Entrée en vigueur de la nouvelle loi québécoise sur la protection des renseignements de santé personnels

C’est le 1^er juillet 2024 que sont entrées en vigueur la plupart des dispositions de la nouvelle loi québécoise sur la protection des renseignements de santé personnels, la Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives (la Loi). La Loi aligne le Québec sur les autres provinces en établissant un régime de protection des renseignements de santé personnels, bien qu’elle crée également de nombreuses exigences propres au Québec qui sont plus strictes que celles des autres provinces. Elle contient notamment des exigences plus explicites pour l’utilisation de la technologie, reflétant la nouvelle approche du législateur québécois à l’égard de la protection des renseignements personnels dans le secteur privé.

Ce que vous devez savoir

• La Loi exige que les organismes du secteur de la santé et des services sociaux (qui comprennent des organisations publiques et privées) prennent certaines mesures pour protéger les renseignements de santé et de services sociaux (renseignements SSS). Ainsi, ces organismes doivent mener des évaluations des facteurs relatifs à la vie privée, désactiver par défaut certaines technologies de collecte de renseignements, adopter une politique de gouvernance, publier un registre des technologies utilisées et déclarer les incidents de confidentialité.
• La Loi prévoit qu’un contrat entre un organisme du secteur de la santé et des services sociaux et un prestataire de services auquel il communique des renseignements SSS doit comprendre certaines clauses précises, y compris relativement aux droits de vérification, aux engagements de confidentialité du personnel et aux restrictions sur l’utilisation de produits et de services technologiques.
• Les infractions à la Loi peuvent donner lieu à des amendes allant jusqu’à 100 000 $ dans le cas d’une personne physique et 150 000 $ dans les autres cas. Ces montants sont portés au double pour une première récidive et au triple pour toute récidive additionnelle.

Réforme du régime de protection des renseignements de santé personnels en vertu de la nouvelle législation

Champ d’application

La majorité des exigences de la Loi s’appliquent à certains « organismes du secteur de la santé et des services sociaux » désignés, qui comprennent les établissements de santé publique, dont les cliniques et les hôpitaux, ainsi que d’autres organisations qui fournissent des services de santé et des services sociaux comme les cliniques privées, les pharmacies, les résidences privées pour aînés, les maisons de soins palliatifs, les laboratoires, les résidences et les familles d’accueil, les ressources intermédiaires (telles que les milieux de vie adaptés), les prestataires de services funéraires et les ambulances.

Les prestataires de services avec lesquels ces organismes concluent des contrats visant la prestation de services de santé ou de services sociaux sont également considérés comme des organismes du secteur de la santé et des services sociaux.

Ces organismes ont l’obligation de protéger les renseignements SSS, définis comme tout renseignement qui permet, même indirectement, d’identifier une personne et qui répond à l’une des caractéristiques suivantes :

• il concerne l’état de santé physique ou mentale de cette personne et ses facteurs déterminants, y compris ses antécédents médicaux ou familiaux;
• il concerne tout matériel prélevé dans le cadre d’une évaluation ou d’un traitement, incluant le matériel biologique, ainsi que tout implant ou toute orthèse, prothèse ou autre aide suppléant à une incapacité;
• il concerne les services de santé ou les services sociaux offerts à cette personne, notamment la nature de ces services, leurs résultats, les lieux où ils ont été offerts et l’identité des personnes ou des groupements qui les ont offerts;
• il a été obtenu dans l’exercice d’une fonction prévue par la Loi sur la santé publique;
• il est accolé à un de ces renseignements ou il est recueilli en vue de l’admission de la personne dans un organisme du secteur de la santé et des services sociaux.

L’inclusion de certains organismes du secteur des services sociaux et de renseignements concernant la prestation de ces services crée un champ d’application plus large que la législation équivalente dans d’autres provinces, qui ne vise que les renseignements de santé personnels.

Obligations légales pour les organismes du secteur de la santé et des services sociaux

La Loi reflète un grand nombre de principes et d’obligations légales actuellement en vigueur dans le secteur privé au Québec. Les principales obligations sont résumées ci-dessous.

