Loi 25 sur la protection des renseignements personnels :
Mesures à adopter

Cette loi est une réforme des règles légales qui encadrent l’accès et la protection des renseignements personnels au Québec, afin de les renforcer. Elle introduit pour toutes les entreprises au Québec, dont les cliniques médicales, de nouvelles obligations.

Ces obligations doivent être considérées tant à l’égard des patients que des personnes qui travaillent dans la clinique.

Cette loi est évolutive. Ses règlements n’ont pas encore été dévoilés par le gouvernement. Des éléments de précision restent donc à être éventuellement connus. L’Assemblée nationale a également adopté une nouvelle loi en avril 2023. Celle-ci visant spécifiquement la protection des renseignements de santé. Il y aura donc un mariage à faire entre cette nouvelle loi et la Loi 25.

Politique sur la protection des renseignements personnels

Les cliniques médicales doivent, en termes simples et clairs, établir des politiques encadrant la gouvernance des renseignements personnels.

Depuis le 22 septembre 2023, chaque clinique médicale doit se doter d’une politique sur la protection des renseignements personnels. Cette politique doit être disponible sur le site Internet de la clinique où l’on y accède à partir d’un lien sur la page d’accueil (ex. : au bas de la page d’accueil « politique de protection des renseignements personnels »). Dans votre politique, vous pourriez créer un autre lien menant à la procédure de traitement des plaintes.

À défaut d’avoir un site Internet, la loi dit, qu’il faut faire connaître votre politique et votre procédure par tout autre moyen approprié. Ce qui n’est pas défini. La réception de la clinique et la salle d’attente pourraient servir de moyens alternatifs en y laissant des exemplaires papier.

Chaque clinique médicale doit :

  • nommer une personne responsable de la protection des renseignements personnels ;
  • établir les rôles et les responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels (notamment en ce qui concerne les droits d’accès) ;
  • établir un processus de traitement des plaintes relativement à la protection des renseignements personnels ;
  • mettre en place des moyens de conservation et de destruction sécuritaires des renseignements personnels ;
  • prévoir des règles permettant d’encadrer la conservation et la destruction des renseignements personnels ;
  • mettre en place une politique et un processus d’évaluation des facteurs relatifs à la vie privée pouvant être utilisée lors de tout projet d’acquisition, de développement, de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels ou avant la communication de renseignements personnels hors Québec. Pensons à l’acquisition d’un nouveau DMÉ par exemple. 

Rappel

Désigner une personne responsable de la protection des renseignements personnels. Il n’est pas nécessaire que cette personne soit un médecin. La fonction peut donc être déléguée à toute personne par le plus haut dirigeant de la clinique. Le nom de la personne désignée doit être publié, tout comme son titre et ses coordonnées, sur le site Internet de l’entreprise. Si une clinique n’a pas de site Internet, nous suggérons d’afficher l’information à l’intérieur de la clinique.

La communication de renseignements personnels à des tiers à des fins commerciales, sans le consentement des personnes concernées, devra respecter des conditions contractuelles écrites. Lorsque les renseignements que l’on veut communiquer sans le consentement des personnes concernées le sont à des fins de recherche, d’étude ou de productions statistiques, il faudra procéder à une évaluation des facteurs de risques liées à la vie privée. Des informations à ce sujet sont disponibles auprès de la CAI.

Divulguer préalablement à la CAI la vérification ou la confirmation d'identité faite au moyen de caractéristiques ou de mesures biométriques.
Il serait opportun de sensibiliser tous vos collègues de travail et employés à l’application des nouvelles obligations. Les bonnes pratiques suggèrent d’ailleurs que les entreprises devraient offrir une formation à tout les membres de leur personnel.

Références

Outils

Pour vous aider dans l’exercice de conformité, la Fédération met à la disposition deux modèles indispensables pour se conformer à la loi : 

Autres articles d'intérêt et webinaire