La « Loi 25 », comme on l’appelle, renforce au Québec le dispositif législatif déjà existant à l’égard de la protection des renseignements personnels. Davantage de dispositions entreront en vigueur le 22 septembre 2023, soit un an plus tard. Une dernière disposition doit, en principe, entrer en vigueur en 2024.
La Loi 25 touche non seulement l’État et ses organismes, mais aussi les entreprises privées.
Les cliniques médicales sont des entreprises privées et elles sont assujetties à la loi. Afin d’aider leurs membres qui exploitent des cliniques médicales à se préparer en conséquence, la FMOQ, conjointement avec la FMSQ, préparera un webinaire sur ces nouveautés. Il sera présenté au mois de septembre prochain. En attendant, voici quelques informations de base.
Quoi faire d’ici le 22 septembre 2022 ?
Les nouvelles dispositions introduites par la Loi 25 prévoient que la personne ayant le plus haut degré d’autorité au sein d’une entreprise est d’office la personne responsable de la protection des renseignements personnels détenus par celle-ci. La fonction de personne responsable peut toutefois être déléguée par le plus haut dirigeant à une autre personne au sein de l’entreprise.
La première chose à faire d’ici le 22 septembre 2022 au sein de clinique médicale est donc de désigner une personne responsable de la protection des renseignements personnels. Cette personne peut être le plus haut dirigeant ou la plus haute dirigeante, mais elle peut aussi être une autre personne à qui la tâche est déléguée.
Une fois connu, le nom de la personne responsable de la protection des renseignements personnels, de même que son titre et ses coordonnées, devront être publiés sur le site Internet de la clinique.
La deuxième chose à faire à partir du 22 septembre 2022, au sein de chaque clinique, est donc de publier sur le site Internet de cette dernière le nom de la personne responsable de la protection des renseignements personnels, de même que son titre et ses coordonnées. Si la clinique ne possède pas de site Internet, la loi prévoit de rendre ces informations accessibles par tout autre moyen approprié. On pourrait penser à une affiche dans la salle d’attente ou à la réception.
La Loi 25 prévoit qu’à partir du 22 septembre 2022, une entreprise qui a des motifs de croire qu’un incident de confidentialité impliquant un renseignement personnel qu’elle détient s’est produit, devra prendre des mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents se produisent. Elle devra tenir un registre de ces incidents. Dans le cas où un tel incident présenterait un risque de préjudice sérieux, la clinique médicale devra aviser la Commission d’accès à l’information du Québec. Elle devra aussi aviser toute personne dont un renseignement personnel est concerné par l’incident.
La troisième chose à faire est donc de retenir qu’à partir du 22 septembre 2022, les incidents de confidentialité devront être mieux encadrés, être inscrits dans un registre et, dans certains cas, être dénoncés à la Commission d’accès à l’information du Québec.
Quoi d’autre d’important à savoir pour l’instant ?
De nouvelles obligations entreront en vigueur le 22 septembre 2023, soit un an après les principales que nous venons de voir. La Loi 25 prévoit notamment que les entreprises visées devront toutes établir et mettre en œuvre des politiques et des pratiques encadrant leur gouvernance à l’égard des renseignements personnels. C’est-à-dire des mesures propres à assurer la sécurité des renseignements. C’est donc à suivre.
La Commission d’accès à l’information du Québec (CAI) offre de multiples informations au sujet de la Loi 25.
N'hésitez pas à nous écrire à infomanage@fmoq.org pour toute information additionnelle.