Loi sur les renseignements de santé et de services sociaux : Survol des premiers règlements

Antoine Guilmain

Associé

Co-chef, Groupe national Cybersécurité et protection des données

Nayla El Zir

Avocate

Nawal Sassi

Étudiante en droit du programme d’été

Au Québec, 2024 s'annonce comme une année marquante pour la protection des renseignements personnels de santé.

Dans l'objectif de préparer l'entrée en vigueur imminente de la Loi sur les renseignements de santé et de services sociaux (la « Loi 5 »), le 1^er juillet 2024, le gouvernement a ainsi publié deux règlements visant à clarifier la gouvernance des renseignements de santé et de services sociaux (les « Renseignements ») détenus par les organismes du secteur de la santé et des services sociaux (les « Organismes »). Ces règlements publiés le 12 juin 2024 dans la Partie 2 de la Gazette officielle du Québec, entrent en vigueur le 1^er juillet 2024.

Première publication :

Le Règlement d'application de certaines dispositions de la Loi sur les renseignements de santé et de services sociaux prévu par les articles 4, 6, 9, 39, 107, 108 et 110 de la Loi 5 (le « Premier règlement ») élargit la portée des Organismes, précise les modalités de consentement, les conditions d'accès pour les intervenants non professionnels, le contenu du registre des produits et services technologiques, et stipule les informations nécessaires dans les avis d'incident de confidentialité.

Deuxième publication :

Le Règlement sur la gouvernance des renseignements de santé et de services sociaux, prévu par l'article 90 de la Loi 5, (le « Deuxième règlement ») définit la portée des règles encadrant la gouvernance des Renseignements. Ce règlement établit la responsabilité des Organismes, les modalités de conservation et de destruction des Renseignements, ainsi que le maintien et l'évaluation des produits ou services technologiques. Il est à noter que les règles de gouvernance concernant la qualité des Renseignements, les normes de catégorisation, la mobilité et la valorisation des Renseignements ne sont pas incluses dans le Deuxième règlement, car les dispositions de la Loi 5 les prévoyant ne seront pas en vigueur au 1er juillet 2024.

Principales dispositions du Premier règlement :

Organisme (art. 1) : Les établissements d'enseignement de niveau collégial ou universitaire sont ajoutés à la liste des Organismes lorsqu'ils fournissent, entre autres, des services de santé ou des services sociaux.

Consentement (arts. 2 à 6) : Les modalités pour obtenir et retirer le consentement des individus concernant l'utilisation et la communication de leurs Renseignements sont définies. Ainsi le consentement peut être donné par écrit ou verbalement et peut être retiré de la même façon. Il est également précisé comment les individus peuvent exercer leurs droits pour restreindre ou refuser l'accès à leurs Renseignements.

Conditions d'accès à un intervenant n'étant pas un professionnel au sens du Code des professions (arts. 7 à 9) : Les conditions permettant aux intervenants non professionnels d'accéder aux Renseignements détenus par les Organismes sont définies par le règlement. D'abord, ces intervenants sont autorisés à accéder aux informations si cela est nécessaire pour offrir des services de santé ou sociaux, ou pour fournir un soutien technique ou administratif à un autre intervenant. Pour accéder à ces Renseignements, les intervenants doivent remplir certaines conditions : ils doivent être membres du personnel de l'Organisme, avoir complété une formation spécifique sur la protection des renseignements personnels conforme à la législation et s'engager par écrit à respecter la confidentialité des informations dont ils pourraient avoir connaissance dans l'exercice de leurs fonctions. Enfin, ces intervenants doivent obtenir les autorisations nécessaires de la personne ayant la plus haute autorité au sein de l'Organisme.

En plus des membres de l'Organisme, cette autorisation peut être accordée à :

L'étudiant ou le stagiaire supervisé par un professionnel de la santé ou des services sociaux, dans le cadre de ses études collégiales ou universitaires.
Le bénévole effectuant les soins invasifs d'assistance aux activités de la vie quotidienne et l'administration de médicaments prescrits, tels que décrits aux articles 39.7 et 39.8 du Code des professions.
Le salarié d'une agence de placement de personnel titulaire d'un permis ou une personne qui est de la main-d'œuvre indépendante, conformément à la législation pertinente.

Contenu du registre des produits et services technologiques (art. 10) : Les Organismes sont tenus de tenir un registre des produits et services technologiques. Le registre doit contenir le produit ou le service, sa description, le nom du fournisseur, le cas échéant, une indication s'il est certifié par le ministre ou utilise des Renseignements pour une décision fondée exclusivement sur un traitement automatisé.

