Loi 5 : un nouveau paradigme sur la gouvernance des renseignements de santé et de services sociaux (partie II)

27 mars 2025

Lors de l’entrée en vigueur de la Loi 5, ou Loi sur les renseignements de santé et de services sociaux et de ses règlements d’application (Règlement d’application de certaines dispositions de la Loi sur les renseignements de santé et de services sociaux et Règlement sur la gouvernance des renseignements de santé et de services sociaux), nous avions présenté, dans un premier article, le champ d’application de la Loi 5. Dans ce second article, nous verrons :

  1. Les similarités que partage la Loi 5 avec la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi sur le privé ») et la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (la « Loi sur l’accès ») (collectivement, la « Loi 25 »);
  2. Les nouvelles exigences introduites par la Loi 5.

1. Principes et obligations communes

Si la Loi 25 et la Loi 5 établissent des cadres juridiques distincts, elles comportent néanmoins des principes et obligations en matière de protection des renseignements de santé et de services sociaux (les « renseignements de santé ») qui sont similaires :

  • Responsable de la protection des renseignements personnels : La personne ayant la plus haute autorité au sein d’un organisme de santé et de services sociaux assujetti à la Loi 5 (un « organisme de santé ») est par défaut responsable de la protection des renseignements de santé. Cette fonction peut être déléguée par écrit.
  • Politiques de gouvernance : Les organismes de santé doivent adopter et mettre en œuvre des politiques et des règles de gouvernance à l’égard des renseignements de santé et les publier sur leur site Internet.
  • Critère de nécessité et détermination des finalités : Un organisme de santé doit recueillir uniquement les renseignements nécessaires à l’atteinte des objectifs déterminés avant la collecte de renseignements de santé.
  • Critères de validité du consentement : Le consentement des personnes concernées doit être manifeste, libre, éclairé et donné à des fins spécifiques; il doit être demandé à chacune de ces fins en termes simples et clairs, et il ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé.
  • Paramètres de confidentialité par défaut : Si un organisme de santé recueille des renseignements de santé en offrant des produits ou des services technologiques disposant de paramètres de confidentialité, il doit s’assurer que les paramètres de confidentialité assurent, par défaut, le plus haut niveau de confidentialité, et ce, sans aucune intervention de la personne concernée.
  • Technologies comportant des fonctions d’identification, de localisation et de profilage : Lorsqu’un organisme recueille des renseignements de santé au moyen d’une technologie comportant des fonctions permettant d’identifier une personne, de la localiser ou d’en effectuer un profilage, il doit d’abord l’informer du recours à cette technologie et des moyens offerts pour activer ces fonctions.
  • Mesures de sécurité : L’organisme de santé a le devoir de mettre en place des mesures de sécurité propres à assurer la protection des renseignements de santé et qui sont raisonnables compte tenu notamment de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.
  • Destruction et anonymisation : Lorsque les finalités pour lesquelles les renseignements de santé recueillis sont atteintes, la durée de conservation est épuisée et les renseignements doivent être détruits ou anonymisés.
  • Modalités contractuelles pour impartition : Un organisme de santé peut communiquer des renseignements à un mandataire ou à un fournisseur (autre que pour un mandat ou un contrat visant la prestation de services de santé et de services sociaux) lorsque le mandat est confié par écrit et prévoit des modalités spécifiques en conformité avec la Loi 5.
  • Incident de confidentialité : Un organisme de santé qui a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement qu’il détient, ou qu’un tel incident risque de se produire, doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et pour éviter que de nouveaux incidents de même nature ne se reproduisent. Lorsque l’incident présente un risque de préjudice sérieux, l’organisme de santé doit aviser le ministre de la Santé et des Service sociaux, la Commission d’accès à l’information, les personnes concernées et les personnes ou groupements susceptibles de diminuer ce risque. Il doit également tenir un registre des incidents de confidentialité.
  • Droits des personnes concernées : La Loi 5 accorde aux usagers des systèmes de santé et de service sociaux un droit d’accès, un droit de rectification, un droit à la portabilité et un droit de retrait du consentement.
  • Évaluation des facteurs relatifs à la vie privée (EFVP) : Les organismes de santé devront également procéder à une EFVP :
    • Pour tout projet d’acquisition, de développement et de refonte de produits ou services technologiques ou de système de prestation électronique de services impliquant des renseignements de santé;
    • Avant de communiquer un renseignement à l’extérieur du Québec.

