Êtes-vous prêt pour septembre 2023?
Nouvelles obligations concernant la protection des renseignements personnels
Comme vous l’a déjà signalé, une nouvelle loi (la «Loi 25» ) impose des obligations additionnelles à toutes les organisations et entreprises du Québec en matière de protection des renseignements personnels, y compris les cabinets optométriques.
Déjà, depuis septembre 2022, les cabinets optométriques doivent se conformer à certaines obligations. À compter de septembre 2023, de nouvelles obligations s’ajouteront, de même qu’en septembre 2024.
Les optométristes qui sont responsables du fonctionnement d’un cabinet (propriétaires/associés) ou d’un regroupement devraient accorder une attention particulière aux informations diffusées par la Commission d’accès à l’information au sujet des obligations en question. Sans être aussi exhaustifs, nous proposons ici un tableau récapitulatif identifiant les principales obligations qui sont particulièrement importantes pour les cabinets:
Principales obligations découlant de la Loi 25 applicables aux cabinets optométriques
DEPUIS LE 22 SEPTEMBRE 2022
Personne responsable au sein du cabinet
Obligation pour la personne ayant la plus haute autorité au sein du cabinet (si le cabinet est exploité par une société par actions, il pourrait s’agir du président du conseil d’administration) d’exercer la fonction de responsable de la protection des renseignements personnels ou de la déléguer par écrit à une autre personne. Il faut publier les coordonnées du responsable, sur le site Internet du cabinet notamment.
Incident de confidentialité
Obligation d’aviser la Commission d’accès à l’information (CAI) et la personne concernée de tout incident de confidentialité impliquant un renseignement personnel présentant un risque sérieux de préjudice et de tenir un registre devant être fourni à la CAI sur demande.
Par exemple, la perte du dossier d’un patient ou d’un employé ou une intrusion non autorisée dans le serveur du cabinet pourrait être un incident de confidentialité.
Voir la fiche développée par la CAI à ce sujet.
Communication sans consentement de la personne concernée
Nouvel encadrement de la communication de renseignements personnels sans le consentement de la personne concernée, à des fins d’étude, de recherche ou de production de statistiques ou dans le cadre d’une opération commerciale.
À noter toutefois que dans le cas des patients, il faut tenir compte de l’obligation au secret professionnel. Pour les fins indiquées, il y aurait donc lieu d’anonymiser les renseignements en question avant de les communiquer.
Caractéristiques ou mesures biométriques
Selon la CAI, les mesures ou caractéristiques biométriques peuvent notamment concerner « la rétine et l’iris de l’œil », donc par exemple les photos rétiniennes des patients qui sont ainsi des renseignements personnels et qui sont susceptibles d’être protégés par le secret professionnel.
Compte tenu du caractère sensible de ces renseignements, il y a des règles particulières à ce sujet qui sont rehaussées par la Loi 25, soit notamment lorsqu’ils sont utilisés à des fins de vérification ou de confirmation d’identité, ce qui requiert un avis à la CAI et l’autorisation de la personne concernée.
À COMPTER DU 22 SEPTEMBRE 2023
Adoption et diffusion de politiques
Obligation du cabinet de mettre en œuvre des politiques et des pratiques encadrant la gouvernance des renseignements personnels et de publier des informations détaillées au sujet de celles-ci.
Transparence
Nouvelles obligations de transparence, comme celles :
- de publier une politique de confidentialité rédigée en des termes simples et clairs si vous recueillez par un moyen technologique des renseignements personnels et d’aviser les personnes concernées de ses mises à jour;
- d’informer la personne lors du recours à une technologie d’identification, de localisation ou de profilage et des moyens offerts pour activer ces fonctions.
Évaluation à réaliser avant certains projets
Obligation de réaliser une évaluation des facteurs relatifs à la vie privée dans certaines situations, comme lors d’un projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels ou encore, avant de communiquer à l’extérieur du Québec un renseignement personnel.
Voir le guide produit par la CAI à ce sujet.
Décision rendue sur la base d’un traitement automatisé
Obligation d’informer les personnes concernées avant que soit rendue une décision fondée exclusivement sur un traitement automatisé et de leur laisser la possibilité de faire valoir leurs observations auprès d’une personne du cabinet pour obtenir une révision de la décision.
Il faut toutefois noter ici que, de façon générale, sur le plan déontologique, la pratique optométrique ne devrait pas conduire à ce qu’une décision (prescription d’un traitement par exemple) se fonde exclusivement sur un traitement automatisé de données. L’optométriste doit lui-même traiter les données obtenues à l’aide d’un instrument automatisé suivant son jugement professionnel avant de rendre une décision concernant un patient.
Consentement
Nouvelles règles entourant le consentement pour la collecte et les diverses utilisations de renseignements personnels qui doit être demandé à des fins spécifiques, en des termes simples et clairs, etc.
