Le premier ministre du Québec et le ministre de la Santé l'ont annoncé en grandes pompes, ils préparent une refondation du système de santé québécois.

Un des piliers de cette refondation est la gestion des renseignements de santé. Dans ce contexte, le 3 décembre 2021, le ministre de la Santé et des Services sociaux a déposé le projet de loi 19 Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives. (« Loi sur les renseignements de santé »)

Ce projet de loi a pour objectif l'implantation d'un nouveau modèle de gestion, la modernisation et la décentralisation du réseau de la santé. Il vise à favoriser une circulation plus fluide et sécuritaire des renseignements de santé et de services sociaux et à simplifier les règles qui encadrent les pratiques en matière d'accès aux renseignements de santé et de services sociaux.

Le nouveau régime prévoit :

une définition large de « renseignement de santé »;

la nomination d'un gestionnaire des autorisations d'accès aux renseignements de santé sera nommé au sein du ministère de la Santé et des Services sociaux;

l'obligation pour les organismes de créer une politique encadrant leur gestion des renseignements de santé, qui inclura la nomination d'un responsable à l'interne et le processus de journalisation des renseignements;

le droit des individus d'accéder à leurs renseignements personnels et de les faire rectifier le cas échéant;

le principe général voulant que l'accès ou l'utilisation des renseignements de santé se fasse autant que possible sous une forme ne permettant pas d'identifier l'individu;

la possibilité pour des chercheurs, d'accéder aux renseignements de santé d'individus sans leur consentement après avoir obtenu une autorisation au plus haut, établissement où il ouvre ou du centre d'accès à la recherche selon le cas.

L'objet et l'application de la loi

Est un renseignement de santé ou de services sociaux (« renseignement de santé ») tout renseignement détenu par un organisme du secteur de la santé et des services sociaux (« organisme de santé ») qui concerne l'état de santé physique ou mentale, tout matériel prélevé dans le cadre d'une évaluation ou d'un traitement et les services de santé ou les services sociaux offerts à une personne qu'elle soit identifiée ou non. De même, un renseignement obtenu dans l'exercice d'une fonction prévue par la Loi sur la santé publique est un renseignement de santé.

Outre le ministère de la Santé et des Services sociaux, une personne, une société ou un organisme qui ouvre dans le secteur de la santé et les établissements de santé et de services sociaux au sens de la Loi sur les services de santé et les services sociaux (« LSSSS ») sera assujettie à la nouvelle loi, toute personne, toute société ou tout organisme qui conclut une entente avec un organisme de santé visant la prestation de services de santé ou de services sociaux pour le compte de cet organisme (« prestataire de services de santé ») pour les activités liées à sa prestation de services de santé pour le compte d'un organisme de santé.

Il est à noter qu'une personne ou une société qui exploite un cabinet privé de professionnel ou un centre médical spécialisé est visée par la Loi sur les renseignements de santé bien qu'elle ne soit pas considérée comme un « établissement » au sens de la LSSSS. En effet, l'annexe II de la Loi sur les renseignements de santé prévoit entre autres qu'un laboratoire, un centre de procréation assistée, une maison de soins palliatifs et une résidence privée pour aînés, une entreprise de services funéraires, une entreprise de services ambulanciers sont des organismes de santé.

Le gestionnaire délégué aux données numériques gouvernementales du ministère de la Santé et des Services sociaux agit à titre de gestionnaire des autorisations d'accès aux renseignements de santé et de services sociaux et assiste le ministre dans l'application de la loi. Le projet de loi donne à la Commission d'accès à l'information (« CAI ») la fonction d'en surveiller l'application et lui octroie en conséquence des pouvoirs d'inspection, d'enquête et d'ordonnance.

Les principes directeurs

Confidentialité des renseignements de santé

Les renseignements de santé sont confidentiels et ne peuvent être utilisés qu'avec le consentement des personnes concernées.

Dans la mesure où il est possible d'accéder à, ou d'utiliser un renseignement de santé ou de services sociaux de manière à ne pas identifier directement la personne concernée, il faut le faire de cette manière.

Consentement de la personne concernée

Comme le projet de loi 64, (la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels ), la Loi sur les renseignements de santé prévoit que tout consentement à l'accès à un renseignement de santé doit être manifeste, libre, éclairé et être donné à des fins spécifiques et ne vaut que pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.

