Les lois québécoises sur la protection des renseignements personnels ont beaucoup évolué au cours des dernières années. Le point culminant ayant été l’adoption de la loi 25 (anciennement le projet de loi 64), qui est entrée progressivement en vigueur dans le secteur privé et le secteur public de septembre 2022 à septembre 2024. Mais ce n’est pas tout, puisqu’une autre loi importante sur la protection des renseignements personnels de santé est entrée en vigueur en juillet 2024, la Loi sur les renseignements de santé et de services sociaux (la « LRSSS », aussi connue sous le nom de « loi 5 »). Cette nouvelle loi régit le traitement des renseignements de santé et de services sociaux, de la même manière que le font d’autres lois semblables au Canada, comme la Loi de 2004 sur la protection des renseignements personnels sur la santé de l’Ontario. La loi du Québec comporte toutefois quelques différences importantes.

De manière générale, la LRSSS s’applique à tous les organismes publics du secteur de la santé ainsi qu’à quelques organisations privées prescrites par la LRSSS, tels les cabinets privés de professionnels ou les centres médicaux spécialisés, qui traitent des renseignements de santé et de services sociaux (les « organismes de santé »). Cependant, de nombreux organismes du secteur privé ne savent pas si cette nouvelle loi s’applique à eux directement, soit du fait de son vaste champ d’application (pour plus d’information, consultez ce diagramme), ou indirectement, en faisant affaire avec des organismes de santé.

Cet article porte sur ce deuxième cas de figure, et vise les fournisseurs de services technologiques dans le domaine de la santé à qui la LRSSS ne s’applique pas directement, mais qui font affaire avec des organismes de santé et ressentent indirectement les effets de ces nouvelles exigences. Voici un résumé des principales questions que ces fournisseurs doivent se poser et des concepts clés qu’ils doivent connaître.

1. Avez-vous des « renseignements de santé et de services sociaux »?

Un « renseignement de santé et de services sociaux » est défini dans la LRSSS au sens large et comprend tout renseignement qui concerne : i) l’état physique ou mental d’une personne ainsi que les facteurs qui y sont liés; ii) tout matériel biologique ou objet prélevé sur une personne dans le cadre d’une évaluation ou d’un traitement, comme un implant, une prothèse ou une orthèse; ou iii) les services de santé ou les services sociaux offerts à cette personne.

Si vous faites affaire avec des organismes de santé et traitez ce genre de renseignements pour eux, la LRSSS pourrait avoir une incidence directe sur vous dans le cadre de votre prestation de services de santé ou de services sociaux et/ou une incidence indirecte dans le cadre de vos négociations contractuelles avec ces derniers. Si ce n’est pas le cas, la LRSSS ne s’applique pas à vous, mais vous pourriez tout de même devoir respecter d’autres lois concernant la protection des renseignements personnels si vous traitez de tels renseignements, c’est-à-dire tout renseignement qui concerne une personne physique et permet directement ou indirectement de l’identifier.

2. Offrez-vous un « produit ou service technologique »?

La LRSSS définit un « produit ou service technologique » comme un équipement, une application ou un service utilisé pour recueillir, conserver, utiliser ou communiquer un renseignement de santé et de services sociaux, tels une banque de données ou un système d’information, un réseau de télécommunication, un logiciel ou une composante informatique d’un équipement médical.

Par conséquent, comme nous l’avons indiqué plus haut, même si la LRSSS ne s’applique pas directement à vous, vous pourriez devoir, de façon indirecte, vous y conformer si vous offrez à des organismes de santé un produit ou un service technologique visant des renseignements de santé et de services sociaux, car ces organismes vous imposeront certaines exigences avant d’utiliser vos produits ou services. En résumé, les fournisseurs de services technologiques dans le domaine de la santé doivent prendre en considération non seulement le type de service qu’ils offrent aux organismes de santé et la nature des renseignements traités, mais aussi le format technologique de leurs produits et services.