Il faut donc se méfier des demandes de consentement formulées en des termes trop généraux auprès des patients ou du personnel ou encore, des documents rédigés de manière trop complexe.
Mineur de moins de 14 ans
Nouvelles conditions entourant la collecte de renseignements personnels auprès d’un mineur de moins de 14 ans, qui exige le consentement du titulaire de l’autorité parentale ou du tuteur, sauf lorsque cette collecte est manifestement au bénéfice de ce mineur.
On note toutefois que dans le cas de la prestation de services optométriques à un mineur de moins de 14 ans, l’exigence du consentement du titulaire de l’autorité parentale ou du tuteur est déjà généralement incontournable au plan déontologique.
Processus de deuil
Il sera possible de communiquer au conjoint ou à un proche parent d’une personne décédée un renseignement personnel que le cabinet détient concernant cette personne, si la connaissance de ce renseignement est susceptible d’aider le requérant dans son processus de deuil et que la personne décédée n’a pas consigné par écrit son refus d’accorder ce droit d’accès.
À noter toutefois que dans le cas des patients, il faut également tenir compte de l’obligation au secret professionnel.
Sanctions
En cas d’infraction à la loi, la CAI aura le pouvoir d’imposer des sanctions administratives pécuniaires. À titre d’exemple, ces sanctions pourraient atteindre 2 % du chiffre d’affaires ou 10 millions de dollars. Il faut noter toutefois que, selon les circonstances, il pourrait être possible de s’engager auprès de la CAI à prendre les mesures nécessaires pour remédier à l’infraction ou en atténuer les conséquences. Avec l’approbation de la CAI et selon les conditions qu’elle peut fixer, il pourrait alors être possible d’échapper aux sanctions administratives. Un cadre général d’application des sanctions administratives pécuniaires sera éventuellement rendu public par la CAI.
À COMPTER DU 22 SEPTEMBRE 2024
Portabilité des renseignements
Droit à la portabilité des renseignements personnels, dans un format technologique structuré et couramment utilisé, soit un format que des applications logicielles d’usage courant peuvent facilement reconnaître et avec lesquelles il est possible d’extraire les informations qui y sont contenues.
Il peut par exemple s’agir des formats Word (docx ou doc) ou PDF pour les documents textes ou du format JPEG (jpg) pour les images. À moins que cela ne soulève des difficultés pratiques sérieuses, un patient pourrait donc exiger que son dossier lui soit communiqué suivant l’un de ces formats, pour qu’il puisse le consulter avec le logiciel de son choix
POUR EN SAVOIR PLUS SUR LA LOI 25
Voir notamment les informations diffusées par la Commission d’accès à l’information.
Il peut également y avoir lieu de consulter des professionnels et des experts en matière juridique, de technologie de l’information, de gestion documentaire, etc., pour s’assurer que les processus mis en place dans votre cabinet sont conformes.
OBLIGATIONS DÉONTOLOGIQUES ET RÉGLEMENTAIRES SPÉCIFIQUES AUX OPTOMÉTRISTES
En plus des obligations prévues par la Loi sur le secteur privé, telles que modifiées par la Loi 25, les optométristes doivent respecter leurs obligations professionnelles en matière de tenue de dossier et de secret professionnel, notamment celles prévues par le Code de déontologie des optométristes et par le Règlement sur la tenue du dossier optométrique.
À noter que la Loi 25 modifie également la loi applicable dans le secteur public et concerne donc notamment les milieux universitaires et les centres de réadaptation dans lesquels exercent certains optométristes. Dans ces cas toutefois, il y a généralement des responsables désignés pour mettre en œuvre les nouvelles mesures exigées. Les optométristes qui exercent dans ces milieux peuvent prendre contact avec ces responsables pour avoir plus d'informations à ce sujet.
Projet de loi 3: Une nouvelle loi pour les renseignements de santé est adoptée
L’Assemblée nationale du Québec a procédé en mars dernier à l’adoption du projet de loi 3, soit la Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives. Lorsqu’elle sera en vigueur, cette loi s’appliquera à la plupart des organisations qui recueillent et utilisent des renseignements de santé, autant dans le secteur public que dans le secteur privé. Elle s’appliquera donc aux cabinets optométriques. Elle remplacera les lois actuellement applicables en la matière (y compris les dispositions de la Loi 25).
On ne sait pas encore quand les dispositions de cette nouvelle loi entreront en vigueur. Toutefois, puisqu’elle est convergente sous plusieurs aspects avec les nouvelles exigences de la Loi 25, les optométristes devraient poursuivre leurs efforts visant la conformité avec cette dernière. L’Ordre vous tiendra bien sûr informés des développements à ce sujet.