De même, l'obligation prévue à la Loi sur les renseignements de santé d'information préalable à la collecte des renseignements de santé reprend celle prévue au projet de loi 64. Ainsi, un organisme de santé doit, lors de la collecte des renseignements de santé et par la suite sur demande, informer la personne concernée, dans un langage simple et clair :

du nom de l'organisme qui recueille ce renseignement ou pour qui il est recueilli;

des fins auxquelles ce renseignement est recueilli;

des moyens par lesquels ce renseignement est recueilli;

de son droit d'accéder à ce renseignement et de le rectifier; et

de la durée de conservation de ce renseignement.

La loi prévoit par ailleurs qu' un organisme de santé peut utiliser un renseignement de santé à d'autres fins que celles pour lesquelles il a été recueilli, lorsque l'utilisation est :

à des fins compatibles avec celles auxquelles il a été recueilli;

manifestement au bénéfice de la personne concernée;

nécessaire à l'application d'une loi au Québec; ou

De plus, dans une perspective de gestion, seuls le ministère de la Santé et des Services sociaux, un établissement de santé ou de services sociaux ou un organisme de santé visé à l'annexe I de la loi peuvent invoquer l'exception au consentement pour l'utilisation de renseignements de santé lorsque cela est nécessaire à l'exercice des fonctions relatives à l'organisation et à l'évaluation des services de santé.

Gouvernance

Le projet de loi prévoit que le ministre de la Santé et des Services sociaux est responsable de définir des règles encadrant la gouvernance des renseignements de santé par les organismes de ce secteur. Ces règles seront publiées sur le site de ministère et entreront en vigueur 30 jours après leur approbation auprès de la CAI. Ces règles porteront sur :

la responsabilité des organismes de santé et de services sociaux et la minimisation des risques d'incident de confidentialité; les balises devant guider les professionnels dans leur interprétation de la nécessité d'un accès à un renseignement dans un contexte d'offre de services de santé et de services sociaux; les conditions auxquelles l'accès à un renseignement peut être permis en vue de prévenir un acte de violence, dont un suicide; les modalités de conservation et de destruction des renseignements.

Le ministre élaborera également des règles de gouvernance conformes aux orientations, aux standards, aux stratégies, aux directives, aux règles et aux indications d'application pris en vertu de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement qui entreront en vigueur 30 jours après leur réception par la CAI (et le Secrétariat du Conseil du trésor). Ces règles auront pour objet :

la qualité des renseignements et, plus précisément, les normes ou les standards techniques devant être utilisés, notamment en matière de catégorisation des renseignements; le maintien et l'évaluation des produits ou des services technologiques; la mobilité et la valorisation des renseignements.

Un nouveau cadre de gestion et d'utilisation des renseignements de santé

Un régime particulier pour le secteur sur la recherche

En matière de recherche, le consentement d'une personne à l'accès aux renseignements de santé la concernant peut viser des thématiques de recherche, des catégories d'activités de recherche ou des catégories de chercheurs.

Une personne peut toutefois refuser l'accès à un renseignement de santé la concernant à des fins de sollicitation en vue de sa participation éventuelle à un projet de recherche ou lorsque le projet de recherche n'est pas effectué par un chercheur lié à un organisme du secteur de la santé et des services sociaux, à un établissement public de santé et de services sociaux ou à un établissement de santé et de services sociaux privé conventionné qui exploite un centre hospitalier.

Il demeurera possible pour un chercheur qui souhaite accéder, sans le consentement de la personne concernée, à un renseignement de santé nécessaire à la réalisation d'un projet de recherche de présenter, par écrit, une demande d'autorisation à cet effet au plus haut dirigeant de l'établissement ou de l'organisme auquel il est lié ou à la personne désignée par ce dirigeant. Cette demande devra inclure une évaluation des facteurs relatifs à la vie privée, laquelle doit être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition, à leur support et à leur format.

On assiste à un véritable changement de paradigme quant aux exigences relatives au consentement en matière de recherche. Cela répond aux demandes répétées des acteurs du monde de la recherche au Québec qui réclame depuis longtemps que l'État donne accès à ses données anonymisées. Les règles proposées par le projet de loi 19 en conjonction à celles énoncées à la Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d'autres dispositions législatives et au projet de loi 64 semblent répondre à ces préoccupations.

