Bulletin

Projets de règlement sur la gouvernance des renseignements de santé: ce que vous devez savoir

Temps de lecture 10 minutes
S'inscrire
Partager

Aperçu

Bulletin vie privée et cybersécurité

Le 6 mars 2024, le gouvernement du Québec a publié un règlement appelé le Règlement sur la gouvernance des renseignements de santé et de services sociaux(PDF) (le « projet 2 »). Ce projet est le deuxième à être présenté en vertu de la Loi sur les renseignements de santé (la « LRSSS »), le premier étant le Règlement d’application de certaines dispositions de la Loi sur les renseignements de santé et de services sociaux(PDF) (le « projet 1 »). Pour lire notre bulletin sur ce projet de règlement, veuillez cliquer ici.

Voici les éléments clés à retenir.

Responsabilité des organismes

Le projet 2 énonce les responsabilités qu’ont les organismes à l’égard de la formation de leurs employés. Ceux-ci, incluant étudiants et stagiaires, doivent recevoir une formation reconnue en matière de protection des renseignements de santé dès leur entrée en fonction ou le début de l’exercice de leur profession au sein de l’organisme[1].

Cette formation initiale s’accompagne d’une mise à jour annuelle des connaissances du personnel, qui doit porter notamment sur :

  • Les rôles et les responsabilités des employés à l’égard des renseignements que l’organisme détient;
  • Les règles et les modalités de conservation, de destruction et d’anonymisation des renseignements;
  • Les mesures de sécurité propres à assurer la protection des renseignements que l’organisme a mises en place, notamment celles visant à minimiser les risques d’incident de confidentialité;
  • Le processus de traitement des incidents de confidentialité;
  • L’utilisation sécuritaire des produits ou services technologiques de l’organisme[2].

Outre former leur personnel, les organismes ont la responsabilité d’effectuer au moins une fois par année :

  • Une analyse de la pertinence des catégories de personnes identifiées à la politique de gouvernance des renseignements adoptée par l’organisme en vertu de l’article 105 de la LRSSS et, le cas échéant, réviser ces catégories;
  • Une évaluation de la conformité des mécanismes de journalisation et l’efficacité des mesures de sécurité mises en place pour assurer la protection des renseignements que l’organisme détient et, le cas échéant, revoir ces mécanismes et ces mesures[3].

Les organismes doivent d’ailleurs analyser une fois par mois les accès aux renseignements qu’ils détiennent et toutes autres utilisations et communications de ces renseignements. Cette analyse a pour but de détecter les situations qui ne sont pas conformes aux normes applicables et prendre les mesures appropriées le cas échéant. Un organisme visé à l’annexe II de la LRSSS n’est tenu d’effectuer cette analyse qu’une fois par an[4]. Selon nous, il est curieux que le législateur ait prévu des règles différentes selon l’annexe à laquelle appartient l’organisme. De plus, nous estimons qu’il pourrait y avoir des enjeux opérationnels liés aux examens mensuels obligatoires dans la mesure où cela pourrait être très lourd à mettre en place.

Le projet 2 requiert de plus que les organismes autres que ceux visés à l’annexe II de la LRSSS mettent en place un comité sur la gouvernance des renseignements. Cette exigence s’aligne avec la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, qui prévoit qu’un comité sur l’accès à l’information est chargé de la conformité à cette loi au sein des organismes publics[5]. De la même manière, le comité sur la gouvernance des renseignements a pour fonction de soutenir la personne ayant la plus haute autorité au sein de l’organisme dans l’exercice de ses responsabilités prévues par la LRSSS[6].

Le projet 2 exige des organismes qu’ils désignent à l’interne une personne responsable de la communication avec les personnes ayant formulé un avis de restriction. Cette personne responsable doit informer adéquatement les personnes faisant la demande d’exercice du droit à la restriction, en termes simples et clairs, des conséquences potentielles et des risques associés à l’exercice du droit de restriction[7]. Rien de similaire n’est prévu quant au droit de refus.

Conservation et destruction des renseignements

Le projet 2 exige des organismes qu’ils établissent un nombre de mesures de conservation et de destruction des renseignements. Tout d’abord, les dossiers contenant des renseignements doivent être tenus de façon à en assurer l’intégrité[8]. Les organismes doivent ensuite voir à ce que les renseignements qu’ils détiennent demeurent utilisables malgré tout incident affectant leur support[9]. Cela concerne notamment les consentements reçus par les organismes. Que le consentement soit verbal ou écrit, l’organisme qui le reçoit doit, au sens du projet 2, en conserver une preuve[10].

Les renseignements doivent être conservés d’une manière qui assure en tout temps leur protection, notamment grâce à des moyens physiques tels que le contrôle de l’accès aux lieux où sont conservés les renseignements[11]. Les organismes doivent faire en sorte que les renseignements faisant l’objet d’une restriction ou d’un refus à l’accès soient conservés d’une manière à respecter cette restriction ou ce refus[12].

