Politique de confidentialité
La Loi sur les renseignements de santé et de services sociaux, (LRSSS) est en vigueur depuis le 1er juillet 2024. Cette loi a pour objectif d’établir des normes qui assurent la protection des renseignements de santé et de services sociaux. Elle vise également à améliorer la qualité des services offerts en simplifiant la circulation des renseignements durant le parcours de soins d’une personne.
Elle institue un modèle de gouvernance transparent, responsable et imputable pour les intervenants et les organismes du réseau de la santé.
Vous pouvez nous adresser vos questions à l’adresse suivante: prp.icm@icm-mhi.org
Formulaires
Ressources
- Loi sur les renseignement de santé et de services sociaux
- Loi sur l’accès à l’information et la protection des renseignements personnels dans les organismes publics
- Loi concernant le cadre juridique des technologies de l’information
- Charte des droits et libertés du Québec
- Commission d’accès à l’information du Québec
Responsable de la protection des renseignements personnels :
Annie Arsenault
Téléphone : 514 376-3330, poste 3244
Télécopieur : 514 593-2576
Courriel : annie.arsenault@icm-mhi.org
Capsules d'informations
La Loi 25 adoptée le 21 septembre 2021 entraine des changements significatifs concernant la protection des renseignements personnels, dont des modifications importantes au niveau de la Loi sur l’accès aux documents dans les établissements de santé ainsi que sur la protection des renseignements personnels. La loi 25 modifie et ajoute plusieurs droits aux patients afin de refléter la réalité d’aujourd’hui. Les établissements de santé ont quant à eux de nouvelles obligations au niveau de la protection des données patients.
L’entrée en vigueur des différentes dispositions de cette Loi s’échelonne progressivement sur une période de trois ans depuis le 22 septembre 2021, jusqu’au 22 septembre 2024.
Tout au long de l’année à venir, des « capsules » mensuelles paraîtront dans « l’Info ICM ». Vous y retrouverez des explications sur la Loi 25 et vos nouvelles obligations en matière de protection des renseignements personnels.
Par exemple, saviez-vous que pour obtenir accès à des renseignements personnels sans le consentement du patient, une étude des facteurs relatifs à la vie privée (EFVP) est désormais obligatoire?
La Loi 25 adoptée en septembre 2021 vise les 3 objectifs suivants :
Assurer la protection et la sécurité des renseignements personnels en apportant des modifications importantes à plusieurs lois et en redéfinissant ce qu’est un renseignement personnel sensible.
Obtenir le consentement pour l’utilisation des renseignements personnels tant au niveau de l’usager que de l’utilisation des données pour tous types de demandes (recherche, fondation, équipement électronique, etc.).
Obliger les organisations à mettre en place des politiques et pratiques pour la gouvernance de ces renseignements : collecte, utilisation, communication, accès, rectification.
Par exemple, saviez-vous qu’il est obligatoire de déclarer tous incidents de confidentialité impliquant un renseignement personnel présentant un risque sérieux de préjudice?
Depuis le 22 septembre 2022, il est obligatoire pour les organisations publiques dont l’ICM de procéder à une ÉFVP avant de communiquer des renseignements personnels sans le consentement des personnes concernées pour tous projets d’étude, de recherche ou de production de statistiques.
Les organisations devront également mener une ÉFVP pour tout projet d’acquisition, de développement, de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels et avant de communiquer un renseignement personnel à l’extérieur du Québec.
L’ÉFVP doit contenir, entre autres, la liste des renseignements sensibles concernés, la finalité de l’utilisation, le support sur lequel se trouve les renseignements et la durée de conservation.
En plus d’apporter des modifications importantes à plusieurs lois, la loi 25 propose également une nouvelle définition de renseignement personnel : « est un renseignement personnel, tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier » et ce, quel que soit le support ou le format applicable. Un renseignement personnel est sensible lorsque de par sa nature, notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée. Par exemple : le nom, la race, l’âge, la religion, l’état matrimonial, la taille, le groupe sanguin, la signature vocale, les empreintes digitales, le courriel peuvent tous devenir des renseignements personnels sensibles. Plusieurs dispositions seront mises en place pour soutenir ces changements.
Saviez-vous qu’avec la mise en place de la Loi 25, les organismes publics ont l’obligation de tenir un registre des incidents de confidentialité?
Voici des exemples d’incident de confidentialité : accès non autorisé, utilisation, perte ou communication d’un renseignement sans le consentement du patient.
Si on a un motif de croire qu’un incident de confidentialité impliquant un renseignement personnel se produit, l’ICM doit prendre les mesures pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature se produisent.
La demande pour recueillir le consentement d’une personne doit être formulée en termes simples et clairs, adaptée aux personnes à qui elle est destinée et présentée de façon distincte. La personne doit comprendre sans équivoque ce à quoi elle consent. La demande doit inclure, entres autres, le contexte et les objectifs, les bénéfices et les risques de donner ou non un consentement.
Le consentement doit être manifeste, libre, éclairé et donné à des fins spécifiques. Aussi, la durée doit être liée à la réalisation des fins auxquelles le consentement est demandé.
Les renseignements sensibles suscitent un haut degré d’attente raisonnable en matière de vie privée et la loi sur l’accès introduit un cadre légal plus rigoureux lors d’une communication avec un consentement.
La loi 25 encadre l’utilisation des renseignements personnels (rp) détenus par les organismes publics en prévoyant, notamment, qu’ils ne peuvent être utilisés qu’aux fins pour lesquelles ils ont été recueillis et avec le consentement de la personne concernée. Cependant, une exception s’applique lorsque les rp sont nécessaires aux fins d’études, de recherche ou de production de statistiques. La loi permet alors à un organisme public d’utiliser les rp qu’il a collectés sur une personne à une autre fin que celle prévue initialement, avec ou sans le consentement de la personne concernée. Avant de communiquer les renseignements demandés, toutes demandes devront être évaluées par l’équipe de protection des renseignements personnels et une évaluation des facteurs relatifs à la vie privée sera menée, selon les besoins.
Depuis le 22 septembre 2023, l’article 70.1 de la Loi sur l’accès oblige tous les organismes à procéder à une évaluation des facteurs relatifs à la vie privée avant de communiquer des renseignements personnels à l’extérieur du Québec.
La communication pourra s’effectuer si l’évaluation démontre que le renseignement bénéficierait d’une protection équivalente à celle offerte au Québec.
Lorsque les données sont conservées à l’extérieur du Québec, un avis juridique émis par un avocat canadien est requis afin de s’assurer du caractère adéquat et des garanties appropriées pour la protection de nos données.