Le 21 février 2024, le gouvernement du Québec a lancé son projet de Règlement d’application de certaines dispositions de la Loi sur les renseignements de santé et de services sociaux (PDF) (le « projet 1»). Ce projet de règlement a pour objet de clarifier les modalités de certains articles de la nouvelle loi régissant la collecte, l’utilisation et la communication des renseignements de santé et de services sociaux au Québec. Il est à noter que ce projet de règlement a été suivi d’un second projet de Règlement sur la gouvernance des renseignements de santé et de services sociaux (PDF) le 6 mars 2024 (le « projet 2 »). Le projet 2 fera l’objet du prochain bulletin. Voici les éléments clés à retenir.
Ajout d’un nouvel organisme du secteur de la santé et des services sociaux
La Loi sur les renseignements de santé et de services sociaux (la « LRSSS »), dite Loi 5, s’applique, entre autres, aux groupes énumérés aux annexes I et II de cette loi. À l’annexe II on trouve certaines catégories d’organismes qui sont assujettis à la LRSSS. La LRSSS édicte que le gouvernement peut ajouter toute autre personne ou tout autre groupement aux annexes par règlement[1].
Dans le projet 1, est un organisme visé à l’annexe II un établissement d’enseignement de niveau collégial ou universitaire, pour ses activités liées à la prestation de services de santé ou de services sociaux, incluant la prestation de tels services aux étudiants de cet établissement[2]. Il s’agirait notamment de cliniques de santé pour les étudiants sur campus et des écoles menant aux diplômes d’études collégiales (DEC) technique en soins infirmiers.
Ces établissements, déjà soumis aux lois applicables en matière de protection des renseignements personnels, devront, en fonction de leur activité, appliquer deux régimes concurrents.
Consentement
Le projet 1 explique les modalités suivant lesquelles une personne peut manifester son consentement à l’utilisation ou à la communication d’un renseignement la concernant, en vertu de la LRSSS. Le projet 1 précise qu’un consentement peut être donné ou retiré par écrit ou verbalement[3].
Le projet 1 est plus explicite sur les modalités de consentement que la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, par exemple. Bien que cette dernière permette aussi qu’une personne donne son consentement par écrit ou verbalement, les modalités ne sont pas expressément écrites[4]. Il est possible que le législateur ait voulu confirmer qu’un consentement donné par écrit en vertu de la LRSSS peut être retiré verbalement, et inversement.
Modalités d’un avis de restriction et un avis de refus
La LRSSS a notamment introduit un droit de restriction et un droit du refus d’accès aux renseignements de santé pour les personnes concernées[5]. Le projet 1 décrit les éléments que les avis de restriction et de refus aux organismes concernés doivent contenir.
Un avis de restriction doit contenir :
- Le nom et les cordonnées de la personne concernée par les renseignements.
- L’identité de l’intervenant[6] ou la catégorie d’intervenant visé par la restriction.
- Une description des renseignements visés par la restriction.
- La signature de la personne qui formule l’avis[7].
Un avis de refus doit contenir :
- Le nom et les cordonnées de la personne concernée par les renseignements.
- La ou les personnes à qui le refus s’applique parmi celles visées au premier alinéa de l’article 8 de la LRSSS.
- Dans le cas d’un refus applicable aux personnes visées au paragraphe 4 du premier alinéa de cet article (c.-à-d. certains chercheurs), les thématiques de recherche ou les catégories d’activités de recherche visés par le refus.
- La signature de la personne qui formule l’avis[8].
Dans les deux cas, si l’avis concerne un mineur de moins de 14 ans, il doit être formulé par le titulaire de l’autorité parental ou le tuteur, et doit aussi contenir le nom et les cordonnées de cette personne.
Conditions d’accès à un renseignement par un intervenant
La LRSSS permet qu’un intervenant qui n’est pas un professionnel au sens du Code des professions soit informé de l’existence d’un renseignement détenu par un organisme et y avoir accès s’il lui est nécessaire pour offrir à la personne concernée des services de santé ou de services sociaux ou pour fournir des services de soutien technique ou administratif à un autre intervenant offrant ces services[9].
Le projet 1 précise les modalités pour accorder un tel accès. Pour ce faire, la personne ayant la plus haute autorité au sein de l’organisme peut attribuer une telle autorisation – voire la suspendre - à une personne qui remplit les conditions suivantes :
- Il est membre du personnel de l’organisme.
- Il a complété une formation en matière de protection des renseignements personnels fixée par la loi[10].
- Il signe un accord de confidentialité par écrit[11].
Nous tenons à souligner l’absence dans le projet 1 d’une description des modalités d’accès pour les chercheurs, ce qui aurait été utile pour les entreprises pharmaceutiques ainsi que d’autres acteurs dans le secteur privé. Cela pourrait néanmoins faire l’objet d’un futur règlement[12].
Produits et services technologiques
La LRSSS crée l’obligation pour les organismes de tenir un registre des produits et services technologiques dont ils disposent[13]. Le projet 1 précise que les informations suivantes doivent se trouver dans le registre :
- Le type de produit ou service technologique.
- Une brève description du produit ou service technologique et les fins pour lesquelles il est utilisé.
- Le nom du fournisseur du produit ou service technologique.
- Le cas échéant, une indication qu’il s’agit d’un produit ou service technologique certifié par le ministre.
- Le cas échéant, une indication qu’il s’agit d’un produit ou service technologique qui utilise des renseignements afin que soit rendue une décision fondée exclusivement sur un traitement automatisé[14].
Incidents de confidentialité
Le dernier chapitre du projet 1 décrit le contenu obligatoire de l’avis au ministre, à la Commission d’accès à l’information et aux personnes concernées par un incident de confidentialité, ainsi que le contenu du registre des incidents. Le contenu de ses règles est semblable à celles qui se trouvent dans le Règlement sur les incidents de confidentialité[15].
Si vous avez besoin d’aide avec votre programme de conformité en matière de protection des renseignements personnels et de santé, Fasken est là pour vous aider. Pour plus d’informations, veuillez contacter les auteurs de ce bulletin.[1] Loi sur les renseignements de santé et de services sociaux à l’art. 4(1), para 5 (LRSSS).
[2] Projet 1, art. 1.
[3] Projet 1, art. 2; LRSSS, art. 6.
[4] Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, art. 53.1.
[5] LRSSS, arts. 7 et 8.
[6] En vertu de la LRSSS, le terme « intervenant » veut dire une personne physique qui offre des services de santé ou des services sociaux au sein d’un organisme du secteur de la santé et des services sociaux ou qui fournit à une telle personne des services de soutien technique ou administratif. Voir les définitions à l’article 3 de la LRSSS.
[7] Projet 1, art. 3.
[8] Projet 1, art. 5.
[9] LRSSS, art. 39.
[10] La formation en question est visée à l’article 1 du projet de Règlement sur la gouvernance des renseignements de santé et de services sociaux (c’est-à-dire le projet 2).
[11] Projet 1, art. 8.
[12] LRSSS, art. 54.
[13] LRSSS, art. 107.
[14] Projet 1, art. 10.
[15] Voir notre bulletin à ce sujet : Un règlement pour les incidents de confidentialité - les exigences se précisent... et se distinguent!.