2. Examen des nouvelles exigences

Outre les droits et les obligations mentionnés précédemment, la Loi 5 et ses règlements d’application confèrent des droits spécifiques aux usagers et imposent des obligations particulières aux organismes de santé, dont les suivants :

  • Formation du personnel : Un organisme de santé doit offrir une formation reconnue par le ministre de la Santé en matière de protection des renseignements personnels à l’ensemble de son personnel, y compris les professionnels, étudiants et stagiaires. Cette formation doit être dispensée dès l’entrée en fonction ou le début de l’exercice de la profession et être mise à jour annuellement.
  • Consentement exprès pour l’utilisation et la communication des renseignements : Un renseignement de santé ne peut être utilisé ou communiqué que conformément à la Loi 5, sous réserve du consentement exprès de la personne concernée. Le consentement exprès par défaut est une exigence propre à la Loi 5 qui ne trouve pas d’équivalent dans la Loi 25.
  • Utilisation et communication des renseignements dépersonnalisés par défaut : Lorsqu’il est possible d’utiliser ou de communiquer un renseignement de santé sous une forme ne permettant pas d’identifier directement la personne concernée, l’utilisation ou la communication doit se faire sous cette forme.
  • Preuve du consentement : Un organisme de santé doit conserver une preuve de tout consentement qu’il reçoit.
  • Informations lors de la collecte : Lors de la collecte d’un renseignement de santé, l’organisme de santé doit fournir aux personnes concernées certaines informations qui ne sont pas requises en vertu de la Loi 25, soit :
    • la possibilité de restreindre ou de refuser l’accès à un renseignement de santé ainsi que les modalités d’exercice de ce droit;
    • la durée de conservation du renseignement de santé.

Par ailleurs, contrairement à la Loi 25, il n’est pas requis pour un organisme de santé d’informer les personnes concernées de la possibilité que les renseignements soient communiqués à l’extérieur du Québec ou à des tiers ou catégories de tiers.

  • Certification de produit ou service technologique : Le gouvernement peut, par règlement, déterminer les situations et les conditions dans lesquelles les organismes de santé sont tenus d’utiliser exclusivement des produits ou services technologiques ayant obtenu une certification. Lorsqu’un règlement exige une certification, un organisme de santé ne peut acquérir ou utiliser un produit technologique non certifié. Il a également l’obligation d’inscrire tout produit ou service technologique utilisé dans un registre, qu’il doit publier sur son site Internet ou rendre accessible au public par tout autre moyen approprié. Il a aussi la responsabilité de mettre régulièrement à jour ce registre afin de tenir compte de toute modification apportée aux produits ou services technologiques.
  • Journalisation des accès : Un organisme de santé doit être en mesure de savoir qui a accédé à un renseignement de santé, l’a utilisé ou en a reçu la communication, ainsi que la date et l’heure de cet accès, utilisation ou communication. Un rapport de cette journalisation doit être transmis annuellement au ministre de la Santé et des Services sociaux. À noter qu’à la date de la publication du présent article, cette disposition n’est pas encore en vigueur.
  • Restriction des accès par la personne concernée : Une personne concernée peut restreindre l’accès à un ou plusieurs renseignements de santé la concernant détenu par un organisme de santé. Elle peut restreindre les accès à un intervenant particulier ou à une catégorie d’intervenants.
  • Droits d’accès à des renseignements de santé accordés à diverses catégories de personnes : La Loi 5 accorde des droits d’accès à des renseignements de santé dans certaines circonstances, notamment aux personnes liées à un mineur, un majeur inapte ou un défunt, à des chercheurs et à des intervenants (professionnels ou non).

Conclusion

La Loi 5 instaure un régime complet et exclusif à l’égard des renseignements de santé. Ce régime complexe peut s’appliquer non seulement à des organismes publics du secteur de la santé et des services sociaux et aux établissements de santé, mais également à certaines organisations du secteur privé (pour en savoir plus, consultez notre premier article sur le sujet). Toutefois, en ce qui concerne les renseignements personnels qui ne sont pas des « renseignements de santé » au sens de la Loi 5, les organisations demeurent assujetties à la Loi sur le privé ou à la Loi sur l’accès, selon le cas. Les organisations susceptibles d’être assujetties à la Loi 5 devraient obtenir des conseils juridiques sur la mise en œuvre des différentes obligations relatives aux renseignements personnels qu’elles détiennent.

À la une

Publications
10 avril 2025

Modification de certaines normes du travail : à quoi les employeurs de juridiction fédérale doivent-ils s’attendre?
Il y a près de sept ans, la Loi no 2 d’exécution du budget de 2018 du gouvernement fédéral introduisait de nouvelles dispositions au Code canadien du travail applicables aux employeurs assujettis à la réglementation fédérale, afin de légiférer sur l’égalité de traitement et les agences de placement temporaire. En date de ce jour, ces dispositions demeurent inapplicables et en attente de leur date d’entrée en vigueur, qui sera fixée par décret. Le 22 février 2025, le gouvernement fédéral publiait un projet de règlement modifiant notamment le Règlement du Canada sur les normes du travail, afin de soutenir l’éventuelle mise en œuvre de ces dispositions du Code. Nous vous exposons dans cet article les principaux changements apportés au Code, ainsi que les nouvelles modifications proposées au Règlement.
En savoir plus
Publications
24 mars 2025

