une main qui tient une guitare

Perspectives

10 décembre 2021

Dépôt du projet de loi n° 19 : vers un nouveau cadre juridique en matière de protection des renseignements de santé au Québec

Le 3 décembre 2021, le gouvernement du Québec a déposé le projet de loi n° 19, Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives (« Projet de loi n° 19 ») qui vise à établir un nouveau cadre juridique en matière de gestion des renseignements de santé et de services sociaux. Le projet de loi n° 19 vient combler un certain vide juridique en la matière considérant que le Québec est la seule province canadienne à ne pas avoir de législation qui concerne spécifiquement le traitement des renseignements de santé.

Plusieurs éléments proposés par le projet de loi n° 19, qui compte plus de 200 articles, semblent être directement inspirés par les nouvelles exigences introduites par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (« Loi 64 »). Nous invitons donc le lecteur à consulter notre Guide de conformité pour la réforme de la Loi sur la protection des renseignements personnels dans le secteur privé pour une analyse détaillée de cette loi. Ce bulletin présente une vue d’ensemble de la réforme introduite par le projet de loi n° 19 et discute de ses principales conséquences pour les entreprises. 

Table des matières

  1. Champ d’application
  2. Responsabilité et gouvernance
  3. Produits et services technologiques
  4. Consentement et transparence
  5. Recherche
  6. Accès, rectification et conservation
  7. Incidents de confidentialité
  8. Sanctions et application de la loi
  9. Entrée en vigueur

1. Champ d’application

En plus d’apporter des modifications à une vingtaine de lois québécoises, le projet de loi n° 19 propose d’abroger la Loi concernant le partage de certains renseignements de santé et de la remplacer par la nouvelle Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives (« LRSSS »).

Ainsi, la LRSSS s’applique aux renseignements de santé et de services sociaux (« renseignements de santé ») détenus par un organisme du secteur de la santé et des services sociaux (« organisme de santé »). Est considéré comme un renseignement de santé tout renseignement qui concerne une personne, qu’il permette ou non de l’identifier, et qui répond à l’une des caractéristiques suivantes :

  • il concerne l’état de santé physique ou mentale de cette personne et ses facteurs déterminants, y compris ses antécédents médicaux ou familiaux;
  • il concerne tout matériel prélevé dans le cadre d’une évaluation ou d’un traitement, incluant le matériel biologique, ainsi que tout implant, orthèse, prothèse ou autre aide suppléant à une incapacité de cette personne;
  • il concerne les services de santé ou les services sociaux offerts à cette personne, notamment la nature de ces services, leurs résultats, les lieux où ils ont été offerts et l’identité des personnes ou des organismes qui les ont offerts;
  • il a été obtenu dans l’exercice d’une fonction prévue par la Loi sur la santé publique; ou
  • toute autre caractéristique déterminée par règlement du gouvernement (art. 2 al. 11).

Les renseignements qui concernent un membre du personnel de l’organisme ou un professionnel qui y exerce sa profession, y compris un étudiant, un stagiaire, un mandataire ou un prestataire de services sont toutefois exclus lorsqu’ils ont été recueillis à des fins de gestion des ressources humaines (art. 2 al. 2).

Force est de constater que la notion de « renseignement de santé » au sens de la LRSSS est plus englobante que la notion de renseignement personnel puisqu’elle n’exige pas que le renseignement permette d’identifier une personne physique.

Ceci étant dit, le projet de loi n° 19 précise qu’un renseignement identificateur, comme le nom, la date de naissance, les coordonnées, le numéro d’assurance maladie d’une personne ou tout autre renseignement de même nature, doit être considéré comme un renseignement de santé lorsqu’il est accolé à un renseignement de santé qui se qualifie en vertu de l’une des cinq caractéristiques susmentionnées ou lorsqu’il est recueilli en vue de l’enregistrement, de l’inscription ou de l’admission de la personne concernée dans un établissement de santé et de services sociaux (art. 2 al. 3). En d’autres termes, un renseignement personnel sera considéré comme un renseignement de santé au sens de la LRSSS lorsqu’il est mis côte à côte avec un autre renseignement de santé au sujet de la personne concernée (ex. nom + diagnostic). D’ailleurs, le projet de loi n° 19 amende la Loi sur la protection des renseignements personnels dans le secteur privé (« LPRPSP ») et la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (« Loi sur l’accès ») afin d’exclure les renseignements de santé au sens de la LRSSS de leur champ d’application respectif (art. 123 et 174).

