Du neuf et du familier : modifications en matière de renseignements de santé - Partie 1

1. Une lacune comblée : la définition des renseignements de santé

   Le PL 3 définit les renseignements de santé d’une façon assez précise^[4]. Il s’agit de tout renseignement qui permet, même indirectement, d’identifier une personne et qui répond à l’une des caractéristiques suivantes :

   • il concerne l’état de santé physique ou mentale de cette personne et ses facteurs déterminants, y compris les antécédents médicaux ou familiaux de la personne;
   • il concerne tout matériel prélevé sur cette personne dans le cadre d’une évaluation ou d’un traitement, incluant le matériel biologique, ainsi que tout implant ou toute orthèse, prothèse ou autre aide suppléant à une incapacité de cette personne;
   • il concerne les services de santé ou les services sociaux offerts à cette personne, notamment la nature de ces services, leurs résultats, les lieux où ils ont été offerts et l’identité des personnes ou des groupements qui les ont offerts;
   • il a été obtenu dans l’exercice d’une fonction prévue par la Loi sur la santé publique ; ou
   • il présente toute autre caractéristique déterminée par règlement du gouvernement.

   Étant précisé qu’un renseignement « [...] qui concerne un membre du personnel d’un organisme du secteur de la santé et des services sociaux ou un professionnel qui y exerce sa profession, y compris un étudiant ou un stagiaire, ou qui concerne un mandataire ou un prestataire de services d’un tel organisme n’est pas un renseignement de santé et de services sociaux lorsqu’il est recueilli à des fins de gestion des ressources humaines [...] ».^[5]

   Une telle définition n’existe pas actuellement, et son ajout nous rapprochera du Règlement européen général sur la protection des données, voire même est plus large dès lors qu’il ajoute : « De plus, un renseignement permettant l’identification d’une personne tels son nom, sa date de naissance, ses coordonnées ou son numéro d’assurance maladie est un renseignement de santé et de services sociaux lorsqu’il est accolé à un renseignement visé au premier alinéa ou qu’il est recueilli en vue de l’enregistrement, de l’inscription ou de l’admission de la personne concernée dans un établissement ou de sa prise en charge par un autre organisme du secteur de la santé et des services sociaux ». 

   Notons également que le PL 3 s’applique aux organismes du secteur de la santé et des services sociaux qui détiennent des renseignements de santé^[6]. Il est intéressant de noter que cette définition est large et ne se limite pas aux établissements qui prodiguent directement des soins mais vise également^[7] :

   • le ministère de la Santé et des Services sociaux;
   • une personne ou un groupement visé à l’annexe I ou à l’annexe II du PL 3;
   • un établissement, la Régie régionale de la santé et des services sociaux du Nunavik et le Conseil cri de la santé et des services sociaux de la Baie-James;
   • une personne ou un groupement non visé au présent article et qui conclut avec un organisme du secteur de la santé et des services sociaux une entente visant la prestation de services de santé ou de services sociaux pour le compte de cet organisme;
   • toute autre personne ou tout autre groupement déterminé par règlement du gouvernement;
   • une personne ou un groupement dont les activités sont liées à la prestation de services de santé ou de services sociaux pour le compte d’un organisme du secteur de la santé et des services sociaux visé ci-dessus.

   Est également assimilé à un organisme du secteur de la santé et des services sociaux un intervenant qui offre des services de santé ou des services sociaux au sein d’un tel organisme autre qu’un établissement et dont les dossiers ne sont pas tenus par cet organisme.

2. Les règles de gouvernance, copier-coller de la Loi 25

Les règles de gouvernance du PL 3 sont un copier-coller de la Loi 25 et imposent un certain nombre d’obligations sur les organismes soumis au PL 3. C’est ainsi que :

• Tout organisme, responsable de la protection des renseignements qu’il détient, doit prendre les mesures de sécurité propres à assurer la protection de ces renseignements et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support^[8].
• la personne ayant la plus haute autorité au sein d’un organisme exerce la fonction de responsable de la protection des renseignements, sa fonction pouvant être déléguée^[9]. Son titre et ses coordonnées sont transmis au ministre et à la Commission d’accès à l’information (« CAI ») et publiés sur le site Internet de l’organisme^[10].
• S’il utilise un produit ou service technologique disposant de paramètres de confidentialité, l’organisme doit s’assurer que, par défaut, ces paramètres assurent le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée^[11].
• En cas de projet d’acquisition, de développement et de refonte de produits ou services technologiques ou de système de prestation électronique de services, l’organisme devra mener une évaluation des facteurs relatifs à la vie privée (« EFVP »)^[12].
• En cas d’incident de confidentialité présentant un risque de préjudice sérieux, l’organisme devra le notifier à la CAI et à la personne concernée^[13]. A noter que l’incident de confidentialité est défini comme étant « une utilisation ou une communication non autorisée par la loi d’un renseignement, la perte d’un renseignement ou toute autre atteinte à sa protection^[14].

En outre, l’organisme devra adopter une politique de gouvernance des renseignements qu’il détient prévoyant notamment^[15] :

• les rôles et les responsabilités de ses membres du personnel et des professionnels qui y exercent leur profession, y compris les étudiants et les stagiaires, à l’égard de ces renseignements;
• les catégories de personnes qui peuvent utiliser ces renseignements dans l’exercice de leurs fonctions. Il peut par exemple s’agir d’un chercheur ou d’un intervenant qui pourrait utiliser le renseignement de santé(i) lorsqu’il est nécessaire aux fins pour lesquelles il a été recueilli; (ii) lorsque son utilisation l’est à des fins compatibles avec celles pour lesquelles il a été recueilli, c’est-à-dire avoir un lien pertinent et direct, ou (iii) lorsque l’utilisation est nécessaire à l’application d’une loi au Québec^[16];
• les mécanismes de journalisation et les mesures de sécurité propres à assurer la protection de ces renseignements qu’il met en place;
• les conditions et les modalités suivant lesquelles des renseignements peuvent être communiqués;
• un calendrier de mise à jour des produits ou services technologiques qu’il utilise;
• un processus de traitement des incidents de confidentialité;
• un processus de traitement des plaintes relatives à la protection de ces renseignements;
• une description des activités de formation et de sensibilisation en matière de protection de ces renseignements.

Enfin, au terme de sa durée de conservation, l’organisme qui détient un renseignement doit le détruire ou l’anonymiser^[17].

Dans ce contexte, des sanctions pouvant aller jusqu’à 150 000 dollars sont prévues pour les personnes morales, ces montants pouvant être doublés puis triplés en cas de récidive^[18].

Aussi, le PL 3 entend mettre en place un régime précis pour les renseignements liés à la santé, qui ne seraient plus soumis aux lois actuelles. Un autre bulletin viendra expliquer les droits des personnes concernées et les règles applicables en matière de recherche. En cas de questions, Fasken est là pour vous renseigner, assister et est en mesure de vous assister afin d’appliquer la bonne loi dans les bonnes circonstances et trouver des solutions pratiques pour respecter les nouvelles obligations issues du PL 3.