Le 1er juillet 2024, une loi et deux règlements relatifs aux renseignements de santé entreront en vigueur :
– la Loi sur les renseignements de santé et de services sociaux
(autres désignations : « LRSSS » ou « Loi 5 » ou encore « Projet de loi 3 ») ;
– le Règlement sur la gouvernance des renseignements de santé et de services sociaux ;
1. Quels sont les grands objectifs de la Loi sur les renseignements de santé et de services sociaux ?
– Assurer la protection des renseignements de santé des citoyens, tout en simplifiant la circulation de tels renseignements entre tous les intervenants de soins, en établissements comme en cabinets privés.
– Plusieurs provinces ont déjà adopté ce type de loi.
2. À qui s’applique cette loi ?
À tous les « organismes de santé et de services sociaux », notamment au MSSS, aux établissements et à toute personne ou tout groupe qui exploite un cabinet privé de professionnels.
Voir les annexes I et II de la loi pour la liste de tous les organismes visés.
3. Quelle est la différence entre un renseignement personnel et un renseignement de santé ?
Un renseignement personnel permet d’identifier une personne physique. Ex. : nom, adresse, NAS, courriel, numéro de téléphone, date de naissance, etc.
Un renseignement de santé concerne l’état de santé physique ou mental d’une personne. Les résultats d’un prélèvement (ex. : sang, urine, biopsie, etc.) constituent aussi un renseignement de santé. Il en est de même de tous les renseignements liés aux services sociaux.
Enfin, un renseignement personnel (ex. : nom, adresse, courriel, etc.), lorsqu’il est accolé à un renseignement de santé dans un dossier ou lorsqu’il est recueilli lors de l’inscription initiale d’un patient dans une clinique ou un établissement, est considéré comme un renseignement de santé.
4. Si je pratique en cabinet ou en clinique, est-ce que ma pratique cesse d’être assujettie à la Loi sur les renseignements personnels dans le secteur privé ?
Non, tous les renseignements personnels non accolés à des renseignements de santé ou qui ne sont pas liés à l’inscription initiale continueront d’être régis par la Loi sur la protection des renseignements personnels dans le secteur privé. Cette loi a été modernisée par la Loi 25 en 2021.
Donc, les renseignements personnels dans votre clinique seront réglementés par deux lois :
– la Loi sur la protection des renseignements personnels dans le secteur privé pour tout ce qui est non médical. Par exemple : vos dossiers d’employés (RH) ou encore vos bases de données transactionnelles (paiements, carte de crédit, etc.).
et
– la Loi sur les renseignements de santé et de services sociaux pour tout ce qui est médical.
5. Vais-je devoir changer de formulaire de consentement lors de la 1re visite d’un patient ?
Puisque le texte d’un formulaire de consentement doit être négocié avec le ministère de la Santé, nous sommes dans l’attente de leur retour à ce sujet. Pour l’instant, nous vous suggérons de poursuivre l’utilisation du formulaire usuel d’inscription.
Selon la LRSSS, le formulaire de consentement devra prévoir :
- le nom légal de l’organisme qui collecte ;
- la raison de la collecte des renseignements (ex. : soins, analyses, contact du patient, etc.) ;
- les moyens utilisés pour collecter les renseignements (ex. : DME, formulaire papier, etc.) ;
- le droit d’accès du patient à ses renseignements et le droit de rectification ;
- Le droit de restriction et le droit de refus du patient (voir la question 9 relative à ses deux nouveaux droits) ;
- la durée de conservation des renseignements.
6. Si j’ai déjà une politique de confidentialité et de gouvernance en vertu de la Loi 25, dois-je la revoir pour être conforme à la LRSSS ?
La politique de confidentialité et de gouvernance de certaines cliniques a été rédigée en tenant compte de la Loi 25 et de la LRSSS (loi 5). Si c’est le cas, votre politique devrait déjà prévoir les éléments suivants :
– les rôles et les responsabilités des membres du personnel à l’égard des renseignements ;
– les catégories de personnes qui peuvent utiliser ces renseignements dans l’exercice de leurs fonctions ;
– les mesures de sécurité propres à assurer la protection de ces renseignements ;
– les conditions et les modalités suivant lesquelles des renseignements peuvent être communiqués conformément aux articles 74 à 76 ;
– un calendrier de mise à jour des produits ou des services technologiques ;
– un processus de traitement des incidents de confidentialité ;
– un processus de traitement des plaintes ;
– une description des activités de formation offertes aux membres du personnel de l’organisme.