Avant d'autoriser l'accès aux renseignements de santé demandés, le plus haut dirigeant de l'établissement ou de l'organisme ou la personne désignée par ce dirigeant doit consulter les organismes détenteurs des renseignements visés par la demande, qui disposent alors de 10 jours pour présenter leurs observations.

L'accès aux renseignements nécessaires au projet de recherche, sera autorisé à certaines conditions et pour une durée limitée s'il est déraisonnable d'exiger l'obtention du consentement de la personne concernée et si l'objectif du projet de recherche l'emporte, eu égard à l'intérêt public, sur l'impact de l'accès aux renseignements sur la vie privée de la personne concernée. De plus, les mesures de sécurité propres à assurer la protection des renseignements qui ont été ou qui seront mises en place pour la réalisation du projet de recherche devront être conformes aux règles de gouvernance des renseignements de santé et de services sociaux énoncées à la Loi et aux règles particulières définies par le dirigeant réseau de l'information du secteur de la santé et des services sociaux.

Lorsque la réalisation du projet de recherche est possible en n'accédant qu'à des renseignements sous une forme ne permettant pas d'identifier directement la personne concernée, l'autorisation doit prévoir que l'accès aux renseignements nécessaires doit uniquement se faire sous cette forme.

À tout moment, l'autorisation peut être révoquée, sans délai ni formalité, s'il existe des raisons de croire que les mesures de sécurité propres à assurer la protection des renseignements mises en place ou les conditions auxquelles l'autorisation est assortie ne sont pas respectées, ou que la protection des renseignements est autrement compromise.

Un chercheur du secteur privé qui souhaite accéder, sans le consentement de la personne concernée, à un renseignement de santé nécessaire à la réalisation d'un projet de recherche doit présenter, par écrit, une demande d'autorisation au centre d'accès pour la recherche.

Le centre d'accès et le chercheur pourront alors conclure une entente portant sur les conditions relatives à l'accès, l'utilisation et la communication des renseignements de santé, les mesures de sécurité propres à assurer leur protection, le délai de conservation et la destruction des renseignements notamment.

Certification de certains produits ou services technologiques

Dans certaines circonstances à être définies par règlement, seuls les produits ou services technologiques certifiés pourront être utilisés par un organisme de santé. La procédure et les critères de certification eu égard à la sécurité, les fonctionnalités, l'interopérabilité avec les autres outils utilisés dans le réseau. Une liste des produits et services technologiques certifiés sera publiée sur le site internet du ministère. La certification vise à faciliter aux acquéreurs de solutions informatiques du secteur de la santé et des services sociaux le choix de produits et services technologiques qui sont notamment interopérables et sécuritaires vis-à-vis les actifs informationnels.

Obligations des organismes du secteur de la santé et des services sociaux

Les organismes de santé sont responsables de la protection des renseignements de santé et de services sociaux qu'ils détiennent. Ils doivent prendre les mesures de sécurité propres à assurer leur protection qui sont raisonnables compte tenu de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition, de leur support et de leur format. De plus, ils sont tenus de s'assurer de l'exactitude des renseignements qu'ils détiennent.

Le respect de ces obligations incombe à la personne ayant la plus haute autorité au sein d'un organisme du secteur de la santé et des services sociaux. Cette personne exerce la fonction de responsable de la protection des renseignements de santé et de services sociaux qui peut, par ailleurs, la déléguer.

Les organismes de santé doivent journaliser les accès au renseignements de santé et de services sociaux qu'ils détiennent de même que leur utilisation par tout membre de leur personnel et tout professionnel qui y exerce sa profession. Les organismes devront faire rapport à chaque année au ministre au sujet de ces accès et de ces utilisations à l'exception de ceux effectués dans un contexte d'offre de services de santé et de services sociaux.

Les organismes de santé doivent adopter une politique de gouvernance relativement aux éléments suivants :

Les rôles et responsabilités des membres du personnel et les professionnels de l'organisme;

les catégories de personnes qui peuvent utiliser les renseignements de santé dans le cadre de leur fonction; un calendrier de mise à jour des produits ou des services technologiques qu'ils utilisent; un processus de traitement des incidents de confidentialité; un processus de traitement des plaintes relatives à la protection des renseignements de santé et de services sociaux; une description des activités de formation et de sensibilisation en matière de protection des renseignements de santé et de services sociaux qu'ils offrent aux membres du personnel de l'organisme et aux professionnels qui y exercent leur profession;

Tout comme dans le secteur privé, tout projet d'acquisition, de développement et de refonte de produits ou de services technologiques ou de prestation électronique de service qui implique la collecte, l'utilisation, la conversation ou la destruction de renseignements de santé ou de services sociaux ou l'accès à de tels renseignements doit faire l'objet d'une évaluation des facteurs relatifs à la vie privée proportionnée à la sensibilité des renseignements concernés, la finalité de leur utilisation, à leur quantité, à leur répartition, à leur support et à leur format.

