacter pour confirmer sa suppression.

  1. Mesures correctives ==============

iii. **Protocole en cas de violation de données : Mettez à jour votre protocole en cas de violation de données afin d'exiger que le Bureau de la protection de la vie privée contacte directement et immédiatement les organisations tierces pour demander la suppression de toute information médicale protégée (IMP) collectée sans autorisation dans des circonstances similaires à cette violation (plutôt que de compter sur le titulaire du compte pour le faire).

iv. **Politique d'utilisation acceptable : Mettez à jour la politique d'utilisation acceptable de l'hôpital afin de préciser que les agents doivent utiliser uniquement les appareils approuvés par l'hôpital pour effectuer leur travail (par exemple, pour assister à des réunions de travail) et ne pas utiliser leurs appareils personnels à ces fins.

v. Audit des départs : Réaliser un audit du processus de départ des employés et des médecins de l’hôpital afin de vérifier que des procédures adéquates sont en place pour garantir que tout accès aux systèmes d’information de l’hôpital, y compris l’accès aux invitations de calendrier, est immédiatement révoqué dès le départ.

**vi. Salle d’attente obligatoire pour les réunions : Rendre obligatoire l’utilisation d’une salle d’attente pour toutes les réunions virtuelles au cours desquelles des informations de santé protégées sont abordées, en exigeant que l’organisateur approuve manuellement chaque participant. Cela contribuera à réduire le risque qu’un outil d’intelligence artificielle non autorisé rejoigne automatiquement la réunion en tant que participant.

**vii. Cadre de gouvernance et de responsabilisation en matière d’IA : S’assurer que le cadre de l’hôpital pour l’acquisition, la mise en œuvre et l’utilisation des assistants de transcription IA est conforme aux lignes directrices énoncées dans la présentation du CIP sur le secteur de la santé en Ontario.

Comme indiqué dans cette présentation, un cadre de gouvernance et de responsabilisation en matière d’IA devrait comprendre les éléments suivants :

Comité de gouvernance de l’IA

Politiques, pratiques et procédures

Formation et sensibilisation

Évaluation, surveillance et tests initiaux et continus

Cadre de gestion des risques liés à l’IA

Supervision humaine

Mécanismes de plaintes et d’enquêtes

Mécanismes de recours, de signalement et de notification

Ententes de confidentialité et ententes avec les utilisateurs finaux

Garanties contractuelles

viii. **Conséquences d'une atteinte à la vie privée : Mettez à jour toutes les politiques, procédures et ressources de formation applicables de l'hôpital afin de préciser que les atteintes à la vie privée peuvent également entraîner des sanctions administratives pécuniaires en vertu de la LPRP.

Nous vous encourageons également à consulter et à suivre les lignes directrices énoncées dans les documents d'orientation du CIPV Réagir à une atteinte à la vie privée en matière de santé : Lignes directrices pour le secteur de la santé et Détecter et Dissuader l'accès non autorisé aux renseignements personnels sur la santé afin de vous assurer que vos pratiques, politiques et procédures sont suffisantes pour minimiser le risque d'une future atteinte à la vie privée. De plus, nous vous recommandons d'utiliser cet incident comme exemple lors de votre prochaine formation sur la protection de la vie privée destinée à votre personnel, afin de leur rappeler leurs obligations en vertu de la Loi et de prévenir d'autres infractions de ce type.

Nous vous prions de nous informer de l'état d'avancement des recommandations susmentionnées d'ici le 27 janvier 2026.

Veuillez noter que le Commissariat à la protection de la vie privée du Canada (CPVP) pourrait rouvrir ce dossier si de nouveaux renseignements justifiant une enquête plus approfondie venaient à être portés à sa connaissance.

Cordialement,

Denise Eades, analyste

Lire la source