Politique de confidentialité

La Loi 25 adoptée le 21 septembre 2021 entraine des changements significatifs concernant la protection des renseignements personnels, dont des modifications importantes au niveau de la Loi sur l’accès aux documents dans les établissements de santé ainsi que sur la protection des renseignements personnels.  La loi 25 modifie et ajoute plusieurs droits aux patients afin de refléter la réalité d’aujourd’hui.  Les établissements de santé ont quant à eux de nouvelles obligations au niveau de la protection des données patients.  

L’entrée en vigueur des différentes dispositions de cette Loi s’échelonne progressivement sur une période de trois ans depuis le 22 septembre 2021, jusqu’au 22 septembre 2024.

Tout au long de l’année à venir, des « capsules » mensuelles paraîtront dans « l’Info ICM ». Vous y retrouverez des explications sur la Loi 25 et vos nouvelles obligations en matière de protection des renseignements personnels.

Par exemple, saviez-vous que pour obtenir accès à des renseignements personnels sans le consentement du patient, une étude des facteurs relatifs à la vie privée (EFVP) est désormais obligatoire?

Vous pouvez nous adresser vos questions à l’adresse suivante: prp.icm@icm-mhi.org

La Loi 25 adoptée en septembre 2021 vise les 3 objectifs suivants :

Assurer la protection et la sécurité des renseignements personnels en apportant des modifications importantes à plusieurs lois et en redéfinissant ce qu’est un renseignement personnel sensible.

Obtenir le consentement pour l’utilisation des renseignements personnels tant au niveau de l’usager que de l’utilisation des données pour tous types de demandes (recherche, fondation, équipement électronique, etc.).

Obliger les organisations à mettre en place des politiques et pratiques pour la gouvernance de ces renseignements : collecte, utilisation, communication, accès, rectification.

Par exemple, saviez-vous qu’il est obligatoire de déclarer tous incidents de confidentialité impliquant un renseignement personnel présentant un risque sérieux de préjudice?  

Depuis le 22 septembre 2022, il est obligatoire pour les organisations publiques dont l’ICM de procéder à une ÉFVP avant de communiquer des renseignements personnels sans le consentement des personnes concernées pour tous projets d’étude, de recherche ou de production de statistiques.

Les organisations devront également mener une ÉFVP pour tout projet d’acquisition, de développement, de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels et avant de communiquer un renseignement personnel à l’extérieur du Québec.

L’ÉFVP doit contenir, entre autres, la liste des renseignements sensibles concernés, la finalité de l’utilisation, le support sur lequel se trouve les renseignements et la durée de conservation.

En plus d’apporter des modifications importantes à plusieurs lois, la loi 25 propose également une nouvelle définition de renseignement personnel : « est un renseignement personnel, tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier » et ce, quel que soit le support ou le format applicable.  Un renseignement personnel est sensible lorsque de par sa nature, notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée.  Par exemple : le nom, la race, l’âge, la religion, l’état matrimonial, la taille, le groupe sanguin, la signature vocale, les empreintes digitales, le courriel peuvent tous devenir des renseignements personnels sensibles. Plusieurs dispositions seront mises en place pour soutenir ces changements.

Saviez-vous qu’avec la mise en place de la Loi 25, il était obligatoire de désigner un responsable de la protection des renseignements personnels (rp), mandat qui revient à la personne ayant la plus haute autorité dans l’établissement et de mettre en place un comité sur l’accès à l’information et la protection des renseignements personnels à l’ICM? Ce comité se compose de la personne responsable de l’accès aux documents et aux renseignements personnels, Annie Arsenault et Chantal Robert, du responsable de la sécurité de l’information, Kiet Van Luong, chef de la cybersécurité, du directeur des ressources technologiques, Yves Amyot, de l’adjoint au directeur des ressources technologiques, Serge Bergeron, du conseiller cadre au programme de la gestion des risques, Stéphane Palme et de toute autre personne dont l’expertise est requise dans le cadre des mandats du comité. Le comité est chargé de soutenir la personne responsable des rp dans l’exercice de ses responsabilités et dans l’exécution de ses obligations en vertu de la présente loi 25.

Saviez-vous qu’avec la mise en place de la Loi 25, les organismes publics ont l’obligation de tenir un registre des incidents de confidentialité? 

Voici des exemples d’incident de confidentialité : accès non autorisé, utilisation, perte ou communication d’un renseignement sans le consentement du patient.

Si on a un motif de croire qu’un incident de confidentialité impliquant un renseignement personnel se produit, l’ICM doit prendre les mesures pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature se produisent.

La demande pour recueillir le consentement d’une personne doit être formulée en termes simples et clairs, adaptée aux personnes à qui elle est destinée et présentée de façon distincte. La personne doit comprendre sans équivoque ce à quoi elle consent. La demande doit inclure, entres autres, le contexte et les objectifs, les bénéfices et les risques de donner ou non un consentement.

Le consentement doit être manifeste, libre, éclairé et donné à des fins spécifiques. Aussi, la durée doit être liée à la réalisation des fins auxquelles le consentement est demandé.

Les renseignements sensibles suscitent un haut degré d’attente raisonnable en matière de vie privée et la loi sur l’accès introduit un cadre légal plus rigoureux lors d’une communication avec un consentement.

La loi 25 encadre l’utilisation des renseignements personnels (rp) détenus par les organismes publics en prévoyant, notamment, qu’ils ne peuvent être utilisés qu’aux fins pour lesquelles ils ont été recueillis et avec le consentement de la personne concernée. Cependant, une exception s’applique lorsque les rp sont nécessaires aux fins d’études, de recherche ou de production de statistiques. La loi permet alors à un organisme public d’utiliser les rp qu’il a collectés sur une personne à une autre fin que celle prévue initialement, avec ou sans le consentement de la personne concernée. Avant de communiquer les renseignements demandés, toutes demandes devront être évaluées par l’équipe de protection des renseignements personnels et une évaluation des facteurs relatifs à la vie privée sera menée, selon les besoins.

Depuis le 22 septembre 2023, l’article 70.1 de la Loi sur l’accès oblige tous les organismes à procéder à une évaluation des facteurs relatifs à la vie privée avant de communiquer des renseignements personnels à l’extérieur du Québec.
La communication pourra s’effectuer si l’évaluation démontre que le renseignement bénéficierait d’une protection équivalente à celle offerte au Québec.
Lorsque les données sont conservées à l’extérieur du Québec, un avis juridique émis par un avocat canadien est requis afin de s’assurer du caractère adéquat et des garanties appropriées pour la protection de nos données.
Vous pouvez nous adresser vos questions à l’adresse suivante: prp.icm@icm-mhi.org.