Cette loi est une réforme des règles légales qui encadrent l’accès et la protection des renseignements personnels au Québec, afin de les renforcer. Elle introduit pour toutes les entreprises au Québec, dont les cliniques médicales, de nouvelles obligations.
Ces obligations doivent être considérées tant à l’égard des patients que des personnes qui travaillent dans la clinique.
Cette loi est évolutive. Ses règlements n’ont pas encore été dévoilés par le gouvernement. Des éléments de précision restent donc à être éventuellement connus. L’Assemblée nationale a également adopté une nouvelle loi en avril 2023. Celle-ci visant spécifiquement la protection des renseignements de santé. Il y aura donc un mariage à faire entre cette nouvelle loi et la Loi 25.
Politique sur la protection des renseignements personnels
Les cliniques médicales doivent, en termes simples et clairs, établir des politiques encadrant la gouvernance des renseignements personnels.
Depuis le 22 septembre 2023, chaque clinique médicale doit se doter d’une politique sur la protection des renseignements personnels. Cette politique doit être disponible sur le site Internet de la clinique où l’on y accède à partir d’un lien sur la page d’accueil (ex. : au bas de la page d’accueil « politique de protection des renseignements personnels »). Dans votre politique, vous pourriez créer un autre lien menant à la procédure de traitement des plaintes.
À défaut d’avoir un site Internet, la loi dit, qu’il faut faire connaître votre politique et votre procédure par tout autre moyen approprié. Ce qui n’est pas défini. La réception de la clinique et la salle d’attente pourraient servir de moyens alternatifs en y laissant des exemplaires papier.
Chaque clinique médicale doit :
- nommer une personne responsable de la protection des renseignements personnels ;
- établir les rôles et les responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels (notamment en ce qui concerne les droits d’accès) ;
- établir un processus de traitement des plaintes relativement à la protection des renseignements personnels ;
- mettre en place des moyens de conservation et de destruction sécuritaires des renseignements personnels ;
- prévoir des règles permettant d’encadrer la conservation et la destruction des renseignements personnels ;
- mettre en place une politique et un processus d’évaluation des facteurs relatifs à la vie privée pouvant être utilisée lors de tout projet d’acquisition, de développement, de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels ou avant la communication de renseignements personnels hors Québec. Pensons à l’acquisition d’un nouveau DMÉ par exemple.
Rappel
Désigner une personne responsable de la protection des renseignements personnels. Il n’est pas nécessaire que cette personne soit un médecin. La fonction peut donc être déléguée à toute personne par le plus haut dirigeant de la clinique. Le nom de la personne désignée doit être publié, tout comme son titre et ses coordonnées, sur le site Internet de l’entreprise. Si une clinique n’a pas de site Internet, nous suggérons d’afficher l’information à l’intérieur de la clinique.
La communication de renseignements personnels à des tiers à des fins commerciales, sans le consentement des personnes concernées, devra respecter des conditions contractuelles écrites. Lorsque les renseignements que l’on veut communiquer sans le consentement des personnes concernées le sont à des fins de recherche, d’étude ou de productions statistiques, il faudra procéder à une évaluation des facteurs de risques liées à la vie privée. Des informations à ce sujet sont disponibles auprès de la CAI.
Divulguer préalablement à la CAI la vérification ou la confirmation d'identité faite au moyen de caractéristiques ou de mesures biométriques.
Il serait opportun de sensibiliser tous vos collègues de travail et employés à l’application des nouvelles obligations. Les bonnes pratiques suggèrent d’ailleurs que les entreprises devraient offrir une formation à tout les membres de leur personnel.
Références
- Aide-mémoire de la Commission d’accès à l’information du Québec au sujet de la Loi 25.
- La Commission d’accès à l’information du Québec publie des informations détaillées sur l’application de la loi 25 en entreprise.
Outils
Pour vous aider dans l’exercice de conformité, la Fédération met à la disposition deux modèles indispensables pour se conformer à la loi :
- Modèle de politique de protection des renseignements personnels
- Modèle de procédure de traitement des plaintes relatives à la protection des renseignements personnels.
Autres articles d'intérêt et webinaire
- Loi 25 sur la protection des renseignements personnels - de nouvelles obligations pour les cliniques, Le Médecin du Québec, Septembre 2022
- Loi 25 et renseignements personnels - en cas d’incident de confidentialité, qui doit-on aviser ?, Le Médecin du Québec, Octobre 2022
- Protection des renseignements personnels - de nouvelles responsabilités pour les cliniques médicales, Le Médecin du Québec, Octobre 2022
- Loi 25 – Modernisation de la protection des renseignements personnels. Quelles sont les répercussions sur mon cabinet ?, Webinaire sur Caducée