Ensuite, le projet de loi n° 19 prévoit que les organismes de santé assujettis à la LRSSS sont les suivants:

  • le ministère de la Santé et des Services sociaux;
  • un établissement de santé et de services sociaux au sens de la Loi sur les services de santé et les services sociaux;
  • une personne, une société ou un organisme qui œuvre dans le secteur de la santé et des services sociaux visé à l’annexe I ou à l’annexe II;
  • toute personne, toute société ou tout organisme qui conclut une entente avec un organisme de santé visant la prestation de services de santé ou de services sociaux pour le compte de cet organisme (« prestataire de services de santé »). Le prestataire de services de santé ne sera toutefois assujetti à la LRSSS que pour les activités liées à sa prestation de services de santé pour le compte d’un organisme de santé; et
  • toute autre personne, toute autre société ou tout autre organisme déterminé par règlement (art. 4).

Le champ d’application de la LRSSS est considérablement plus large que celui de la Loi sur les services de santé et les services sociaux (« LSSSS »). En effet, l’annexe II du projet de loi n° 19 prévoit qu’une personne ou une société qui exploite un cabinet privé de professionnel ou un centre médical spécialisé est visée par la LRSSS alors qu’elle n’est pas considérée comme un « établissement » au sens de la LSSSS (voir l’article 95 de la LSSSS). L’annexe II prévoit entre autres qu’un laboratoire, un centre de procréation assistée, une maison de soins palliatifs et une résidence privée pour aînés sont des organismes de santé.

2. Responsabilité et gouvernance

La LRSSS prévoit que les organismes de santé doivent respecter les règles encadrant la gouvernance des renseignements de santé définies par le ministère de la Santé et des Services sociaux (« MSSS ») (art. 40). Ces règles décriront les obligations des organismes concernant notamment la journalisation des accès aux renseignements de santé, la minimisation des risques d’incident de confidentialité et les modalités de conservation et de destruction des renseignements (art. 41). Les organismes de santé devront adopter une politique de gouvernance afin de mettre en œuvre ces règles, qui devra notamment indiquer :

  • les rôles et les responsabilités des membres du personnel de l’organisme et des professionnels à l’égard des renseignements de santé, tout au long de leur cycle de vie;
  • les catégories de personnes qui peuvent utiliser, dans l’exercice de leurs fonctions, les différents renseignements de santé détenus par l’organisme;
  • les mécanismes de journalisation et les mesures de sécurité propres à assurer la protection des renseignements de santé;
  • un calendrier de mise à jour des produits ou des services technologiques que l’organisme utilise;
  • un processus de traitement des incidents de confidentialité;
  • un processus de traitement des plaintes relatives à la protection des renseignements de santé; et
  • une description des activités de formation et de sensibilisation en matière de protection des renseignements de santé offerts aux membres du personnel et aux professionnels (art. 54).

La LRSSS introduit, à l’instar de la Loi 64, le principe de responsabilité en matière de gestion des renseignements de santé. Ainsi, l’article 51 prévoit qu’un organisme de santé est responsable de la protection des renseignements de santé qu’il détient. Cette responsabilité s’accompagne notamment d’une obligation de prendre des mesures de sécurité raisonnables pour assurer la protection des renseignements (art. 51 al. 2) et de veiller à assurer l’exactitude des renseignements (art. 51 al. 3).