Contenu des avis d'incident de confidentialité et du registre des incidents de confidentialité (arts. 11 à 16) : Ces dispositions définissent le contenu obligatoire à inclure dans les avis donnés au ministre, à la Commission d'accès à l'information, ainsi qu'aux personnes concernées par l'incident et dans le registre des incidents de confidentialité.

Principales dispositions du Deuxième règlement :

Formation (arts. 1 et 2) : Les Organismes devront dispenser une formation initiale reconnue par le ministre à leurs personnels, professionnels, étudiants et stagiaires. De plus, ils devront assurer une mise à jour annuelle des connaissances en matière de protection des Renseignements. Cette obligation s'applique aussi aux bénévoles effectuant les soins invasifs d'assistance aux activités de la vie quotidienne et l'administration de médicaments prescrits, tels que décrits aux articles 39.7 et 39.8 du Code des professions, ainsi qu'aux salariés d'une agence de placement de personnel titulaire d'un permis ou aux personnes qui sont de la main-d'œuvre indépendante, conformément à la législation pertinente.

Consentement (art. 3) : Les Organismes devront conserver une preuve de tout consentement reçu conformément à la Loi 5.

Devoir de gestion des Renseignements et des personnes (arts. 5 à 7 et 9) : Les Organismes devront réviser les catégories de personnes identifiées dans leur politique de gouvernance des Renseignements. Ils devront également évaluer la conformité des mécanismes de journalisation et surveiller mensuellement les accès, les utilisations et la communication des Renseignements détenus. Jusqu'à l'entrée en vigueur de l'article 103 de la Loi 5, les Organsimes devront non seulement évaluer la conformité des mécanismes de journalisation mais aussi celui des registres de communication des Renseignements. Ces Organismes doivent d'ailleurs en revoir le contenu s'il y a lieu.

Constitution d'un comité sur la gouvernance (art. 8) : Les Organismes, à l'exception de certains, devront mettre en place un comité sur la gouvernance des Renseignements pour soutenir la personne ayant la plus haute autorité au sein de l'Organisme.

Conservation et destruction des Renseignements (arts. 10 à 14) : Les Organismes devront assurer la protection des Renseignements en contrôlant l'accès et en respectant les restrictions ou les refus d'accès. Ils devront également assurer une destruction sécurisée et documentée des Renseignements ainsi qu'en conserver une preuve. Si la destruction est effectuée par un prestataire externe, un contrat détaillé doit être établi avec ce dernier pour s'assurer du respect des procédures de destruction et des obligations de confidentialité.

Désignation de personnes ayant de nouvelles fonctions (arts. 4 et 16) : Les Organismes devront nommer des personnes responsables de s'assurer que les individus ayant formulé un avis de restriction à l'accès à leurs Renseignements soient adéquatement informés des conséquences potentielles et des risques associés à l'exercice de ce droit. Les Organismes devront également nommer une personne responsable de veiller à l'application des normes technologiques et à la sécurité des Renseignements.

Maintien et évaluation des produits ou services technologiques (arts. 15 et 17) : Les Organismes devront prendre des mesures pour éviter ou atténuer les impacts potentiels liés à l'obsolescence des produits technologiques et évaluer les produits ou services utilisés selon les normes applicables.

En somme, ces mesures réglementaires constituent une avancée significative dans le renforcement de la protection des renseignements personnels dans le milieu de la santé et des services sociaux au Québec. En consolidant les structures de gouvernance et en précisant les protocoles d'accès et de conservation de ces Renseignements, le gouvernement vise à garantir une gestion plus sécurisée et transparente des données, renforçant ainsi la protection de tous les citoyens.

CECI NE CONSTITUE PAS UN AVIS JURIDIQUE. L'information qui est présentée dans le site Web sous quelque forme que ce soit est fournie à titre informatif uniquement. Elle ne constitue pas un avis juridique et ne devrait pas être interprétée comme tel. Aucun utilisateur ne devrait prendre ou négliger de prendre des décisions en se fiant uniquement à ces renseignements, ni ignorer les conseils juridiques d'un professionnel ou tarder à consulter un professionnel sur la base de ce qu'il a lu dans ce site Web. Les professionnels de Gowling WLG seront heureux de discuter avec l'utilisateur des différentes options possibles concernant certaines questions juridiques précises.