La destruction des renseignements est aussi encadrée par le projet 2. Toute destruction doit se faire d’une manière sécuritaire et adaptée à la sensibilité et au support du renseignement, dans le respect des meilleures pratiques généralement reconnues. La destruction doit être irréversible et empêcher la reconstitution du renseignement[13]. Nous constatons que le législateur ne définit pas le concept applicable d’irréversibilité. De plus, rien n’indique comment un organisme peut valablement empêcher la reconstitution des renseignements, particulièrement en l’absence de règles d’anonymisation applicables à la LRSSS[14]. 

Si un tiers est chargé de la destruction, un contrat écrit avec ce tiers doit être conclu et prévoir, en plus des éléments visés au deuxième alinéa de l’article 77 de la LRSSS :

  • Les procédés à utiliser pour la destruction des renseignements;
  • Le cas échéant, l’obligation pour le tiers de régulièrement rendre compte à l’organisme de la destruction des renseignements;
  • L’obligation pour le tiers qui s’adjoint une personne ou un groupement pour l’exécution du contrat d’en aviser l’organisme et de s’assurer du respect, par cette personne ou ce groupement, des autres obligations prévues au contrat qui incombent au tiers. L’engagement de confidentialité et l’avis de violation prévus à l’article 77 de la LRSSS doivent être transmis par la personne ou le groupement au tiers[15].

Le projet 2 exige enfin que les organismes conservent une preuve de toute destruction de renseignements[16].

Produits et services technologiques

Les organismes doivent prendre les mesures nécessaires pour éviter ou mitiger les impacts possibles des produits et services technologiques sur leurs activités[17]. Le projet 2 prévoit les mesures de mitigation suivantes :

  • La tenue d’un calendrier des dates connues ou appréhendées de la cessation d’un service technologique que ces organismes utilisent pour analyser la pertinence de maintenir ou de remplacer ou non un tel produit ou un tel service[18].
  • La désignation à l’interne d’un responsable de l’application des normes pertinentes aux produits ou services utilisés par l’organisme, notamment celles définies par le dirigeant réseau de l’information en vertu de l’article 97 de la LRSSS. Le responsable de l’application supervise aussi la mise en place et le maintien des mesures de sécurité propres à assurer la protection des renseignements contenus dans les produits ou services[19].
  • Au moins une fois tous les deux ans, l’évaluation des produits ou services technologiques et leur conformité aux normes applicables. Une telle évaluation doit de plus être faite chaque fois qu’est modifiée une de ces règles[20].

Si vous avez besoin d’aide avec votre programme de conformité en matière de protection des renseignements personnels et de santé, Fasken est là pour vous aider. Pour plus d’informations, veuillez contacter les auteurs de ce bulletin.

[1] Projet 2, art. 1.

[2] Projet 2, art. 2.

[3] Projet 2, art. 6.

[4] Projet 2, art. 7.

[5] Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels à l’art 8.1.

[6]Projet 2, art. 8.

[7] Projet 2, art. 4.

[8] Projet 2, art. 9.

[9] Projet 2,art. 5.

[10] Projet 2, art. 3.

[11] Projet 2, art. 10.

[12] Projet 2, art. 11.

[13] Projet 2, art. 12.

[14] Voir notre bulletin à ce sujet :L’anonymisation des données sous la Loi 25 : décryptage québécois, calquage européen.

[15] Projet 2, art. 13.

[16] Projet 2, art. 14.

[17] Projet 2, art. 15.

[18] Projet 2, art. 15.

[19] Projet 2, art. 16.

[20] Projet 2, art. 17.

Contactez les auteurs

Pour plus d'informations ou pour discuter d'un sujet, veuillez nous contacter.

Contactez les auteurs

Auteurs

  • Julie Uzan-Naulin, Associée, Montréal, QC, +1 514 871 5967, juzan@fasken.com
  • Alexander J. Shapiro, Avocat, Montréal, QC, +1 514 657 2423, ashapiro@fasken.com
Julie Uzan-Naulin | Privacy & Cybersecurity Lawyer in Montréal Julie Uzan-Naulin Associée Montréal, QC +1 514 871 5967
Alexander J. Shapiro Avocat Montréal, QC +1 514 657 2423

Solutions connexes

Domaines de pratique

Marchés

    Vous pourriez être intéressé par...

    • Projets de règlement sur l’application de la Loi sur les renseignements de santé: ce que vous devez savoir, 23/04/2024
    Upwards shot of empty escalator in front of tall modern buildings Bulletin Projets de règlement sur l’application de la Loi sur les renseignements de santé: ce que vous devez savoir Projets de règlement sur l’application de la Loi sur les renseignements de santé: ce que vous devez savoir (Partie 1 de 2) En savoir plus

    Abonnement

    Recevez des mises à jour de notre équipe

    S'inscrire