Un autre emprunt de la LRSSS à la Loi 64 est la désignation, par défaut, de la personne ayant la plus haute autorité au sein d’un organisme de santé à titre de « responsable de la protection des renseignements de santé ». Cette fonction peut toutefois être déléguée, en tout ou en partie, à un membre du personnel de l’organisme, à un professionnel qui y exerce sa profession ou à un membre de son conseil d’administration. L’organisme de santé doit publier le titre et les coordonnées du responsable de la protection des renseignements de santé sur son site Internet (art. 52). Contrairement à la Loi 64, la LRSSS n’autorise pas la délégation de la fonction de responsable de la protection des renseignements de santé à l’externe.

La LRSSS prévoit qu’un organisme de santé doit journaliser l’ensemble des accès aux renseignements de santé qu’il détient de même que l’ensemble des utilisations de ces renseignements par tout membre de son personnel et tout professionnel qui y exerce sa profession. Cette journalisation doit permettre de savoir à quel renseignement on a accédé ou quel renseignement a été utilisé, qui l’a fait ainsi que la date et l’heure de cet accès ou de cette utilisation (art. 53).

La LRSSS reprend une autre mesure phare de la Loi 64, soit l’obligation de procéder à une évaluation des facteurs relatifs à la vie privée (« EFVP »). Celle-ci devra être effectuée préalablement à tout projet d’acquisition, de développement et de refonte de produits ou de services technologiques ou de prestation électronique de services, lorsque ce projet implique la collecte, l’utilisation, la conservation ou la destruction de renseignements de santé ou l’accès à de tels renseignements. Cette évaluation doit être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition, à leur support et à leur format. En outre, l’EFVP doit permettre à ce qu’un renseignement informatisé recueilli auprès de la personne concernée puisse lui être communiqué « dans un format technologique structuré et couramment utilisé » (art. 55).

3. Produits et services technologiques

La LRSSS prévoit que le gouvernement peut, par règlement, déterminer les cas et les circonstances dans lesquels seul un produit ou un service technologique certifié peut être utilisé par un organisme du secteur de la santé. Une telle certification est assurée par le ministre de la Santé et des Services sociaux ou par toute personne, toute société ou tout organisme à qui il en confie la responsabilité (art. 43). La liste des produits et des services technologiques certifiés sera publiée sur le site Internet du MSSS (art. 46). Ainsi, un organisme de santé ne pourra acquérir ou utiliser un produit ou un service technologique non certifié lorsqu’un règlement du gouvernement exige l’obtention d’un produit ou d’un service certifié (art. 44).

En outre, un organisme de santé devra inscrire dans un registre tout produit ou tout service technologique qu’il utilise (art. 56). Un « produit ou service technologique » s’entend d’un équipement, d’une application ou d’un service requis afin de recueillir ou de conserver un renseignement ou d’y accéder, tels une banque ou un système d’information, un réseau de télécommunication, une infrastructure technologique, un logiciel ou une composante informatique d’un équipement médical (art. 3 al. 4).

4. Consentement et transparence

La LRSSS prévoit que les renseignements de santé sont confidentiels et, sous réserve du consentement des personnes concernées, ils ne peuvent être utilisés et il ne peut y être donné accès que dans la mesure prévue par la loi (art. 5). En ce qui concerne la forme du consentement à l’accès ou à l’utilisation d’un renseignement de santé, la LRSSS prévoit les mêmes critères que ceux introduits par la Loi 64, à savoir que le consentement doit être manifeste, libre, éclairé et donné à des fins spécifiques, il doit être demandé à chacune de ces fins, et ce, en termes simples et clairs (art. 6 al. 1). La LRSSS habilite le gouvernement à déterminer par règlement les modalités selon lesquelles une personne peut manifester un consentement (art. 6 al. 6). 

La LRSSS ne requiert pas le consentement des personnes concernées pour la collecte de leurs renseignements de santé, mais elle prévoit qu’un organisme de santé ne peut recueillir que les renseignements de santé nécessaires à la réalisation de sa mission ou de son objet, à l’exercice de ses fonctions ou de ses activités ou à la mise en œuvre d’un programme dont il a la gestion (art. 10). Ce critère s’apparente à celui formulé à l’article 64 de la Loi sur l’accès qui prévoit qu’un organisme public ne peut recueillir un renseignement personnel si cela n’est pas nécessaire à l’exercice de ses attributions ou à la mise en œuvre d’un programme dont il a la gestion.

