La Loi 5 : un nouveau cadre juridique en matière de protection des renseignements de santé au Québec

Champ d’application

La Loi 5 encadre le traitement des renseignements de santé par les organismes du secteur de la santé et des services sociaux (« organismes de santé »). Cela inclut tout renseignement qui permet d’identifier une personne et qui répond à l’une des caractéristiques suivantes :

• il concerne l’état de santé physique ou mentale, y compris les antécédents médicaux et familiaux, de la personne;
• il concerne tout matériel prélevé sur cette personne dans le cadre d’une évaluation ou d’un traitement, ainsi que tout implant ou toute orthèse, prothèse ou autre aide suppléant à une incapacité de cette personne;
• il concerne les services de santé ou sociaux reçus par cette personne;
• il a été obtenu dans l’exercice d’une fonction prévue par la Loi sur la santé publique;
• il présente toute autre caractéristique déterminée par règlement.

Un renseignement personnel comme un nom, une date de naissance ou un numéro d’assurance maladie sera également considéré comme un renseignement de santé lorsqu’il est accolé à d’autres renseignements de santé, par exemple un rapport d’évaluation médicale, ou lorsqu’il est recueilli pour l’enregistrement ou l’admission de la personne dans un organisme du secteur de la santé et des services sociaux.

La Loi 5 s’applique à la gestion de renseignements de santé par les organismes de santé, lesquels incluent notamment :

• le ministère de la Santé et des Services sociaux;
• la Commissaire à la santé et au bien-être, la Commission sur les soins de fin de vie, la Corporation d’urgences-santé, Héma-Québec, l’Institut national d’excellence en santé et en services sociaux, l’Institut national de santé publique du Québec et la Régie de l’assurance maladie du Québec;
• un établissement de santé et de services sociaux;
• un cabinet privé de professionnel au sens de la Loi sur les services de santé et les services sociaux; 
• un centre médical spécialisé au sens de la Loi sur les services de santé et les services sociaux;
• un centre de procréation assistée au sens de la Loi sur les activités cliniques et de recherche en matière de procréation assistée; 
• un laboratoire au sens de la Loi sur les laboratoires médicaux et sur la conservation des organes et des tissus;
• un exploitant de services ambulanciers au sens de la Loi sur les services préhospitaliers d’urgence;
• une résidence privée pour aînés au sens de la Loi sur les services de santé et les services sociaux;
• une entreprise de services funéraires au sens de la Loi sur les activités funéraires;
• une maison de soins palliatifs au sens de la Loi concernant les soins de fin de vie.

Le fournisseur de services d’un organisme de santé est également considéré comme un organisme de santé au sens de la Loi 5, mais uniquement pour ses activités liées à la prestation de services de santé ou de services sociaux pour le compte de l’organisme.

Responsabilité et gouvernance

La Loi 5 prévoit que la personne ayant la plus haute autorité au sein de l’organisme de santé exerce la fonction de responsable de la protection des renseignements à moins que cette fonction n’ait été déléguée, par écrit, en tout ou en partie. Le nom et les coordonnées de la personne responsable doivent être transmis au ministre de la Santé et des Services sociaux et à la Commission d’accès à l’information.

La Loi 5 oblige les organismes de santé à adopter une politique de gouvernance des renseignements de santé qui doit notamment aborder les rôles et responsabilités des membres du personnel, le contrôle des accès, les mécanismes de journalisation, les mesures de sécurité, le traitement des incidents de confidentialité, le traitement des plaintes et les activités de formation du personnel. Cette politique doit être publiée sur le site Internet de l’organisme.

La Loi 5 impose aussi une obligation de journalisation des utilisations de renseignements par tous les membres du personnel et professionnels exerçant dans l'organisme de santé. Cette journalisation doit faire l'objet d'un rapport annuel au ministre de la Santé et des Services sociaux.

Produits et services technologiques

La Loi 5 prévoit qu’un organisme de santé doit procéder à une évaluation des facteurs relatifs à la vie privée (EFVP) de tout projet d’acquisition, de développement et de refonte de produits ou de services technologiques ou de système de prestation électronique de services qui implique la collecte, la conservation, l’utilisation, la communication ou la destruction de renseignements de santé.

La Loi 5 autorise le ministre de la Santé et des Services sociaux à déterminer par règlement les cas dans lesquels seul un produit ou un service technologique certifié peut être acquis ou utilisé par un organisme de santé. Le cas échéant, les organismes de santé doivent tenir un registre des produits et services technologiques qu’ils utilisent et le rendre public.

La Loi 5 instaure une obligation de protection de la vie privée par défaut similaire à ce que prévoit la Loi 25. Ainsi, un organisme qui recueille des renseignements de santé en offrant à sa clientèle un produit ou un service technologique disposant de paramètres de confidentialité doit s’assurer que, par défaut, ces paramètres assurent le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée.

Consentement, transparence et utilisation

La Loi 5 reconnaît formellement le caractère sensible des renseignements de santé et précise qu’ils ne peuvent être utilisés ou communiqués que dans les limites prévues par la loi ou avec le consentement exprès de la personne concernée.