• Consentement : Chaque fois qu’un organisme recueille des renseignements SSS auprès d’une personne, il doit l’informer en termes simples et clairs (i) des fins et des moyens de la collecte, (ii) de ses droits en matière de protection de ces renseignements, et (iii) de la durée de conservation de ces renseignements. Une fois recueillis, les renseignements peuvent être utilisés au sein de l’organisme à des fins conformes à la fin de collecte initiale, sans qu’il soit nécessaire d’obtenir un nouveau consentement.
• Évaluations des facteurs relatifs à la vie privée : Les organismes doivent procéder à des évaluations des facteurs relatifs à la vie privée pour (i) les projets concernant de nouveaux produits ou services technologiques qui impliquent le traitement de renseignements SSS, et (ii) tout mandat ou contrat impliquant la communication de renseignements SSS à l’extérieur du Québec.
• Désactivation par défaut : Les organismes qui recueillent des renseignements SSS à l’aide de technologies comprenant des fonctions d’identification, de localisation ou de profilage doivent en informer les personnes touchées. Comme l’exigent les autres lois sur la protection des renseignements personnels dans le secteur privé au Québec, toutes ces technologies doivent être désactivées par défaut.
• Gouvernance : Les organismes doivent adopter une politique de gouvernance interne régissant la gestion des renseignements SSS et nommer une personne chargée de la protection de ceux-ci. Comparativement à la législation des autres provinces, la Loi exige plusieurs autres éléments à inclure dans la politique, comme les rôles et les responsabilités du personnel, les mécanismes de journalisation et les mesures de sécurité en place, le processus de traitement des incidents de confidentialité et des plaintes, ainsi qu’une description des activités de formation et de sensibilisation du personnel.
• Tenue d’un registre et publication : Les organismes doivent contrôler et journaliser l’ensemble des accès, utilisations et communications de renseignements SSS par les membres de leur personnel. Ils doivent également tenir un registre de tous les produits ou services technologiques qu’ils utilisent pour recueillir, conserver, utiliser ou communiquer des renseignements SSS. Ce registre doit être publié sur leur site Web ou être rendu accessible au public d’une autre manière.
• Prise de décisions automatisée : Les organismes qui utilisent des renseignements SSS pour prendre des décisions fondées exclusivement sur un traitement automatisé de ceux-ci doivent en informer la personne concernée et lui fournir des informations supplémentaires sur la décision à sa demande.
• Droits à la protection des renseignements personnels : Comme la plupart des lois sur la protection des renseignements personnels au Canada, la Loi accorde aux personnes le droit de consulter et de corriger leurs renseignements personnels, et exige des organismes qu’ils maintiennent les renseignements SSS exacts et à jour. La Loi permet également aux personnes d’interdire l’accès à leurs renseignements à certains prestataires de services, chercheurs et membres de leur famille.
• Mesures de sécurité et incidents de confidentialité : Les organismes sont responsables des renseignements SSS qu’ils détiennent et doivent prendre des mesures de sécurité raisonnables pour les protéger. Ils sont tenus de signaler les incidents de confidentialité à la Commission de l’accès à l’information (CAI) et d’informer les personnes concernées si l’incident présente un risque de préjudice sérieux. Ils sont également tenus de prendre des mesures raisonnables pour réduire le risque de préjudice et prévenir les nouveaux incidents et doivent tenir un registre des incidents de confidentialité.

Dispositions obligatoires pour les contrats avec les prestataires de services

La Loi se distingue par ses exigences strictes à l’égard des contrats conclus entre les organismes du secteur de la santé et des services sociaux et les prestataires de services auxquels ils communiquent des renseignements SSS. Ainsi, tous ces contrats doivent être conclus par écrit et doivent, « sous peine de nullité », obliger les prestataires de services à :

• n’utiliser les renseignements qui leur sont communiqués qu’à des fins autorisées;
• veiller à la protection des renseignements et au respect des règles de gouvernance des renseignements;
• faire signer un engagement de confidentialité par toute personne susceptible de traiter les renseignements;
• n’utiliser que des produits ou services technologiques autorisés par l’organisme;
• transmettre sur demande tout renseignement obtenu ou produit à partir de l’utilisation des renseignements SSS;
• permettre à l’organisme d’effectuer toute vérification relative à la protection des renseignements;
• aviser sans retard le responsable de la protection des renseignements de l’organisme de toute violation ou tentative de violation des obligations relatives à la protection des données prévues par le contrat;
• ne pas conserver les renseignements au terme du contrat.

Si les renseignements doivent être communiqués à l’extérieur du Québec, le contrat doit inclure des clauses visant à atténuer les risques identifiés dans l’évaluation des facteurs relatifs à la vie privée, le cas échéant.

Mise en application et pénalités

La CAI est chargée de veiller à l’application de la Loi et de l’ensemble de la législation sur la protection des renseignements personnels du Québec. Elle dispose de pouvoirs d’inspection et d’enquête et du pouvoir de rendre des ordonnances. Elle peut aussi accorder un droit d’appel devant la Cour du Québec dans certains cas.

La Loi contient des dispositions pénales, prévoyant des amendes allant jusqu’à 100 000 $ dans le cas d’une personne physique et 150 000 $ dans tous les autres cas, dont les montants sont portés au double pour une première récidive et au triple pour toute récidive additionnelle. Les infractions comprennent la communication de renseignements qui ne peuvent être communiqués en vertu de la Loi, l’identification d’une personne à partir de renseignements dépersonnalisés sans autorisation, le non-signalement d’un incident de confidentialité et la collecte, la conservation, l’utilisation ou la destruction de renseignements de manière non conforme.

Points à retenir pour les entreprises

Les entreprises qui recueillent des renseignements pouvant être classés comme des « renseignements de santé et de services sociaux » ou qui concluent des contrats avec des organismes du secteur de la santé et des services sociaux au Québec devraient revoir leurs programmes de protection des renseignements de santé personnels afin d’en assurer la conformité.

Puisque certaines des nouvelles exigences sont plus strictes que celles d’autres provinces, les organisations devraient mener une analyse juridictionnelle, à l’instar de la comparaison entre les exigences québécoises et fédérales en matière de collecte, d’utilisation et de communication de renseignements personnels dans le secteur privé. Il leur faudra peut-être évaluer les risques, les coûts et les avantages d’une mise en conformité de leur programme de protection des renseignements personnels, concevoir des protocoles différents pour le Québec ou décider qu’elles ne sont pas visées par la Loi (ou les lois du Québec en général) et n’ont donc pas besoin de modifier leur programme de gestion des données existant.

Les dispositions obligatoires relatives aux contrats avec les prestataires de services doivent également être prises en compte lors de la préparation, de la négociation et de la conclusion de contrats, tant pour les prestataires de services que pour les organismes du secteur de la santé et des services sociaux. Les prestataires de services devraient s’assurer que leurs programmes de protection des données leur permettront de respecter les clauses contractuelles obligatoires, même s’ils ne sont pas directement visés par la Loi.