La LRSSS prévoit une obligation d’information préalable à la collecte des renseignements qui est similaire à ce que prévoit la Loi 64. Ainsi, un organisme de santé doit, lors de la collecte des renseignements de santé et par la suite sur demande, informer la personne concernée, dans un langage simple et clair :

  • du nom de l’organisme qui recueille ce renseignement ou pour qui il est recueilli;
  • des fins auxquelles ce renseignement est recueilli;
  • des moyens par lesquels ce renseignement est recueilli;
  • de son droit d’accéder à ce renseignement et de le rectifier; et
  • de la durée de conservation de ce renseignement (art. 11).

Dans le secteur privé, cette obligation de transparence se matérialise généralement dans une politique de confidentialité. Ainsi, les organismes de santé pourraient considérer se doter d'une politique destinée à l’externe qui précise aux personnes concernées les différentes modalités du traitement de leurs renseignements de santé.

La LRSSS prévoit des exceptions permettant l’utilisation d’un renseignement de santé au sein d’un organisme de santé à d’autres fins que celles auxquelles il a été recueilli, soit lorsque l’utilisation est :

  • à des fins compatibles avec celles auxquelles il a été recueilli;
  • manifestement au bénéfice de la personne concernée;
  • nécessaire à l’application d’une loi au Québec; ou
  • nécessaire à l’exercice de fonctions relatives à l’organisation et à l’évaluation des services de santé et des services sociaux, et ce, dans une perspective de saine gestion (art. 12).

Il importe de préciser que l’exception au consentement pour l’utilisation de renseignements de santé lorsque cela est nécessaire à l’exercice des fonctions relatives à l’organisation et à l’évaluation des services de santé ne peut être invoquée que par le MSSS, un établissement de santé et de services sociaux ou un organisme de santé visé à l’annexe I2.

La LRSSS autorise un organisme de santé à permettre à une personne, à une société ou à un organisme d’accéder à un renseignement de santé qu’il détient, dans la mesure où ce renseignement est nécessaire à l’application d’une loi au Québec et lorsqu’une communication y est expressément prévue (art. 34). En outre, les organismes de santé doivent, lorsqu’il est possible d’utiliser ou de donner accès à un renseignement de santé sous une forme ne permettant pas d’identifier directement la personne concernée, privilégier l’accès ou l’utilisation du renseignement sous cette forme (art. 5 al. 3). Curieusement, la LRSSS n’utilise pas la notion de renseignement dépersonnalisé bien que celle-ci se retrouve à son article 116 au chapitre des dispositions pénales. Toutefois, le critère formulé à l’article 5 nous semble référer à la dépersonnalisation des renseignements de santé, c’est-à-dire le retrait ou l’altération des identifiants directs.

5. Recherche

Le projet de loi n° 19 a notamment pour objectif de stimuler la recherche en santé en simplifiant le processus d’accès aux données pour les chercheurs. À cet égard, la LRSSS fait une distinction entre un projet de recherche mené à l’interne et celui effectué à l’externe. Ainsi, un chercheur affilié à un établissement de santé et de services sociaux ou à un organisme de santé visé à l’annexe I3, qui souhaite accéder, sans le consentement des personnes concernées, à des renseignements de santé nécessaires à un projet de recherche doit présenter une demande d’autorisation à l’organisme ou à l’établissement auquel il est affilié (art. 31). Un chercheur qui souhaite accéder à des renseignements de santé qui sont détenus par une autre organisation devra présenter sa demande d’autorisation au nouveau centre d’accès pour la recherche institué en vertu l’article 62 de la LRSSS (art. 32).

Dans les deux situations, la demande d’autorisation est assortie de plusieurs formalités, notamment une présentation détaillée des activités de recherche, la réalisation d’une EFVP et l’approbation du projet par un comité d’éthique de la recherche (art. 31 al. 2).