Projet de loi n° 89 : tenir compte des besoins de la population pour baliser les droits de grève et de lock-out
En février, le ministre du Travail a déposé devant l’Assemblée nationale du Québec le projet de loi no 89, Loi visant à considérer davantage les besoins de la population en cas de grève ou de lock-out, lequel vise à atténuer les répercussions des conflits de travail sur l’économie québécoise en modifiant, entre autres, le Code du travail.
En savoir plus
Publications
14 mars 2025

Accommodement en milieu de travail : il ne s’agit pas d’une obligation à sens unique de l’employeur
Récemment, dans l’affaire Syndicat des professionnelles et professionnels en milieu scolaire du Nord-Ouest (SPPMSNO) et Commission scolaire crie (L. O.), l’arbitre Éric-Jan Zubrzycki a rendu une sentence arbitrale intéressante portant sur l’obligation d’accommodement pour raisons médicales de l’employeur et le devoir de coopération du travailleur dans cette démarche.
En savoir plus
Publications
11 mars 2025

Mise à jour concernant les demandes d’EIMT à bas salaire au Québec et la liste des professions admissibles au traitement simplifié
Le ministre de l’Immigration, de la Francisation et de l’Intégration a récemment annoncé la prolongation jusqu’au 30 novembre 2025 de la mesure qui suspend la réception de certaines demandes d’Évaluation de l’impact sur le marché du travail (EIMT) à bas salaire (moins de 32,96 $/h) dans le cadre du Programme des travailleurs étrangers temporaires (PTET).
En savoir plus
Publications
6 mars 2025

Nouveaux tarifs américains : considérations juridiques et commerciales pour les entreprises québécoises
Le 4 mars 2025, le gouvernement américain a réitéré l’application des tarifs douaniers sur les exportations canadiennes, avec certaines exceptions temporaires. La situation évolue chaque jour. Rappelons que le 1er février 2025, le président américain Donald Trump a officiellement signé un décret présidentiel imposant de nouveaux tarifs douaniers au Canada, au Mexique et à la Chine. Ces mesures protectionnistes prévoient un tarif de 25 % sur la plupart des biens canadiens et un tarif de 10 % sur les importations d’énergie canadienne. Initialement prévue pour le 4 février 2025, l'entrée en vigueur de ces tarifs a été reportée d'un mois. En réponse, le gouvernement canadien a prévu la mise en place de tarifs de représailles sur plusieurs produits américains.
En savoir plus
Publications
10 février 2025

Contrats commerciaux : des clauses pour favoriser la stabilité en période d’instabilité 
Le contexte imprévisible actuel des relations d’affaires entre le Canada et les États-Unis inquiète plusieurs entreprises québécoises. Pour favoriser la prévisibilité et la stabilité de leurs relations avec leurs partenaires d’affaires américains, elles peuvent avoir recours dans leurs contrats commerciaux aux clauses d’élection de for et d’arbitrage, de même qu’aux clauses désignant le droit applicable.
En savoir plus
Publications
3 février 2025

Changements aux PTO pour les familles des travailleurs étrangers et des étudiants internationaux
Depuis le 21 janvier, de nouvelles restrictions s’appliquent en matière d’admissibilité des membres de la famille des étudiants internationaux et des travailleurs étrangers temporaires pour l’obtention d’un permis de travail ouvert. Ces mesures visent à restreindre l’accès à ces permis dans des situations spécifiques et à renforcer les critères d’admissibilité. Cet article résume les principaux changements entrés en vigueur.
En savoir plus
Publications
30 janvier 2025

10 actions concrètes pour une saine gouvernance de votre conseil d’administration et une année fructueuse
Le début d’une nouvelle année est le moment idéal pour les conseils d’administration de faire le point sur ce qu’ils ont accompli et d’établir leurs priorités pour l’année qui débute. Pour garantir une bonne gouvernance et un leadership efficace, ils ont tout avantage à entamer une réflexion sur les points qu’ils peuvent améliorer, et ainsi donner le ton à une année qui sera marquée par plus d’efficacité et un meilleur rendement. La liste de contrôle suivante présente 10 actions concrètes que les conseils d’administration peuvent aisément mettre en œuvre pour atteindre ces objectifs.
En savoir plus
Publications
27 mars 2020

« Le Québec sur pause pendant plusieurs semaines » : 5 réflexions pour une gestion de crise à long terme
Plusieurs entreprises du Québec vivent actuellement comme une suite de déflagrations les mesures d’urgence mises en œuvre par les gouvernements pour contrer la propagation rapide du coronavirus (COVID-19). Certaines sont fermées par ordonnance du gouvernement ou ont dû procéder à des licenciements alors que d’autres sont incapables de rencontrer leurs engagements contractuels.  Dans ce contexte, […]
En savoir plus