Le 1er juillet 2024, la plupart des dispositions de la loi québécoise intitulée Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives (la « Loi ») sont entrées en vigueur, de même que deux règlements connexes. La Loi établit un nouveau cadre général de protection des renseignements de santé et de services sociaux (« SSS ») au Québec, lequel cadre s’apparente à la législation sur la protection des renseignements de santé d’autres provinces et de territoires du Canada.
La Loi assujettit les fournisseurs et les établissements de SSS à des obligations modernisées en matière de protection des renseignements et à un régime d’application de la loi semblable à celui qui est maintenant imposé aux entreprises du secteur privé en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé (Québec) (la « Loi relative au secteur privé du Québec ») depuis l’entrée en vigueur de la Loi 25. Fait à noter, la Loi prévoit également des obligations précises qui s’appliquent au moment de conclure un contrat avec une organisation agissant à titre de fournisseur de services aux entités de SSS du Québec, comme un fournisseur de logiciel-service médical.
Application
La Loi s’inscrit dans le cadre des efforts du gouvernement du Québec visant à améliorer la qualité des services de santé en simplifiant la circulation des renseignements de SSS. Ainsi, la Loi abroge la Loi concernant le partage de certains renseignements de santé et établit un nouveau cadre juridique pour la gestion des renseignements de SSS. Ce nouveau cadre a pour but de protéger les renseignements de SSS et d'optimiser l’utilisation de ceux-ci dans le système de soins de santé. La Loi investit également le ministre de la Santé et des Services sociaux (le « ministre ») de la responsabilité d’instituer un système national de dépôt de renseignements conçu pour centraliser les dossiers des établissements de SSS.
En vertu de la Loi, les obligations en matière de protection des renseignements personnels s’appliquent à un large éventail d’entités des secteurs public et privé. Les organismes de SSS désignés à l’article 4 de la Loi (chacun, un « organisme ») comprennent le ministère de la Santé et des Services sociaux, les établissements de santé publique, les cabinets privés, les laboratoires, les centres médicaux spécialisés, les centres de procréation assistée, les résidences privées pour ainés, et toute autre personne ou tout autre groupement déterminé par règlement. La Loi considérera également les professionnels offrant des services de SSS comme des organismes s’ils offrent leurs services au sein d’un organisme autre qu’un établissement de santé publique et que leurs dossiers ne sont pas tenus par cet organisme. La Loi exempte les renseignements de SSS détenus par un organisme, ou pour le compte d’un organisme, de l’application de la Loi relative au secteur privé du Québec.
Définition des renseignements de SSS
L’article 2 de la Loi introduit le concept de renseignements de SSS, lesquels sont définis largement et de façon à inclure tout renseignement qui permet, directement ou indirectement, d’identifier une personne et qui répond à l’une des caractéristiques suivantes :
- il concerne l’état de santé physique ou mentale de cette personne et ses facteurs déterminants, y compris les antécédents médicaux ou familiaux de la personne;
- il concerne tout matériel prélevé sur cette personne, incluant le matériel biologique;
- il concerne les services de santé ou les services sociaux offerts à cette personne;
- il a été obtenu dans l’exercice d’une fonction prévue par la Loi sur la santé publique (Québec);
- toute autre caractéristique déterminée par règlement.
De plus, tout autre renseignement personnel comme le nom, la date de naissance, les coordonnées ou le numéro d’assurance maladie d’une personne est considéré comme un renseignement de SSS lorsqu’il est accolé à un renseignement susmentionné ou qu’il est recueilli en vue de l’enregistrement, de l’inscription ou de l’admission de la personne concernée dans un établissement de SSS.
Principales obligations en vertu de la Loi
La Loi impose de nombreuses obligations à un organisme relativement à la protection des renseignements de SSS, dont un bon nombre sont similaires aux exigences de la Loi relative au secteur privé du Québec. Au premier chef, les obligations notables comprennent ce qui suit :
- Mesures de sécurité : Un organisme doit prendre les mesures de sécurité propres à assurer la protection de ses renseignements de SSS et qui sont raisonnables.
- Exactitude : Un organisme doit veiller à ce que les renseignements qu’il détient soient à jour, exacts et complets pour servir aux fins pour lesquelles ils ont été recueillis ou sont utilisés.
- Consentement : Un organisme qui recueille des renseignements de SSS auprès de la personne concernée doit, lors de la collecte, l’informer, en termes simples et clairs, du nom de l’organisme qui recueille ces renseignements, des fins pour lesquelles ces renseignements sont recueillis, des moyens par lesquels ces renseignements sont recueillis, de la durée de conservation de ces renseignements, du droit de la personne concernée d’avoir accès à ces renseignements et de les faire rectifier, et de la possibilité de restreindre ou de refuser l’accès à ces renseignements comme la Loi le prévoit.
