de nouvelles responsabilités pour les cliniques médicales
C’est le 22 septembre 2022 qu’entraient en vigueur certains des articles de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Si ce n’est déjà fait, les cliniques médicales qui ne s’y sont pas encore conformées doivent le faire sans plus attendre. La FMOQ les invite d’ailleurs à consulter les informations qu’elle a publiées sur son site Internet au sujet de cette loi.
Me Pierre Belzile, avocat, est directeur du Service juridique de la Fédération des médecins omnipraticiens du Québec. |
La « Loi 25 », comme on l’appelle, renforce le dispositif législatif existant au Québec à l’égard de la protection des renseignements personnels. Certaines autres dispositions prendront effet le 22 septembre 2023, soit dans un peu moins d’un an. Une dernière disposition doit, en principe, entrer en vigueur en 2024.
La Loi 25 touche non seulement l’État et ses organismes, mais aussi les entreprises privées. En attendant que le gouvernement présente une nouvelle loi spécifiquement consacrée aux renseignements de santé, retenons que les cliniques médicales sont des entreprises privées et qu’à ce titre, elles sont donc assujetties à la Loi 25.
La Commission d’accès à l’information du Québec, la CAI, est l’organisme chargé de s’assurer de l’application de la loi.
Les nouvelles dispositions de la Loi 25 prévoient que la personne ayant le plus haut degré d’autorité dans une entreprise est d’office responsable de la protection des renseignements personnels détenus par cette dernière. Le plus haut dirigeant peut toutefois déléguer cette fonction à une autre personne au sein de l’entreprise.
Depuis le 22 septembre 2022, chaque clinique devrait donc avoir désigné une personne responsable de la protection des renseignements personnels, soit la plus haute personne de la direction, soit une autre personne à qui la tâche est déléguée. Le nom de cette personne de même que son titre et ses coordonnées doivent en principe être déjà publiés sur le site Internet de la clinique. Si cette dernière ne possède pas de site Internet, elle doit rendre ces informations accessibles par tout autre moyen approprié, comme une affiche dans la salle d’attente ou la réception.
Depuis le 22 septembre 2022, la Loi 25 prévoit notamment qu’une entreprise doit prendre des mesures raisonnables pour diminuer les risques de préjudice et éviter de nouveaux incidents quand elle a des motifs de croire qu’un incident de confidentialité touchant des renseignements personnels qu’elle détient s’est produit.
Elle doit tenir un registre de ces incidents. Si l’incident présente un risque de préjudice sérieux, la clinique médicale doit aviser la Commission d’accès à l’information du Québec et toute personne dont un renseignement personnel est concerné par l’incident.
Normalement, chaque clinique devrait déjà avoir fait un inventaire des renseignements personnels qu’elle détient (y compris ceux de ses employés). Dans le cas contraire, elle devrait y voir.
Elle a également sans doute évalué le degré de sensibilité de ces renseignements. Selon la loi, un renseignement personnel est sensible lorsque sa nature (médicale, biométrique ou autrement intime) ou le contexte de son utilisation ou de sa communication suscitent un haut degré d’attente raisonnable en matière de vie privée.
À partir du 22 septembre 2023, la Loi 25 prévoit notamment que les entreprises visées devront toutes établir et mettre en œuvre des politiques et des pratiques encadrant leur gouvernance à l’égard des renseignements personnels, c’est-à-dire des mesures propres à assurer la sécurité des renseignements.
Pour en savoir plus sur le sujet, vous pouvez consulter le site Internet de la Commission d’accès à l’information du Québec qui offre de multiples informations additionnelles au sujet de la Loi 25. Vous pouvez aussi poser vos questions à la FMOQ en écrivant à infomanage@fmoq.org. //