Le projet de loi n° 19 ne définit pas la notion de « chercheur », ce qui laisse penser que celle-ci est susceptible de s’appliquer tant à la recherche menée dans le secteur public que dans le secteur privé. Une entreprise pourrait donc formuler une demande d’autorisation d’accès à des renseignements de santé au centre d’accès pour la recherche. Cet accès sera toutefois régi par une entente, intervenue entre le chercheur et le centre d’accès pour la recherche, qui précisera notamment que les renseignements visés par l’autorisation ne peuvent :

  • être rendus accessibles qu’aux personnes dont l’exercice des fonctions nécessite d’en prendre connaissance et qui ont signé un engagement de confidentialité;
  • être utilisés à d’autres fins que celles du projet de recherche;
  • être appariés avec tout autre renseignement que ceux obtenus pour le projet de recherche; et
  • être diffusés sous une forme permettant d’identifier les personnes concernées (art. 32 al. 3).

Qui plus est, conformément à l’article 5 al. 3 LRSSS, lorsque la réalisation du projet de recherche est possible en n’accédant qu’à des renseignements dépersonnalisés, l’entente devra prévoir que l’accès aux renseignements nécessaires au projet de recherche ne pourra s’effectuer que sous cette forme (art. 32 al. 4 (2)).

Bien que plusieurs questions demeurent en suspens, notamment l’identité de l’organisme public qui agira à titre de centre d’accès pour la recherche ainsi que le délai applicable au traitement des demandes d’autorisation, le nouveau régime introduit par le projet de loi n° 19 en matière d’accès aux renseignements de santé représente une perspective prometteuse pour les entreprises qui effectuent de la recherche en santé.

6. Accès, rectification et conservation

La LRSSS reconnaît le droit des personnes concernées d’avoir accès à leurs renseignements de santé (art. 14), de demander leur correction lorsqu’ils sont inexacts, incomplets ou équivoques ou encore leur suppression lorsqu’ils ont été recueillis ou conservés en contravention à la loi (art. 15). La LRSSS prévoit également certaines règles particulières concernant l’accès aux renseignements de santé par des tiers.

La LRSSS prévoit qu’un règlement du gouvernement peut fixer une période minimale de conservation des renseignements de santé détenus par un organisme de santé. Cette période peut notamment varier selon le type de renseignements ou d’organismes visé (art. 60).

7. Incidents de confidentialité

La LRSSS introduit un régime de signalement des incidents de confidentialité qui est essentiellement similaire à celui introduit par la Loi 64. Ainsi, un organisme de santé devra aviser le ministre de la Santé et des Services sociaux, la Commission d’accès à l’information (« CAI ») et les personnes concernées lorsqu’il a des motifs de croire qu’un incident de confidentialité qui implique un renseignement de santé s’est produit et qu’il présente un risque de préjudice sérieux pour les personnes concernées (art. 57 al. 2).

La LRSSS définit la notion d’incident de confidentialité comme « un accès non autorisé par la loi à un renseignement de santé ou de services sociaux, l’utilisation non autorisée par la loi d’un tel renseignement, la perte d’un tel renseignement ou toute autre atteinte à sa protection » (art. 3 al. 2). Contrairement à la Loi 64, la LRSSS ne prévoit pas explicitement que la communication non autorisée d’un renseignement de santé constitue un incident de confidentialité. Ceci risque toutefois d’être considéré comme « toute autre atteinte à la protection ».

Les facteurs d’évaluation du risque de préjudice sont les mêmes que ceux prévus par la Loi 64, à savoir :

  • la sensibilité du renseignement concerné;
  • les conséquences appréhendées de son utilisation; et
  • la probabilité qu’il soit utilisé à des fins préjudiciables (art. 58).

À l’instar de la Loi 64, la LRSSS oblige l’organisme de santé à inscrire dans un registre tout incident de confidentialité, indépendamment de son niveau de gravité. Une copie de ce registre doit d’ailleurs être transmise sur demande au ministre de la Santé et des Services sociaux ou à la CAI (art. 59).