Les organismes de santé doivent également tenir un registre de tout produit ou service technologique qu'il utilisent.

Incident de confidentialité

Un organisme de santé qui a des motifs de croire que s'est produit un incident de confidentialité impliquant un renseignement de santé ou de services sociaux qu'il détient ou qu'un tel incident risque de se produire, doit prendre les mesures raisonnables pour diminuer les risques qu'un préjudice soit causé et pour éviter que de nouveaux incidents de même nature ne se produisent.

La définition d' « incident de confidentialité » prévue à la Loi sur les renseignements de santé reprend les termes énoncé au projet de loi 64 à l'exception de la « communication non autorisée par la loi ». Ainsi, dans la Loi sur les renseignements de santé, on entend par « incident de confidentialité », un accès non autorisé par la loi à un renseignement de santé, l'utilisation non autorisée par la loi d'un tel renseignement, la perte d'un tel renseignement ou toute autre atteinte à sa protection.

Si l'incident présente un risque qu'un préjudice sérieux soit causé, l'organisme doit, avec diligence, aviser le ministre et la CAI. Il doit également aviser toute personne dont un renseignement est concerné par l'incident, à défaut de quoi la CAI peut lui ordonner de le faire. Il peut également aviser toute personne, toute société ou tout organisme susceptible de diminuer ce risque et lui transmettre, sans le consentement de la personne concernée, tout renseignement nécessaire à cette fin.

Cependant, une personne dont un renseignement est concerné par l'incident n'a pas à être avisée tant que cela serait susceptible d'entraver une enquête faite par une personne ou par un organisme qui, en vertu de la loi, est chargé de prévenir, de détecter ou de réprimer le crime ou les infractions aux lois.

Un organisme du secteur de la santé et des services sociaux doit tenir un registre des incidents de confidentialité. Sur demande du ministre ou de la CAI, une copie de ce registre est transmise.

Conservation et destruction

Selon la catégorie de renseignements ou d'organismes du secteur de la santé et des services sociaux visée, une période minimale de conversation pourra être déterminée par règlement.

Sous réserve de la durée de conservation fixée par règlement le cas échéant, des dispositions de la Loi sur les archives ou de celles du Code des professions, lorsque les fins auxquelles un renseignement de santé ou de services sociaux a été recueilli ou utilisé sont accomplies, un organisme du secteur de la santé et des services sociaux doit le détruire.

Droit d'accès et de rectification

Une personne physique ayant l'intérêt requis peut formuler une demande d'accès ou de rectification au responsable de la protection des renseignements de santé et de services sociaux de l'organisme. Le responsable doit y donner suite dans les 30 jours. Le cas échéant, la personne concernée pourra prendre connaissance du renseignement sur place pendant les heures habituelles de travail ou à distance, elle pourra en obtenir une copie. L'accès est gratuit sous réserve de frais raisonnables pour la transcription, la reproduction ou la transmission du renseignement lequel doit être reproduit par écrit sous une forme intelligible.

La personne dont la demande d'accès ou de rectification est refusée par le responsable de la protection des renseignements de santé et de services sociaux peut demander à la CAI de réviser cette décision.

Application de la loi et sanction

La CAI veille à l'application de la loi et s'assure du respect et la promotion de la protection des renseignements de santé et de services sociaux au moyen de la sensibilisation notamment. Aux fins d'exercices de ses fonctions, elle peut agir par inspection ou enquête. Elle dispose de très larges pouvoirs et peut exiger la production de tout document.

Lorsqu'elle est informée d'un incident de sécurité, la CAI peut ordonner toute mesure visant à protéger les droits de la personne concernée.

Une ordonnance de faire rendue par la CAI est exécutoire dans les 30 jours, une ordonnance de s'abstenir ou de cesser de faire un geste est exécutoire immédiatement. Les ordonnances de la section de surveillance de la CAI peuvent faire l'objet d'une contestation devant un juge de la Cour du Québec. Il n'y a pas de sursis d'exécution du seul fait de la contestation.

