Les nouvelles obligations de 2023
La majorité des obligations liées à la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, appelée communément loi 25, sont entrées en vigueur le 22 septembre. Mais déjà l’an dernier, certaines mesures – la désignation d’un responsable de la protection des renseignements personnels et la déclaration des incidents de confidentialité – avaient commencé à s’appliquer.
« L’objectif de cette la loi est essentiellement la transparence. Elle vise à éviter que les renseignements personnels que détient une entreprise soient gérés de manière opaque, dans une boîte noire, sans que la personne concernée ne soit au courant de ce qui est recueilli sur elle ni pourquoi ou comment cela se fait », explique Me Pierre-Marc Gendron, avocat en droit des affaires spécialisé en protection des renseignements personnels et en cybersécurité chez Langlois Avocats.
Toutes les cliniques et leurs médecins sont concernés. Les renseignements sur les patients circulent souvent sans que l’on s’en rende vraiment compte. « Vous avez probablement des services infonuagiques dans lesquels vous conservez des renseignements personnels de patients. Peut-être gardez-vous aussi dans votre téléphone des photos de lésions que vous envoyez à Apple ou à Google par la synchronisation. Vous utilisez peut-être une application de prise de notes sur votre cellulaire. Vous pouvez recourir à une agence de facturation qui a besoin des numéros d’assurance maladie des patients », donne comme exemples l’expert.
L’une des principales mesures qu’exige la loi 25 est d’établir un politique de gouvernance des renseignements personnels. Pour faciliter la tâche de ses membres, la FMOQ a commandé à la firme d’avocats Langlois un canevas* que les cliniques peuvent remplir et adapter à leur situation (bit.ly/3YXnE3e).
Le cadre préparé par le cabinet d’avocats permet notamment d’indiquer comment la clinique recueille, utilise et conserve les renseignements personnels ainsi qu’à qui elle les communique. Cette politique, qui doit être publiée sur le site Internet du centre médical, permettra d’obtenir un consentement éclairé des patients quand ils signeront le formulaire d’autorisation de la gestion de leurs informations personnelles.
« Un travail en profondeur doit être fait pour analyser les pratiques concernant les renseignements personnels, affirme Me Gendron. Dans un GMF, par exemple, il faut comprendre comment chacun des médecins gère et utilise ces informations. Est-ce que tous ont les mêmes outils technologiques et travaillent de la même manière ? Peut-être que certains prennent des notes sur papier qu’ils dictent ensuite pour les envoyer à un service de transcription externe. Peut-être qu’un médecin utilise une application de transcription automatique sur son téléphone. Il faut tenir compte des pratiques individuelles pour avoir une vue d’ensemble. »
La question des tiers auxquels la clinique communique ses renseignements, comme les fournisseurs de services, doit également être analysée attentivement. « Dès qu’une personne ou un logiciel en dehors de la clinique possède des renseignements personnels pour le compte de cette dernière, il y a communication d’informations. Si le centre médical emploie un système de prise de rendez-vous en ligne, par exemple, il faut l’indiquer dans la politique. Tout comme l’utilisation des services d’une agence de facturation. »
Le recours à ces fournisseurs de services demande certaines précautions. « La clinique demeure responsable des renseignements personnels qu’elle leur envoie. Elle doit donc s’assurer que ces tiers ont des pratiques de protection des renseignements personnels au moins aussi robustes que les siennes », précise l’avocat.