8. Sanctions et application de la loi

La Commission d’accès à l’information est l’organisme chargé de surveiller l’application de la LRSSS. À ce titre, la CAI peut effectuer des inspections, mener des enquêtes et prononcer des ordonnances (art. 75 à 85).

La LRSSS prévoit deux catégories de sanctions pénales qui se distinguent par leur niveau de gravité et le montant des amendes pouvant être imposées. Les infractions les moins graves sont passibles d’une amende maximale de 10 000 $ dans le cas d’une personne physique et de 30 000 $ dans les autres cas, pour quiconque :

  • recueille, utilise, conserve, détruit ou accède à des renseignements de santé sans y être autorisé;
  • refuse de permettre l’accès à un renseignement de santé ou en entrave l’accès, notamment en détruisant, en modifiant ou en cachant le renseignement ou en retardant indûment sa transmission;
  • entrave l’exercice des fonctions du gestionnaire des autorisations d’accès aux renseignements de santé ou d’un responsable de la protection des renseignements de santé;
  • omet de déclarer, s’il est tenu de le faire, un incident de confidentialité au ministre ou à la CAI; et
  • est en défaut de respecter les conditions prévues à une autorisation d’accès à des renseignements de santé à des fins de recherche (art. 115).

Les infractions les plus graves sont passibles d’une amende maximale de 100 000 $ dans le cas d’une personne physique et de 150 000 $ dans les autres cas, pour quiconque :

  • permet l’accès à un renseignement ne pouvant pas être rendu accessible en vertu de la LRSSS;
  • procède ou tente de procéder sans autorisation à l’identification d’une personne physique à partir de renseignements dépersonnalisés ou anonymisés;
  • procède à l’acquisition ou à l’utilisation d’un produit ou d’un service technologique non certifié en contravention avec un règlement du gouvernement à cet effet;  
  • manque aux obligations prévues aux articles 51 à 61 en matière de responsabilité et de gouvernance à l’égard de la protection des renseignements de santé; 
  • entrave le déroulement d’une enquête ou d’une inspection de la CAI, ou l’instruction d’une demande par celle-ci, en lui communiquant des renseignements faux ou inexacts ou en omettant de lui communiquer des renseignements qu’elle requiert;
  • refuse ou néglige de se conformer, dans le délai fixé, à une demande de production de documents transmise par la CAI; et
  • contrevient à une ordonnance de la CAI (art. 116).

Le délai de prescription applicable à une poursuite pénale intentée en vertu de la LRSSS est fixé à 5 ans à compter de la perpétration de l’infraction (art. 122).

9. Entrée en vigueur

Les dispositions de la LRSSS entreront en vigueur aux dates fixées par un décret du gouvernement (art. 221).

***

Après les organismes publics et les entreprises, c’est désormais au tour des organismes de santé d’être directement visés par une réforme majeure du cadre juridique applicable à la protection des renseignements sous leur responsabilité. Bien que plusieurs aspects du projet de loi n° 19 restent à éclaircir, le nouveau régime proposé par cette réforme vise à offrir un meilleur accès aux données de santé à des fins de recherche ainsi qu’une plus grande sécurité juridique en ce qui concerne le droit applicable aux renseignements de santé au Québec.

Pour toute question sur les récents développements concernant le cadre juridique régissant la protection des renseignements personnels au Québec, veuillez communiquer avec l’un des membres de l’équipe Respect de la vie privée et protection des renseignements personnels de BLG.

1 À moins d’avis contraire, les dispositions mentionnées dans le présent bulletin sont celles du Projet de loi n° 19.

2 C’est-à-dire le Commissaire à la santé et au bien-être, la Commission sur les soins de fin de vie, la Corporation d’urgences-santé, Héma-Québec, l’Institut national d’excellence en santé et en services sociaux, l’Institut national de santé publique du Québec, la Régie de l’assurance maladie du Québec ou un organisme qui assure la coordination des dons d’organes ou de tissus désigné par le ministre.

3 Idem

Principaux contacts