Passer au contenu principal

IMPORTANT : Pour la sécurité de tous, Fasken conseille aux personnes qui entrent dans ses bureaux canadiens d’être au courant des recommandations en vigueur concernant la COVID-19, lesquelles pourraient comprendre une ou plusieurs des mesures suivantes : distanciation sociale, désinfection des mains, port du masque dans les aires communes et preuve de vaccination complète. Ces mesures s’appliquent aux avocats, au personnel, aux clients, aux fournisseurs de services et aux autres visiteurs.

Bulletin

Une loi spécifique au Québec pour les renseignements personnels dans le système de santé

Fasken
Temps de lecture 14 minutes
S'inscrire

Aperçu

Protection des renseignements confidentiels, vie privée et cybersécurité

Le Projet de loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives (« PL 19 »)[1] a été rendu public le 3 décembre 2021, lequel a été présenté comme un mammouth qui vient changer la gestion des renseignements de santé[2].

Ce projet vise à mettre en place un cadre juridique spécifique pour les renseignements de santé et de services sociaux et a la volonté d’encadrer le tout dans une seule loi. À l’heure actuelle, plusieurs lois concernent ces renseignements, parmi lesquelles on trouve notamment la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (« Loi sur l’accès »)[3], la Loi sur la protection des renseignements personnels dans le secteur privé (« Loi sur le secteur privé »), la Loi concernant le partage de certains renseignements de santé[4] ainsi que la Loi sur les services de santé et les services sociaux (« LSSSS »)[5].

Ce projet de loi crée, dans un premier temps, un régime juridique spécifique aux renseignements de santé et, dans un second temps, modifie les lois existantes.

Une lacune comblée : la définition des renseignements de santé

Ce projet de loi définit les renseignements de santé de la façon suivante :

2. Au sens de la présente loi, est un renseignement de santé ou de services sociaux tout renseignement détenu par un organisme du secteur de la santé et des services sociaux qui concerne une personne, qu’il permette ou non de l’identifier, et qui répond à l’une des caractéristiques suivantes :

1° il concerne l’état de santé physique ou mentale de cette personne et ses facteurs déterminants, y compris ses antécédents médicaux ou familiaux;

2° il concerne tout matériel prélevé dans le cadre d’une évaluation ou d’un traitement, incluant le matériel biologique, ainsi que tout implant, orthèse, prothèse ou autre aide suppléant à une incapacité de cette personne;

3° il concerne les services de santé ou les services sociaux offerts à cette personne, notamment la nature de ces services, leurs résultats, les lieux où ils ont été offerts et l’identité des personnes ou des organismes qui les ont offerts;

4° il a été obtenu dans l’exercice d’une fonction prévue par la Loi sur la santé publique (chapitre S-2.2);

5° toute autre caractéristique déterminée par règlement du gouvernement.

Malgré le premier alinéa, n’est pas un renseignement de santé ou de services sociaux un renseignement qui concerne un membre du personnel de l’organisme ou un professionnel qui y exerce sa profession, y compris un étudiant, un stagiaire, un mandataire ou un prestataire de services, lorsqu’il a été recueilli par cet organisme à des fins de gestion des ressources humaines.

De plus, un renseignement permettant l’identification d’une personne tels son nom, sa date de naissance, ses coordonnées, son numéro d’assurance maladie ou tout autre renseignement de même nature est un renseignement de santé ou de services sociaux lorsqu’il est accolé à un renseignement visé au premier alinéa ou qu’il est recueilli en vue de l’enregistrement, de l’inscription ou de l’admission de la personne concernée dans un établissement de santé et de services sociaux ou de sa prise en charge par un autre organisme du secteur de la santé et des services sociaux.

Cette définition n’existe pas actuellement, et son ajout nous rapprochera du Règlement européen général sur la protection des données[6].

Notons également que le PL 19 s’applique aux organismes du secteur de la santé et des services sociaux qui détiennent des renseignements de santé (PL 19, art. 4). Il est intéressant de noter que cette définition est large et ne se limite pas aux établissements qui prodiguent directement des soins. Ils sont définis à l’article 4 du PL 19 ainsi qu’aux annexes 1 et 2 de ce projet de loi :

  • le ministère de la Santé et des Services sociaux;
  • une personne, une société ou un organisme qui œuvre dans le secteur de la santé et des services sociaux, à savoir : le Commissaire à la santé et au bien-être; la Commission sur les soins de fin de vie; la Corporation d’urgences-santé; Héma-Québec; l’Institut national d’excellence en santé et en services sociaux; l’Institut national de santé publique du Québec; la RAMQ; un organisme qui assure la coordination des dons d’organes ou de tissus; une personne ou une société qui exploite un cabinet privé de professionnel; une personne ou une société qui exploite un centre médical spécialisé; un centre de communication santé visé par la Loi sur les services préhospitaliers d’urgence; une personne ou une société qui exploite un centre de procréation assistée; une personne ou une société qui exploite un laboratoire; une résidence privée pour aînés ; une ressource intermédiaire ou une ressource de type familial ; une ressource offrant de l’hébergement ; un titulaire de permis d’entreprise de services funéraires; un titulaire de permis d’exploitation de services ambulanciers ; une maison de soins palliatifs;
  • un établissement de santé et de services sociaux, la Régie régionale de la santé et des services sociaux du Nunavik instituée en vertu de l’article 530.25 de la Loi sur les services de santé et les services sociaux et le Conseil cri de la santé et des services sociaux de la Baie-James institué en vertu de la Loi sur les services de santé et les services sociaux pour les autochtones cris;
  • une personne, une société ou un organisme qui n’est pas déjà visé au présent article et qui conclut avec un organisme visé au paragraphe 2° ou 3° une entente visant la prestation, pour le compte de cet organisme, de certains services de santé ou services sociaux;
  • toute autre personne, toute autre société ou tout autre organisme déterminé par règlement du gouvernement.