- Gouvernance : Un organisme doit se doter d’une politique de gouvernance de la protection des renseignements personnels mettant en œuvre ses obligations en vertu de la Loi et portant notamment sur les catégories de personnes qui peuvent utiliser les renseignements de SSS, les mesures de sécurité propres à assurer la protection de ces renseignements qu’il met en place, les conditions et les modalités suivant lesquelles des renseignements peuvent être communiqués, les processus de traitement des incidents de confidentialité et des plaintes, et un calendrier de mise à jour des produits technologiques.
- Évaluations des facteurs relatifs à la vie privée : Un organisme doit réaliser une évaluation des facteurs relatifs à la vie privée dans le but de déterminer et d’atténuer les risques relatifs aux renseignements de SSS dans le cas où les renseignements doivent être communiqués à l’extérieur du Québec, ou dans le cas de tout projet d’acquisition, de développement et de refonte de produits ou services technologiques ou de système de prestation électronique de services lorsque ce projet implique la collecte, la conservation, l’utilisation, la communication ou la destruction de renseignements de SSS qu’il détient.
- Protection de la vie privée par défaut : Un organisme qui recueille des renseignements de SSS au moyen d’un produit ou service technologique disposant de paramètres de confidentialité doit s’assurer que, par défaut, ces paramètres assurent le plus haut niveau de confidentialité.
- Journalisation : Un organisme doit journaliser l’ensemble des accès aux renseignements de SSS ou de toutes autres utilisations de ces renseignements.
- Registre des produits et services technologiques : Un organisme doit tenir et publier en ligne un registre de tout produit ou service technologique qu’il utilise.
- Transparence relative aux traitements automatisés : Un organisme qui utilise des renseignements qu’il détient afin que soit rendue une décision fondée exclusivement sur un traitement automatisé de ceux-ci doit en informer la personne concernée et, à la demande de cette dernière, l’informer des renseignements et des facteurs utilisés pour rendre la décision.
- Incidents de confidentialité : Un organisme qui a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement de SSS qu’il détient ou qu’un tel incident risque de se produire doit prendre des mesures raisonnables pour diminuer les risques qu’un préjudice soit causé. Si l’incident présente un risque qu’un préjudice sérieux soit causé, l’organisme doit, avec diligence, aviser le ministre et la Commission d’accès à l’information du Québec (la « CAI ») ainsi que la ou les personnes concernées.
Contrats conclus par écrit avec des fournisseurs de services
La Loi prévoit également des obligations se rapportant aux entités qui fournissent des services à des organismes. Ainsi, la Loi prévoit qu’un organisme peut communiquer des renseignements de SSS nécessaires à des personnes ou groupements à qui il confie l’exercice d’un mandat ou avec qui il conclut un contrat de service. Toutefois, un tel mandat ou un tel contrat doit être, selon le cas, confié ou conclu par écrit et inclure les modalités relatives à la protection des données prescrites, y compris des modalités selon lesquelles le fournisseur de données doit :
- respecter la confidentialité des renseignements;
- se conformer aux règles de gouvernance des renseignements prescrites;
- utiliser les renseignements uniquement dans l’exercice du mandat ou l’exécution du contrat;
- veiller à ce que tous les membres du personnel signent un engagement de confidentialité;
- utiliser uniquement des produits ou services technologiques autorisés par l’organisme;
- aviser sans retard le responsable de la protection des renseignements de l’organisme de toute violation de l’entente;
- permettre à l’organisme d’effectuer toute vérification relative au fournisseur de services;
- s’abstenir de conserver des renseignements au terme du mandat ou du contrat.
De plus, avant de confier un mandat ou de conclure un contrat impliquant une communication de renseignements de SSS à l’extérieur du Québec, l’organisme doit réaliser une évaluation des facteurs relatifs à la vie privée.
Mise en application
La CAI surveille l’application de la Loi et peut imposer des amendes allant de 1000 $ CA à 150 000 $ CA pour les personnes morales, selon l’infraction. Ces montants sont portés au double pour une première récidive et au triple pour toute récidive additionnelle. Les organismes, professionnels assujettis à la Loi et les fournisseurs de produits et de services de SSS exerçant des activités au Québec devraient évaluer l’ensemble de leurs pratiques en matière de traitement des renseignements de SSS et examiner leurs obligations de conformité à la lumière de ces nouvelles obligations.
