Les renseignements de santé occupent une place particulière dans la Loi 25. Ils figurent parmi les catégories les plus sensibles de renseignements personnels, ce qui impose des obligations accrues aux cliniques, hôpitaux, médecins, psychologues, physiothérapeutes et à tout autre professionnel qui les traite au quotidien.
Pourquoi les renseignements de santé sont traités différemment
La Loi 25 (Loi sur la protection des renseignements personnels dans le secteur privé, L.R.Q., c. P-39.1) reconnaît que certaines catégories de renseignements méritent une attention particulière. Les renseignements de santé en font partie : leur divulgation inappropriée peut causer un préjudice sérieux, qu'il s'agisse de discrimination à l'emploi, d'exclusion sociale ou d'une atteinte profonde à la dignité de la personne.
Concrètement, cela signifie que les règles générales s'appliquent intégralement, mais que le seuil de rigueur attendu est plus élevé. Le consentement doit être explicite pour les usages secondaires des renseignements. La justification de chaque collecte doit être claire. La durée de conservation doit être définie et respectée.
Les droits des patients
Sous la Loi 25, vos patients ont des droits précis :
- Droit d'accès : un patient peut demander à consulter les renseignements personnels que vous détenez à son sujet, y compris son dossier clinique, dans un délai de 30 jours.
- Droit de rectification : si des renseignements sont inexacts ou incomplets, le patient peut demander leur correction.
- Droit à la portabilité : depuis septembre 2023, une personne peut demander à recevoir ses renseignements dans un format technologique couramment utilisé, ou à les faire transférer à un tiers désigné.
- Droit de retrait du consentement : un patient peut retirer son consentement à certains usages, dans les limites permises par la loi.
Ces droits s'ajoutent aux protections déjà prévues par les codes de déontologie professionnels et la Loi sur les services de santé et les services sociaux pour le secteur public.
Scénarios courants en milieu de santé
Partage de dossiers entre professionnels
Transmettre le dossier d'un patient à un autre professionnel de la santé (médecin de famille, spécialiste, laboratoire) est généralement permis dans le cadre du traitement, sans consentement explicite supplémentaire. Mais attention : ce partage doit rester limité aux renseignements nécessaires. Envoyer un dossier complet alors qu'un résumé suffit n'est pas justifié.
Dossiers de santé électroniques
L'adoption de logiciels de gestion de dossiers cliniques soulève des questions précises : qui a accès à quelles informations dans votre système? Les accès sont-ils tracés? Le fournisseur de votre logiciel agit-il à titre de sous-traitant, et avez-vous signé un contrat qui reflète vos obligations en matière de protection des renseignements personnels?
Télémédecine et consultations à distance
La télémédecine multiplie les points de contact avec des renseignements sensibles. La plateforme utilisée est-elle hébergée au Canada ou à l'étranger? Des renseignements transitent-ils par des serveurs situés hors du Québec? Si oui, une évaluation des facteurs relatifs à la vie privée (ÉFVP) peut être requise avant de déployer ce type d'outil.
L'interaction avec les codes de déontologie
La Loi 25 ne remplace pas les obligations déontologiques des professionnels de la santé; elle s'y ajoute. Le secret professionnel prévu dans les codes de déontologie des médecins, psychologues, infirmiers et autres professionnels reste en vigueur. La Loi 25 vient préciser les obligations en matière de collecte, de conservation, de communication et de sécurité des renseignements.
En pratique, respecter votre code de déontologie ne garantit pas automatiquement la conformité à la Loi 25, et inversement. Les deux cadres doivent être pris en compte.
Incidents spécifiques au milieu de la santé
Deux scénarios reviennent fréquemment :
La télécopie mal dirigée : envoyer un dossier clinique au mauvais numéro de télécopieur constitue un incident de confidentialité. Si cela présente un risque sérieux de préjudice, vous avez l'obligation de notifier la Commission d'accès à l'information (CAI) et la personne concernée dans un délai de 72 heures après avoir pris connaissance de l'incident.
L'accès non autorisé aux dossiers patients : un employé qui consulte le dossier d'un patient sans raison professionnelle valable est un incident de sécurité. Votre politique interne doit prévoir comment ces situations sont détectées, documentées et traitées.
Étapes pratiques pour les cliniques
- Nommer un responsable de la protection des renseignements personnels : ce rôle peut être occupé par un gestionnaire existant, mais il doit être formalisé et son nom doit être publié sur votre site web.
- Dresser un inventaire des renseignements de santé collectés : quels renseignements, à quelle fin, pour combien de temps.
- Réviser vos formulaires de consentement : ils doivent expliquer clairement pourquoi vous collectez les renseignements et comment vous les utilisez.
- Former votre équipe : le personnel administratif comme le personnel clinique doit comprendre les règles de base sur la confidentialité et comment signaler un incident.
- Mettre en place un plan de réponse aux incidents : avant qu'un incident survienne, pas après.
Observantia est conçu pour accompagner les organisations de santé dans cette démarche, avec des outils adaptés à la gestion des demandes d'accès, à la documentation des incidents et au suivi des obligations de conformité.
Ce contenu est fourni à titre informatif seulement et ne constitue pas un avis juridique. Pour des questions spécifiques à votre situation, consultez un conseiller juridique qualifié.