Le 1er juillet 2024 marquait l’entrée en vigueur de certaines dispositions de la Loi sur les renseignements de santé et de services sociaux (la « Loi 5 ») et de ses règlements d’application. Cette loi encadre les organismes du secteur de la santé et des services sociaux lorsqu’ils collectent et traitent des renseignements de santé et de services sociaux. Elle a principalement les objectifs suivants :
- Assurer la protection des renseignements de santé et de services sociaux;
- Simplifier la circulation de ces renseignements;
- Établir différentes possibilités d’accès à ces renseignements;
- Prévoir les cas et conditions dans lesquels ces renseignements peuvent être utilisés ou communiqués par les organismes du secteur de la santé et des services sociaux;
- Instituer un modèle de gouvernance fondé sur la transparence ainsi que la responsabilité et l’imputabilité des intervenants et des organismes.
Afin de mieux identifier les dates d’entrée en vigueur des dispositions de la Loi 5, découvrez notre version annotée.
Téléchargez la loi annotée (PDF, 270Ko)Qu’est-ce qu’un « renseignement de santé et de services sociaux »?
Au sens de la Loi 5, un renseignement de santé et de services sociaux désigne notamment toute information permettant d’identifier directement ou indirectement une personne et liée à sa santé physique, mentale, ou à des services de santé.
Cela inclut également les renseignements concernant les services de santé ou sociaux offerts à cette personne, notamment la nature de ces services, leurs résultats, les lieux où ils ont été offerts et l’identité des personnes ou des groupements qui les ont offerts.
En revanche, cette notion exclut les renseignements qui concernent un membre du personnel d’un organisme du secteur de la santé et des services sociaux ou qui concerne un mandataire ou un prestataire de services d’un tel organisme lorsqu’ils sont recueillis à des fins de gestion des ressources humaines.
La Loi 5 s’applique-t-elle à votre organisation?
La mise en place d’un programme de conformité adéquat implique d’identifier les obligations applicables à votre organisation. La Loi 5 crée un cadre juridique exclusif[1] qui s’applique aux organismes du secteur de la santé et des services sociaux dans le cadre de la collecte et du traitement des renseignements de santé et de services sociaux.
Le champ d’application de la Loi 5 ne se limite pas aux organismes publics. En effet, certaines organisations du secteur privé, notamment les cabinets privés de professionnels, sont aussi visées par la Loi 5. Par exemple, les cabinets de médecins ou de dentistes doivent se conformer à la Loi 5, dont les dispositions ne correspondent pas en tout point à celles des autres lois sur la vie privée applicables au Québec, comme la Loi sur la protection des renseignements personnels dans le secteur privé (« Loi sur le privé »)[2] et la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (« Loi sur l’accès »)[3].
Sommaire des conséquences de l’assujettissement de votre organisation à la Loi 5 et distinctions avec le cadre juridique général
Le tableau qui suit offre un portrait sommaire des distinctions entre les principales lois sur la vie privée applicables au Québec.
| Exigences | Loi sur l'accès | Loi sur le privé | Loi 5 |
| Fonction de responsable de la protection des renseignements | X | X | X |
| Comité d’accès à l’information et de protection des renseignements personnels | X | ||
| Adoption de règles de gouvernance des renseignements | X | X | X |
| Publication des règles de gouvernance des renseignements | X | X | |
| Consentement exprès par défaut pour l’utilisation et la communication des renseignements | X | ||
| Utilisation ou communication de renseignements sous une forme dépersonnalisée par défaut, à moins que cela ne soit pas possible | X | ||
| Information quant à la durée de conservation du renseignement au moment de la collecte | X | ||
| Restriction à la collecte de renseignements au moyen de technologies d’identification, de géolocalisation ou de profilage | X | X | X |
| Protection de la vie privée par défaut pour les produits ou services technologiques qui ont des paramètres de confidentialité | X | X | X |
| Exigences spécifiques en matière de prise de décision automatisée | X | X | X |
| Droit à la portabilité des renseignements | X | X | X |
| Droit à l’oubli (désindexation) | X | ||
| Droit de refuser l’accès à ses renseignements | X | ||
| Évaluation des facteurs relatifs à la vie privée des projets de produits ou services technologiques | X | X | X |
| Évaluation des facteurs relatifs à la vie privée des communications de renseignements à l’extérieur du Québec | X | X | X |
| Contenu contractuel obligatoire pour la communication de renseignements à un fournisseur de services | X | X | X |
| Signalement obligatoire des incidents de confidentialité qui présentent un risque de préjudice sérieux | X | X | X |
| Tenue d’un registre des incidents de confidentialité | X | X | X |
| Possibilité d’anonymiser des renseignements à l’échéance de leur durée de conservation | X | X | X |
Fasken est là pour accompagner votre organisation dans la mise en place de son programme de conformité en matière de protection des renseignements personnels et de santé. Pour plus d’informations, nous vous invitons à contacter les auteurs de ce bulletin.