Si votre politique est uniquement conforme à la Loi 25, vous devrez ajouter quelques sections.
7. Est-ce que la nouvelle loi permet la fluidité des renseignements de santé entre les différents intervenants des établissements et des cliniques ?
Oui, malgré les nouvelles obligations pour les cliniques, un aspect positif est que la loi permet aux différents professionnels qui soignent un même patient d’accéder aux renseignements de santé de ce dernier et de les communiquer.
La signature de formulaires de consentement entre les différents CIUSSS ou entre les cliniques et les établissements ne sera donc plus requise pour le même épisode de soins.
8. Est-ce qu’un employé ou un autre intervenant non professionnel peut avoir accès aux renseignements de santé au même titre qu’un médecin ?
Oui, si le patient consent à un tel accès.
Sinon, la LRSSS prévoit que toute personne non professionnelle au sens du Code des professions doit détenir une « autorisation d’accès » de la part du gestionnaire de chaque clinique ou de la personne désignée pour gérer les renseignements de santé au sein de l’organisme.
Pour recevoir une autorisation, la personne non professionnelle doit :
- être membre du personnel ;
- suivre une formation sur la protection des renseignements personnels ;
- signer un engagement de se conformer à la LRSSS.
Notez qu’il n’y a présentement aucune formation reconnue sur le site du ministère. Nous allons donc vous revenir lorsqu’une formation sera offerte aux médecins et à leur personnel.
De plus, nous allons nous assurer que le futur formulaire de consentement prévoit l’accès par les employés non professionnels pour éviter cette disposition.
9. Quelles sont mes nouvelles obligations en vertu de la LRSSS et de ses deux règlements ?
– Formation : offrir une formation à votre personnel sur la protection des renseignements personnels reconnue par le ministère. Il n’existe aucune formation pour l’instant.
– Consentement : obtenir un consentement éclairé des patients en communiquant une série d’informations lors de la rencontre initiale de soins (en attente d’un formulaire négocié avec le ministère).
– Droit de restriction : prévoir le droit d’un patient de restreindre l’accès aux renseignements le concernant en identifiant un intervenant particulier ou une catégorie d’intervenants. L’avis de restriction doit être fait par écrit et contenir les renseignements visés par la restriction. Si un patient exige une restriction, un employé de votre clinique doit l’informer des risques associés.
Ex. : un patient ne veut pas que son médecin de famille ait accès à ses renseignements de nature psychiatrique. Une personne doit appeler le patient pour lui expliquer les risques par rapport à son suivi longitudinal.
Voir avec votre DME si vous pouvez programmer un droit de restriction.
– Droit de refus : prévoir le droit d’un patient de refuser l’accès à son dossier à un chercheur ou à des proches lors de son décès. Ex. : un patient refuse que sa femme connaisse la cause de son éventuel décès.
Voir avec votre DME si vous pouvez programmer un droit de refus.
– Politique de gouvernance : mettre à jour votre politique de gouvernance et de confidentialité et la revoir annuellement. (voir si votre politique a besoin d’une mise à jour)
– Analyse des accès et des communications de renseignements : les cliniques devront une fois par année analyser qui a eu accès aux renseignements de santé et vérifier si les accès ont respecté la loi et la politique de gouvernance.
– Autorisation d’accès : émettre des autorisations aux employés non professionnels qui doivent accéder aux renseignements de santé ou les communiquer (en attente d’une formation reconnue par le ministère).
– Registre : établir un registre des produits et services technologiques conforme au règlement d’application (voir le contenu du registre à l’article 10 du Règlement sur la gouvernance).
– Incident de confidentialité : respecter la procédure en cas d’incident (semblable à ce que prévoit Loi 25).
10. Est-ce que mon DME doit être adapté à la LRSSS ?
Normalement oui, votre DME devra permettre de nouvelles fonctions : programmer un refus d’accès, programmer une restriction d’accès et éventuellement journaliser tous les accès et toutes les communications de renseignements.