La mise en place de règles spécifiques aux renseignements de santé

Le PL 19 pose les règles applicables en matière de collecte et de conservation des renseignements par un organisme du secteur de la santé, calquées, dans une large mesure, sur celles applicables en matière de protection des renseignements personnels (chapitre 2 du PL 19) ainsi qu’en matière d’incident de confidentialité (art. 58 et 59 pour les organismes du secteur de la santé). La Commission d’accès à l’information sera compétente en la matière (voir notamment articles 75 à 114) et des sanctions pouvant aller jusqu’à 150 000 dollars pourront être imposées (art. 115-122) en cas de non respect de la Loi.

Le PL 19 prévoit les hypothèses d’accès par la personne concernée ou son représentant, par un intervenant du secteur de la santé ou par tout autre organisme dans certaines circonstances (PL 19, art. 34 et suivants). D’autres règles précisent enfin la consultation de renseignements en cas de décès de la personne concernée.

Des règles particulières sont également prévues, aux articles 30 et suivants, pour la recherche et se retrouvent aussi les évaluations des facteurs relatifs à la vie privée introduites par la Loi 25. Les chercheurs utilisant des renseignements de santé ne devront plus suivre les obligations issues notamment des lois sur la protection des renseignements personnels mais devront se conformer aux obligations prévues par le PL 19. Enfin, le PL 19, en son article 49, introduit une nouvelle fonction, celle de « gestionnaire délégué aux données numériques gouvernementales du ministère de la Santé et des Services sociaux ». Ce gestionnaire devra gérer les autorisations d’accès aux renseignements de santé et de services sociaux sans consentement.

Plus précisément, il pourra notamment autoriser un organisme du secteur de la santé et des services sociaux à accéder à un renseignement de santé ou de services sociaux détenu par un autre organisme de ce secteur si :

  • l’accès au renseignement est nécessaire à l’application d’une loi au Québec, sans que sa communication, sa transmission, sa divulgation ou toute autre action permettant d’en prendre connaissance soit expressément prévue par la loi;
  • l’accès au renseignement est nécessaire à la réalisation de sa mission ou de son objet, à l’exercice de ses fonctions ou de ses activités ou à la mise en œuvre d’un programme dont il a la gestion;
  • l’accès au renseignement est manifestement au bénéfice de la personne concernée;
  • l’accès au renseignement est justifié par des circonstances exceptionnelles.

Il pourra également, dans l’un de ces cas, autoriser un organisme public ou un organisme d’un autre gouvernement à accéder à un renseignement de santé ou de services sociaux. Lorsque l’autorisation est donnée à un organisme d’un autre gouvernement, l’accès doit être encadré par la conclusion, conformément à la loi, d’une entente écrite (PL 19, art. 35).

Pour pouvoir suivre les différents accès donnés, ce gestionnaire devra tenir un registre contenant l’identité des personnes, physiques ou morales, ayant obtenu l’accès, la description des renseignements visées et leur provenir, les finalités pour lesquelles l’accès a été autorisé, la durée et les conditions applicables à chaque autorisation, notamment les mesures particulières de sécurité ainsi que le délai de traitement de la demande d’autorisation (PL 19, art. 50).

La modification des lois existantes

Le PL 19 modifie également des lois existantes telles que la Loi sur l’accès et la Loi sur le secteur privé afin de préciser que ces deux lois ne s’appliquent pas aux renseignements de santé. Aussi,  les chercheurs utilisant des renseignements de santé ne devront plus suivre les obligations issues notamment des lois sur la protection des renseignements personnels mais devront se conformer aux obligations prévues par le PL 19.

A noter toutefois l’absence de dates d’entrée en vigueur. Les dispositions de la Loi sur l’accès et de la Loi sur le secteur privé, même modifiées par la Loi 25, restent applicables pour le moment.

Enfin, il convient de relever que le PL 19 modifie la LSSSS pour prévoir notamment la création d’un système national de dépôt de renseignements (PL 19, art. 195 et suivants). Ce système doit permettre l’intégration des dossiers relatifs aux patients, des consentements au prélèvement d’organes ou de tissus ainsi que des directives médicales anticipées concernant l’aide médicale à mourir. Un règlement devra déterminer les organismes devant verser dans ce système tout ou partie des renseignements qu’il recueille.

Aussi, le PL 19 entend mettre en place un régime spécifique pour les renseignements liés à la santé, qui ne seraient plus soumis aux lois actuelles. En cas de questions, Fasken est là pour vous renseigner, assister et est en mesure de vous assister afin d’appliquer la bonne loi dans les bonnes circonstances et trouver des solutions pratiques pour respecter les nouvelles obligations issues du PL 19.

 



[2]      Tel qu’appelé par M. le Ministre de la santé Christian Dubé, « En santé, on va déposer un projet de loi, cet automne, qui va changer plusieurs lois. On appelle ça un [projet de loi] mammouth», a-t-il déclaré. Celui-ci devrait être déposé au début du mois de novembre » (le Journal de Montréal, 18 septembre 2021).

[6]      RGPD, 2016/679, art. 4 (15) : « données concernant la santé», les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne ».

Auteurs

    Abonnement

    Recevez des mises à jour de notre équipe

    S'inscrire