3. De quelle manière votre solution technologique est-elle conçue?

Si vous offrez des « produits ou services technologiques » tels que décrits ci-dessus, voici quelques points importants que vous devriez garder à l’esprit et sur lesquels les organismes de santé vous poseront probablement des questions :

  • Confidentialité par défaut. Les paramètres de votre solution technologique doivent assurer le plus haut niveau de confidentialité.
  • Documentation de conformité. Votre solution technologique doit être appuyée par une évaluation des facteurs relatifs à la vie privée qui établit, entre autres, les principaux risques et les mesures mises en place pour atténuer ces risques. Pour en savoir plus, consultez les réponses aux questions les plus fréquentes.
  • Portabilité des données. Votre solution technologique doit permettre aux individus de recevoir leurs renseignements informatisés dans un format structuré et couramment utilisé. Vous pouvez consulter ce guide de conformité à titre informatif.
  • Mises à jour périodiques. Votre solution technologique doit être mise à jour sur une base régulière, car les organismes de santé doivent adopter un calendrier de mise à jour des produits ou services technologiques qu’ils utilisent.
  • Maintien et évaluation. Votre solution technologique doit tenir compte des obligations découlant du Règlement sur la gouvernance des renseignements de santé et de services sociaux, comme des formations annuelles sur l’utilisation sécuritaire des produits ou services technologiques, l’évaluation des normes de cybersécurité et protection des données au moins tous les deux ans, ou l’élaboration de plans d’urgence en cas d’indisponibilité du produit ou service.
  • Certification et autres règles. Votre solution technologique devra peut-être être certifiée – la procédure de certification ainsi que les critères d’obtention de la certification seront établis dans un futur règlement – et respecter les règles de gestion des données définies par le dirigeant réseau de l’information et approuvées par le ministre de la Cybersécurité et du Numérique. Ces règles portent notamment sur la gestion de la sécurité des renseignements, de l’identité des personnes et des autorisations d’accès ainsi que sur la catégorisation des renseignements et la reddition de comptes.

4. Communiquez-vous des données à l’extérieur du Québec?

Tout comme les autres lois sur la protection des renseignements personnels des secteurs privé et public, la LRSSS n’interdit pas de communiquer des renseignements de santé et de services sociaux à l’extérieur du Québec. Toutefois, avant de procéder, plusieurs éléments doivent être pris en considération, dont les suivants :

  • Une évaluation des facteurs relatifs à la vie privée doit démontrer que le renseignement bénéficiera d’une protection adéquate dans la juridiction qui le reçoit;
  • Une entente de traitement des données ou une entente contractuelle semblable doit être conclue avec l’organisme de santé et inclure ses dispositions principales sur les mesures de sécurité, les limites d’utilisation, le signalement des violations, les audits et le processus de remise ou de destruction du renseignement.

Les exigences en matière de communication de données à l’extérieur du Québec sont parmi les plus complexes et les plus strictes au Canada. Elles devraient, espérons-le, être clarifiées par des directives réglementaires prochainement. Vous devriez donc toujours y porter attention de façon proactive et rigoureuse lorsque vous faites affaire avec des organismes de santé ou traitez des renseignements personnels ou de santé de personnes résidant au Québec.

5. Respectez-vous la Loi 25?

Indépendamment de la LRSSS, tout fournisseur de services technologiques dans le domaine de la santé exerçant des activités au Québec sera questionné au sujet de sa conformité à la Loi 25, plus particulièrement en ce qui a trait à la conformité de ses pratiques entourant la collecte, l’utilisation et la communication de renseignements personnels avec la Loi sur la protection des renseignements personnels dans le secteur privé, modifiée par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Cet enjeu de conformité sera inévitablement abordé s’il est question de données médicales. Bien qu’elles ne soient pas définies dans la LRSSS, ces données sont automatiquement considérées comme des « renseignements personnels sensibles » et sont donc soumises à des normes de sécurité et de confidentialité plus strictes.

Le non-respect ou le respect partiel de la Loi 25 pourrait susciter des interrogations chez un organisme de santé et avoir une incidence sur vos activités au Québec, même si vous pouvez invoquer des arguments concernant son applicabilité territoriale (c’est-à-dire, l’absence d’un lien réel et substantiel avec le Québec) ou son applicabilité matérielle (c’est-à-dire, le traitement de renseignements de santé et de services sociaux pour le compte d’un organisme de santé).

Conclusion

Même si la plupart des organismes privés ne sont pas directement assujettis à la Loi sur les renseignements de santé et de services sociaux du Québec, la portée de cette loi est considérable, en particulier pour les entreprises fournissant des solutions technologiques aux organismes de santé publics et aux cabinets privés. Les fournisseurs de services technologiques dans le domaine de la santé ne doivent pas négliger ni sous-estimer la LRSSS et ses conséquences sur leurs activités.

Étant donné la complexité de cette nouvelle loi et sa mise en application progressive par règlements (dont la plupart sont encore à l’étape de projet), il peut être difficile de s’y retrouver. Notre groupe Cybersécurité et protection des données veille à vous aider à mieux comprendre ce nouveau cadre législatif.