Capsules d'informations :
1. La Loi sur la protection des renseignements personnels a été modernisée.
La Loi 25 adoptée le 21 septembre 2021 entraine des changements significatifs concernant la protection des renseignements personnels, dont des modifications importantes au niveau de la Loi sur l’accès aux documents dans les établissements de santé ainsi que sur la protection des renseignements personnels. La loi 25 modifie et ajoute plusieurs droits aux patients afin de refléter la réalité d’aujourd’hui. Les établissements de santé ont quant à eux de nouvelles obligations au niveau de la protection des données patients.
L’entrée en vigueur des différentes dispositions de cette Loi s’échelonne progressivement sur une période de trois ans depuis le 22 septembre 2021, jusqu’au 22 septembre 2024.
Tout au long de l’année à venir, des « capsules » mensuelles paraîtront dans « l’Info ICM ». Vous y retrouverez des explications sur la Loi 25 et vos nouvelles obligations en matière de protection des renseignements personnels.
Par exemple, saviez-vous que pour obtenir accès à des renseignements personnels sans le consentement du patient, une étude des facteurs relatifs à la vie privée (EFVP) est désormais obligatoire?
2. Loi sur la protection des renseignements personnels, objectifs visés par les changements.
La Loi 25 adoptée en septembre 2021 vise les 3 objectifs suivants :
Assurer la protection et la sécurité des renseignements personnels en apportant des modifications importantes à plusieurs lois et en redéfinissant ce qu’est un renseignement personnel sensible.
Obtenir le consentement pour l’utilisation des renseignements personnels tant au niveau de l’usager que de l’utilisation des données pour tous types de demandes (recherche, fondation, équipement électronique, etc.).
Obliger les organisations à mettre en place des politiques et pratiques pour la gouvernance de ces renseignements : collecte, utilisation, communication, accès, rectification.
Par exemple, saviez-vous qu’il est obligatoire de déclarer tous incidents de confidentialité impliquant un renseignement personnel présentant un risque sérieux de préjudice?
3. Loi 25 : Évaluation des facteurs de risques à la vie privée (ÉFVP)
Depuis le 22 septembre 2022, il est obligatoire pour les organisations publiques dont l’ICM de procéder à une ÉFVP avant de communiquer des renseignements personnels sans le consentement des personnes concernées pour tous projets d’étude, de recherche ou de production de statistiques.
Les organisations devront également mener une ÉFVP pour tout projet d’acquisition, de développement, de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels et avant de communiquer un renseignement personnel à l’extérieur du Québec.
L’ÉFVP doit contenir, entre autres, la liste des renseignements sensibles concernés, la finalité de l’utilisation, le support sur lequel se trouve les renseignements et la durée de conservation.
4. Loi 25 : Renseignement personnel vs renseignement personnel sensible
En plus d’apporter des modifications importantes à plusieurs lois, la loi 25 propose également une nouvelle définition de renseignement personnel : « est un renseignement personnel, tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier » et ce, quel que soit le support ou le format applicable. Un renseignement personnel est sensible lorsque de par sa nature, notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée. Par exemple : le nom, la race, l’âge, la religion, l’état matrimonial, la taille, le groupe sanguin, la signature vocale, les empreintes digitales, le courriel peuvent tous devenir des renseignements personnels sensibles. Plusieurs dispositions seront mises en place pour soutenir ces changements.
Vous pouvez nous adresser vos questions à l’adresse suivante: prp.icm@icm-mhi.org
Responsable de la protection des renseignement personnels :
Annie Arsenault
Institut de Cardiologie de Montréal
Tél: 514-376-3330 #3244
Fax: 514-593-2576
Courriel : Annie.Arsenault@icm-mhi.org