La Loi 5 stipule qu’un organisme de santé ne peut recueillir que les renseignements nécessaires à sa mission, ses fonctions, ou la mise en œuvre de ses programmes. Lors de la collecte d’un renseignement de santé, l’organisme de santé doit informer les individus :

• du nom de l’organisme qui recueille le renseignement ou pour lequel il est recueilli;
• des fins pour lesquelles le renseignement est recueilli;
• des moyens par lesquels le renseignement est recueilli;
• du droit d’accéder au renseignement et de le rectifier;
• de la possibilité de restreindre ou de refuser l’accès au renseignement, ainsi que les modalités d’exercice de ce droit;
• de la durée de conservation du renseignement.

La Loi 5 reprend en outre la restriction introduite par Loi 25 en ce qui concerne les technologies d’identification, de localisation ou de profilage. Ainsi, un organisme de santé qui recueille des renseignements de santé au moyen d’une technologie comprenant des fonctions permettant d’identifier, de localiser ou d’effectuer le profilage d’un individu doit informer l’individu du recours à cette technologie et des moyens offerts pour activer les fonctions d’identification, de localisation ou de profilage.

Impartition et transfert de renseignements à l’extérieur du Québec

La Loi 5 introduit des règles rigoureuses pour encadrer le transfert de renseignements de santé à un fournisseur de services. Ainsi, la Loi 5 prévoit que l’organisme de santé qui communique des renseignements de santé à un tiers qui lui fournit des services (autres que des services de santé ou de services sociaux) doit conclure une entente qui prévoit :

• les dispositions de la Loi 5 applicable aux renseignements communiqués;
• les mesures de protection que le fournisseur doit prendre pour respecter la confidentialité des renseignements, assurer que ceux-ci ne soient utilisés que dans l’exercice de son mandat et ne soient pas conservés au terme du mandat;
• l’obligation d’obtenir un engagement de confidentialité des personnes ayant accès aux renseignements;
• l’utilisation de produits ou services technologiques autorisés par l’organisme;
• la notification de toute violation ou tentative de violation de l’une des obligations du fournisseur relatives à la confidentialité;
• l’autorisation d’effectuer toute vérification ou enquête relative à la protection des renseignements;
• l’obligation de transmettre à l’organisme tout renseignement obtenu ou produit dans l’exercice du mandat.

En outre, lorsqu’un organisme de santé souhaite transférer des renseignements de santé à l’extérieur du Québec, la Loi 5 exige de procéder d’abord à une EFVP qui tient compte de :

• la sensibilité des renseignements;
• la finalité de leur utilisation;
• les mesures de protection applicables, incluant les clauses contractuelles;
• le régime juridique applicable dans l'État où les renseignements seraient communiqués.

Recherche

La Loi 5 met en place un régime d’accès simplifié aux renseignements de santé pour des fins de recherche, avec des modalités spécifiques selon que le chercheur est lié ou non à un organisme de santé.

• Les chercheurs liés à un organisme de santé doivent présenter leur demande d’autorisation à la personne responsable de la protection des renseignements de santé au sein de cet organisme.
• Les chercheurs non liés doivent soumettre leur demande à Santé Québec, le centre d'accès pour la recherche désigné par le gouvernement.
• Dans les deux cas, la demande d'accès doit inclure une description détaillée du projet de recherche, une EFVP et une décision documentée d’un comité d’éthique.

Droits individuels

La Loi 5 confère aux individus le droit d'accéder à leurs renseignements de santé et de demander leur rectification. Elle introduit aussi le droit de restreindre l’accès à ses renseignements de santé, en désignant un intervenant particulier ou une catégorie d’intervenants, certains membres de sa famille ou des chercheurs.

Conservation, destruction et anonymisation

La Loi 5 prévoit qu’un organisme de santé ne peut conserver un renseignement de santé au-delà de la durée nécessaire à la réalisation des fins pour lesquelles il l’a recueilli ou utilisé, sous réserve de certaines exceptions prévues par la Loi sur les archives ou le Code des professions. La Loi 5 autorise les organismes de santé à anonymiser les renseignements de santé selon les meilleures pratiques généralement reconnues et selon les critères et modalités déterminés par le Règlement sur l’anonymisation des renseignements personnels.

Incidents de confidentialité

La Loi 5 introduit un régime de notification obligatoire des incidents de confidentialité conforme à ce que prévoit la Loi 25. Un organisme de santé qui a des motifs de croire que s’est produit un incident de confidentialité doit prendre les mesures raisonnables pour diminuer les risques de préjudice. L’organisme doit aviser les personnes concernées par l’incident ainsi que la Commission d’accès à l’information lorsque l’incident présente un risque de préjudice sérieux. Cet avis doit contenir les éléments prévus par règlement. Les organismes de santé doivent également consigner chaque incident de confidentialité dans un registre.

Sanctions et application de la loi

La Commission d’accès à l’information est responsable d’assurer l’application de la Loi 5. Contrairement à la Loi 25, la Loi 5 n’introduit pas de régime de sanctions administratives pécuniaires (SAP). Toutefois, la Loi 5 prévoit des sanctions pénales pouvant aller jusqu’à 150 000 $ selon la gravité de l’infraction.

Communiquez avec nous

Pour toute question sur les récents développements concernant la protection des renseignements personnels et des renseignements de santé au Québec, veuillez communiquer avec l’un des membres de l’équipe Respect de la vie privée et protection des renseignements personnels de Borden Ladner Gervais.

L'auteur souhaite remercier Chloé Hugues-Légaré, étudiante en droit, pour sa précieuse contribution à cet article.