Quiconque contrevient aux dispositions de la loi est passible d'amendes pouvant aller jusqu'à 150 000$. En cas de récidive, les amendes prévues à la loi sont doublées. Les infractions qui sont énoncées à la loi se prescrivent par cinq ans.

En cas d'infraction, des amendes de 1 000$ à 10 000$ pour une personne physique et de 3 000$ à 30 000$ dans les autres cas.

Une personne commet une infraction lorsqu'elle :

recueille, utilise, conserve ou détruit des renseignements de santé ou de services sociaux ou y accède en contravention de la loi; refuse de permettre l'accès à un renseignement accessible ou en entrave l'accès, notamment en détruisant, en modifiant ou en cachant le renseignement ou en retardant indûment sa transmission; entrave l'exercice des fonctions du gestionnaire des autorisations d'accès aux renseignements de santé et de services sociaux ou d'un responsable de la protection des renseignements de santé et de services sociaux; omet de déclarer, s'il est tenu de le faire, un incident de confidentialité au ministre ou à la CAI; est en défaut de respecter les conditions prévues à une autorisation délivrée par ou à une entente conclue avec le Centre d'accès à la recherche ou encore en vertu d'un contrat de service convenu avec un organisme de santé.

Les amendes passeront de 5 000$ à 100 000$ pour une personne physique et de 15 000$ à 150 000$ dans les autres cas, lorsque le contrevenant :

permet l'accès à un renseignement ne pouvant pas être rendu accessible en vertu de la présente loi ou pour lequel une autorisation d'accès a été refusée en vertu de la présente loi; procède ou tente de procéder sans autorisation à l'identification d'une personne physique à partir de renseignements dépersonnalisés ou à partir de renseignements anonymisés; contrevient à l'obligation d'utiliser un produit ou un service technologique; détient un renseignement de santé ou de services sociaux sans se conformer aux obligations applicables; entrave le déroulement d'une enquête ou d'une inspection de la CAI ou l'instruction d'une demande par celle-ci en lui communiquant des renseignements faux ou inexacts, en omettant de lui transmettre des renseignements qu'elle requiert ou autrement; refuse ou néglige de se conformer, dans le délai fixé, à une demande de document ou de renseignement transmise par la CAI afin de vérifier l'application de la loi; contrevient à une ordonnance de la CAI.

La loi prévoit la responsabilité d'une organisation s'il est établit que l'infraction a été commise par des administrateurs, des agents ou des employés de ladite organisation à moins que ces derniers n'établissent qu'ils ont fait preuve de diligence raisonnable en prenant toutes les précautions nécessaires pour en prévenir la perpétration.

Conclusion

En plus de créer une nouvelle Loi sur les renseignements de santé et de services sociaux, le projet de loi modifie 26 lois et abroge la Loi concernant le partage de certains renseignements de santé. Il est à noter que le projet de loi vise à modifier la LSSSS pour prévoir notamment la création d'un système national de dépôt de renseignements qui permettra l'intégration des dossiers relatifs aux patients, des consentements au prélèvement d'organes ou de tissus ainsi que des directives médicales anticipées concernant l'aide médicale à mourir. Un règlement devra déterminer les organismes devant verser dans ce système tout ou partie des renseignements qu'ils recueillent.

À l'instar de la plupart des autres provinces canadiennes, le Québec veut se doter d'un cadre législatif à part entière pour les renseignements de santé. Plusieurs principes mis de l'avant par le projet de loi 19 viennent s'arrimer à ceux retrouvés à la Loi sur la protection des renseignements personnels dans le secteur privé tel qu'amendée par le projet de loi 64, adopté le 21 septembre dernier par l'Assemblée nationale.

Aucune date d'entrée en vigueur ne figure au projet de loi 19. Les dispositions de la Loi sur les renseignements de santé entreront en vigueur aux dates fixées par un décret du gouvernement. Le gouvernement souhaite faire adopter ce projet de loi avant la fin de la session parlementaire en cours. Toutefois, comme deux gros projets de loi sont déjà à l'étude devant la Commission de la santé et des services sociaux, reste à voir si la commission parlementaire parviendra à réviser la Loi sur les renseignements de santé à temps pour permettre son adoption avant juin 2022.

