Dans une publication récente (consultez ici), nous vous avions annoncé la publication de deux projets de règlement à la Gazette officielle du Québec en lien avec la Loi sur les renseignements de santé et de services sociaux1 (la Loi). Plusieurs dispositions de la Loi et de ses règlements sont désormais en vigueur, et ce, depuis le 1er juillet 2024, soit plus d’un an après la sanction de la Loi.
Objet
L’adoption de la Loi s’inscrit dans un processus de changements en profondeur du réseau de la santé et des services sociaux ainsi que dans un virage numérique qui est en cours depuis quelques années au sein du secteur public québécois. Elle vise à améliorer la qualité des services offerts à la population québécoise en favorisant une circulation fluide des renseignements de santé et de services sociaux (RSSS) entre les différents acteurs du réseau2. Un modèle de gouvernance fondé sur la responsabilité et l’imputabilité des intervenants et des organismes du secteur de la santé et des services sociaux (OSSS) y est prévu pour assurer la protection des RSSS, tout en permettant une utilisation optimale de ceux-ci3. Le partage sécuritaire des renseignements a également pour but d’encourager l’innovation et le développement des connaissances et des technologies au sein du réseau de la santé et des services sociaux.
Application
La Loi s’applique aux OSSS, ce qui inclut le ministère de la Santé et des Services sociaux et les établissements publics, tels les centres hospitaliers; le champ d’application de la Loi ne se limite toutefois pas aux organismes publics4. À titre d’exemple, la Loi s’applique également aux cabinets privés de professionnel·les, par exemple les cabinets de médecins ou de dentistes, aux centres médicaux spécialisés, aux laboratoires et aux résidences privées pour aînés5. Elle s’appliquerait également aux prestataires de services retenus par certains OSSS.
Quant à l’expression « RSSS », elle désigne tout renseignement qui permet d’identifier directement ou indirectement une personne et qui concerne : 1) l’état de santé physique ou mentale de cette personne et ses facteurs déterminants, y compris ses antécédents médicaux ou familiaux; 2) tout matériel prélevé sur cette personne dans le cadre d’une évaluation ou d’un traitement, y compris le matériel biologique; 3) les services de santé ou les services sociaux offerts à cette personne, notamment leur nature, leurs résultats, les lieux où ils ont été offerts et l’identité des personnes ou groupements qui les ont offerts; 4) des renseignements obtenus dans l’exercice d’une fonction prévue par la Loi sur la santé publique 6; ou 5) toute autre caractéristique déterminée par un règlement du gouvernement 7. Sont également inclus dans la définition de RSSS les renseignements d’identification recueillis dans le contexte de la prise en charge de la personne, par exemple son nom, sa date de naissance ou son numéro d’assurance maladie.
Obligations légales
Les obligations prévues par la Loi ressemblent beaucoup à celles introduites par la loi 25 (consultez nos publications antérieures ici et ici pour plus de détails à ce sujet).
Collecte et utilisation
En matière de collecte et de conservation des renseignements, la Loi prévoit qu’un organisme peut seulement recueillir les RSSS qui sont nécessaires à la réalisation de sa mission ou de son objet, à l’exercice de ses fonctions ou de ses activités ou à la mise en œuvre d’un programme dont il a la gestion8.
Tout RSSS détenu par un OSSS est confidentiel et ne peut, sans consentement exprès de la personne qu’il concerne, être utilisé ou communiqué autrement que conformément à la Loi9. L’utilisation ou la communication d’un tel renseignement doit également se faire de façon dépersonnalisée, c’est-à-dire sans qu’on ne puisse identifier directement la personne, lorsqu’une telle méthode est possible10.
Lorsqu’un OSSS recueille des RSSS auprès d’une personne, il doit l’informer en termes simples et clairs de certains éléments afin d’obtenir son consentement manifeste, libre et éclairé, notamment les fins pour lesquelles les renseignements sont recueillis et son droit d’avoir accès à ceux-ci et de les rectifier11. Le consentement doit être demandé par l’OSSS pour chacune des fins visées par son utilisation ou sa communication12.
Mesures de protection et gouvernance
Le respect et la mise en œuvre de la Loi au sein de l’organisme doivent être assurés par son responsable de la protection des renseignements13. À titre d’exemple, un OSSS doit adopter une politique de gouvernance des renseignements14. Celle-ci doit nécessairement contenir les éléments qui sont prévus à la Loi, notamment les mécanismes de journalisation et les mesures de sécurité propres à assurer la protection des RSSS que l’organisme met en place et un processus de traitement des incidents de confidentialité15.
L’OSSS est également responsable de la protection des RSSS qu’il détient16. Des mesures de sécurité propres à assurer leur protection doivent être prises et l’organisme a la responsabilité de vérifier que les renseignements sont à jour, exacts et complets pour servir aux fins pour lesquelles ils ont été recueillis ou sont utilisés17.
Incidents de confidentialité
Lorsqu’un OSSS a des motifs de croire qu’un incident de confidentialité s’est produit, telle la communication d’un renseignement non autorisée par la Loi, il doit prendre des mesures pour diminuer les risques qu’un préjudice soit causé et pour éviter que de nouveaux incidents de même nature ne se produisent18. Si l’incident présente un risque qu’un préjudice sérieux soit causé, l’organisme doit aviser la personne concernée, le ministre de la Santé et des Services sociaux et la Commission d’accès à l’information (CAI)19. Considérant la sensibilité générale des RSSS, divers incidents de confidentialité impliquant ceux-ci risquent d’atteindre le seuil de notification obligatoire.
Utilisation à des fins de recherche
Une nouveauté dans la Loi est le régime d’accès aux RSSS à des fins de recherche. Les modalités de ce volet restent à clarifier, mais la Loi prévoit les circonstances dans lesquelles des chercheurs peuvent accéder à des RSSS afin de mener à terme des projets de recherche. Les procédures varient en fonction du statut du chercheur et prévoient une approche simplifiée, notamment quant à l’entrée en vigueur des ententes qui n’est plus assujettie à l’écoulement d’un délai de trente (30) jours suivant leur transmission à la CAI.
Mesures à mettre en place
Malgré les similitudes entre la Loi et la loi 25, des mesures devront être mises en place pour se conformer à la Loi, notamment : 1) en modifiant ou en adaptant les documents utilisés, par exemple les formulaires de consentement et les politiques, afin que ceux-ci réfèrent et tiennent aussi compte de la Loi; 2) en revoyant le rôle du responsable de la protection des renseignements personnels; et 3) en mettant en place les diverses mesures prescrites par règlement (consultez notre publication antérieure ici).
Sanctions
Comme la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, la Loi prévoit des amendes pouvant aller jusqu’à 150 000 $ en cas de non-respect de celle-ci, notamment lorsqu’il y a conservation ou destruction de RSSS, omission de déclarer un incident de confidentialité lorsque requis, ou encore lorsqu’une entité assujettie procède ou tente de procéder à l’identification d’une personne physique à partir de renseignements anonymisés. Il est important de noter que les montants des amendes prévus par la Loi sont portés au double pour une première récidive et au triple pour toute récidive additionnelle20.
Étant donné que la Loi vient tout juste d’entrer en vigueur, plusieurs questions demeurent quant à son application pratique. Il sera donc important de suivre l’évolution de la situation au cours des prochains mois.
Les auteurs tiennent à remercier Marilou Bouthiette, stagiaire, pour son aide dans la préparation de la présente actualité juridique.