Différents risques sont liés au traitement des renseignements personnels : la transmission de données à la mauvaise personne, les brèches de sécurité, la mauvaise utilisation des informations, etc. Faut-il vraiment tous les nommer dans la politique de protection des renseignements personnels ? « Sur ce point, je resterai près de la définition d’un incident de confidentialité, conseille Me Gendron. C’est-à-dire “(i) l’accès non autorisé par la loi à un renseignement personnel ; (ii) l’utilisation non autorisée par la loi d’un renseignement personnel ; (iii) la communication non autorisée par la loi d’un renseignement personnel ; ou (iv) la perte d’un renseignement personnel ou de toute autre atteinte à la protection d’un tel renseignement”. »
La politique doit également indiquer l’endroit où seront conservés les renseignements personnels. « On doit faire la distinction entre les informations gardées dans les locaux de la clinique et celles qui le sont dans un système infonuagique », explique l’avocat. Dans la majorité des politiques qu’il relit pour différents clients, l’avocat voit comme mention concernant les données : « En lieu sûr, sur les serveurs de l’entreprise ». Il s’agit d’un manque de transparence. « Les responsables font totalement abstraction des services infonuagiques. »
La rédaction de la politique doit être effectuée honnêtement. « On ne gagne pas à cacher des informations. Si on le fait, on aura ensuite de la difficulté à démontrer que l’on a obtenu un consentement libre et éclairé du patient. Une politique transparente nous permet de remplir nos obligations. »
Les risques concernant les renseignements personnels peuvent rapidement évoluer dans une clinique. « Si, par exemple, on songe à utiliser un nouveau logiciel, il faut avoir le réflexe de se demander : “Est-ce que cela crée de nouveaux risques que l’on n’avait pas indiqués ? Doit-on revoir la politique ?” », explique Me Gendron.
Il peut être nécessaire de procéder à une « évaluation des facteurs relatifs à la vie privée » (bit.ly/3PiyJZE). Cette démarche consiste à analyser tous les facteurs qui peuvent avoir des conséquences, positives ou négatives, sur le respect de la vie privée des personnes concernées.
Selon la loi, cette évaluation est maintenant nécessaire :
Pour faire une évaluation rigoureuse des risques, on peut se servir du guide d’accompagnement de la Commission d’accès à l’information du Québec, bien qu’il n’ait pas encore été mis à jour : bit.ly/3YWSWr0. Le rapport qui en découlera pourra éventuellement permettre de procéder, par exemple, à l’utilisation d’un système infonuagique à l’étranger. « La communication pourra s’effectuer si l’évaluation démontre que le renseignement bénéficierait d’une protection adéquate. Elle devra faire l’objet d’une entente écrite respectant certaines modalités », précise la Commission sur son site.
Ainsi, dès le début d’un projet touchant les renseignements personnels, le responsable de la protection des renseignements personnels de la clinique doit être inclus.
La clinique est responsable des données de ses patients, mais aussi de celles de ses employés. Il faut donc en tenir compte lors de la rédaction de la politique de protection des renseignements personnels. « Il y a toute la question du traitement de la paye, des avantages sociaux, des tiers inclus dans le traitement du dossier employé », indique l’expert.
Comme la conception d’une politique, même avec le cadre proposé, peut être complexe, le responsable de la protection des renseignements personnels peut se faire épauler par un consultant spécialisé. Une fois rédigé, le document devrait ensuite être revu au moins annuellement.
« La technologie et les pratiques évoluent. Il faut donc que la protection des renseignements personnels évolue également. Si, par exemple, la clinique acquiert de nouveaux outils, modernise son système informatique ou encore change de fournisseur ou d’approche, elle doit revoir la politique. Le responsable doit s’assurer que la politique reflète réellement les pratiques de la clinique. »
L’exercice doit être pris au sérieux, insiste Me Gendron. « Il faut prendre le temps de réfléchir à la manière dont les renseignements personnels sont gérés. Il est crucial d’avoir une vision globale de tout le processus : comment sont recueillis les renseignements personnels ? Pourquoi ? Où vont ces informations ? Qui y a accès et pourquoi ? Pourquoi les communique-t-on à l’externe ? Où sont-ils conservés ? Si c’est un tiers qui les garde, a-t-on de bonnes garanties de sa part qu’ils sont bien protégés ? » //
Pour plus d’informations : https://bit.ly/3OQUvC4.
* Le modèle de politique proposé inclut également les exigences de la Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives, qui entrera en vigueur ultérieurement.
Il n’est plus possible de recueillir les renseignements personnels d’un mineur de moins de 14 ans sans le consentement de ses parents, sauf lorsque c’est manifestement pour son bien. « À mon avis, cette disposition ne changera pas la situation. Un mineur pourra continuer à voir un médecin sans que ses parents soient présents », estime Me Pierre-Marc Gendron, avocat.
On peut dorénavant communiquer au conjoint ou aux proches parents un renseignement personnel concernant une personne décédée si cette information est susceptible de les aider dans leur processus de deuil.