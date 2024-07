Cet article est le premier d'une série de deux publications sur le thème de la nouvelle loi québécoise sur les renseignements de santé et de services sociaux.

Le 1er juillet 2024 est derrière nous, ce qui signifie qu'au Québec, la plupart des dispositions de la Loi sur les renseignements de santé et de services sociaux1 (la « Loi ») sont maintenant en vigueur. Parallèlement, plusieurs règlements additionnels sont également entrés en vigueur au même moment. Cette Loi fait suite aux récentes mises à jour des lois en matière de protection des renseignements personnels au Québec (« Loi 25 ») qui ont notamment été inspirées par le Règlement général sur la protection des données de l'Union européenne.

Les prestataires de services de santé et de services sociaux devront désormais respecter de nouvelles règles concernant la collecte, l'utilisation, la transmission et la récupération de renseignements de santé et de services sociaux (« RSSS »). L'objectif est d'améliorer la qualité des services offerts par les organismes du secteur de la santé et des services sociaux (« OSSS ») en rationalisant la transmission de ces informations. Les OSSS comprennent, entre autres, le ministère de la Santé et des Services sociaux, les établissements de santé publics, les établissements de santé privés, les laboratoires, les maisons de soins palliatifs et les résidences privées pour personnes âgées.2

Il est à noter que cette loi exempte les RSSS détenus par un OSSS d'être soumis à la Loi sur la protection des renseignements personnels dans le secteur privé3 ou à la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels4 (applicables respectivement aux organisations du secteur privé et aux organismes du secteur public).

Qu'est-ce qu'un RSSS ?

Les RSSS sont des renseignements sensibles qui permettent, même indirectement, d'identifier une personne répondant à l'une des caractéristiques suivantes : (i) ils concernent la santé physique ou mentale de cette personne et ses facteurs déterminants, y compris ses antécédents médicaux ou familiaux ; (ii) ils concernent tout matériel prélevé sur cette personne dans le cadre d'une évaluation ou d'un traitement ; (iii) ils concernent les services de santé ou sociaux offerts à cette personne ; (iv) ils ont été obtenus dans l'exercice d'une fonction prévue par la Loi sur la santé publique5 ; ou (v) toute autre caractéristique déterminée par une réglementation gouvernementale.6

En outre, les renseignements permettant d'identifier une personne sont des RSSS lorsqu'ils sont combinés avec des renseignements couverts par la présente définition ou lorsqu'ils sont collectés dans le but d'enregistrer, d'inscrire ou d'admettre la personne concernée dans un établissement ou dans le but de prendre en charge la personne par un autre OSSS.7

Nouvelles obligations pour les RSSS au Québec8

Les nouvelles obligations en matière de protection de la vie privée prévues par la présente Loi s'appliquent :

Lorsque les RSSS sont communiqués à une personne ou à un prestataire de services : Les RSSS doivent être nécessaires à l'exercice du mandat ou à l'exécution du contrat. L'entreprise qui reçoit ces renseignements doit évaluer son besoin de les recevoir. Un OSSS ne peut collecter que les renseignements nécessaires à l'accomplissement de sa mission ou de son objectif, à l'exercice de ses fonctions, à la poursuite de ses activités ou à la mise en Suvre d'un programme dont il a la charge.9 Si un tiers est impliqué, il est soumis aux mêmes obligations et l'OSSS doit être informé par écrit avant que le tiers ne soit contacté.

Pour être valable, un contrat doit être fait par écrit et inclure des mesures à prendre par l'entreprise pour préserver la confidentialité des RSSS et se conformer aux règles appropriées.

Si des RSSS peuvent être communiqués à une personne ou à un groupe, ceux-ci doivent signer des accords de confidentialité, n'utiliser que des technologies autorisées par l'OSSS et informer le responsable de la protection des renseignements de l'OSSS en cas de violation ou de tentative de violation de l'une des obligations relatives à la protection des RSSS.

Lorsque des RSSS sont transférés/communiqués à l'extérieur du Québec : Un OSSS qui souhaite confier un mandat ou conclure un contrat impliquant la communication de RSSS en dehors du Québec doit procéder à une évaluation des facteurs relatifs à la vie privée (EFVP). Le mandat ne peut être confié ou le contrat conclu que si l'EFVP démontre que les RSSS bénéficieront d'une protection adéquate, notamment au regard des principes généralement reconnus en matière de protection des renseignements personnels. L'accord entre l'entreprise et l'OSSS doit tenir compte des résultats de l'EFVP et, le cas échéant, des conditions convenues pour atténuer les risques identifiés dans l'EFVP. Il en va de même lorsque l'OSSS confie à une entreprise hors Québec le soin de recueillir, d'utiliser, de communiquer ou de conserver des informations pour son compte.

Lorsque les renseignements détenus par le OSSS seront utilisés ou communiqués : Tous les renseignements détenus par un OSSS sont confidentiels et soumis au consentement explicite de la personne concernée par ces renseignements. Ce consentement doit être clair, libre et éclairé et être donné à des fins spécifiques.

Lorsque l'OSSS recueille des renseignements auprès d'une personne : L'OSSS doit, sur demande et dans un langage clair et simple, informer la personne du nom de l'organisme ou au nom de quel organisme les renseignements ont été collectés, ainsi que de la durée de conservation des renseignements, des finalités et des moyens de collecte. La personne doit également être informée de son droit d'accès, de rectification, de limitation et de refus d'accès aux renseignements et des conditions dans lesquelles elle peut exercer ces droits.

Lorsque l'OSSS détient des renseignements, il doit veiller à ce que ces renseignements restent à jour, exacts et complets afin qu'ils puissent être utilisés aux fins pour lesquelles ils ont été collectés ou utilisés.

Lorsque l'OSSS détient des RSSS, elle doit enregistrer tous les accès à ces renseignements et les protéger par des mesures de sauvegarde et de sécurité. Lorsque l'OSSS propose un produit ou un service technologique, les paramètres de confidentialité doivent être réglés par défaut au niveau de confidentialité le plus élevé.

Lorsque l'OSSS a des raisons de croire qu'un incident de confidentialité impliquant les RSSS qu'il détient est survenu, il doit prendre des mesures raisonnables pour réduire le risque de préjudice et prévenir de nouveaux incidents de même nature : L'OSSS doit prendre des mesures raisonnables pour réduire le risque de préjudice et pour prévenir de nouveaux incidents de même nature. Si l'incident présente un risque de préjudice sérieux, l'OSSS doit en informer rapidement le ministre et la Commission d'accès à l'information. Il doit également aviser toute personne dont les renseignements sont concernés par l'incident, à défaut de quoi la Commission d'accès à l'information peut lui ordonner de le faire.

Lorsque l'OSSS utilise des renseignements qu'il détient pour prendre une décision fondée exclusivement sur un traitement automatisé des renseignements, la personne concernée doit être informée des facteurs et des renseignements utilisés pour parvenir à cette décision.

L'OSSS détenant des RSSS doit adopter une politique de gouvernance pour les renseignements qu'il détient.

Cette Loi étant entrée en vigueur que très récemment, il reste à voir comment elle s'appliquera dans la pratique. Nous suivrons de près l'évolution de cette Loi.

