Publications Retour au bulletin

PROJET DE LOI N° 3 : COMMENT RÉCONCILIER SANTÉ ET PROTECTION DES DONNÉES ?

2023-03-02

Vanessa Deschênes1 et Victor Fahey2
ROBIC, S.E.N.C.R.L.
1 Avocate et leader de pratique, 2 Stagiaire en droit

Le 9 février 2023, l’Assemblée nationale a adopté le principe du Projet de loi n° 3 : Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives (« PL 3 »). Le PL 3, présenté par le ministre de la Cybersécurité et du Numérique Éric Caire, reprend les grandes lignes du Projet de loi 19[1] (« PL 19 ») lequel est mort au feuilleton de la dernière session parlementaire.

Selon le ministre Caire, l’objectif du PL 3 est de moderniser la protection des renseignements personnels en santé tout en s’assurant de développer un système de santé efficient[2]. À la lumière des mesures d’urgence prises par le ministère de la Santé durant la pandémie de Covid-19 pour augmenter la mobilité des données, le PL 3 souhaite pérenniser ces mesures pour augmenter la qualité de l’information et en fin de compte, la qualité des soins offerts aux patients du réseau.

À l’aube de l’étude détaillée en commission parlementaire, cet article résume ce qu’est un renseignement de santé et de services sociaux (« RSSS »), à quels acteurs du réseau de la santé ce Projet de loi s’applique et offre un avant-goût des travaux en commission à la lumière du débat de principe et des consultations publiques du Projet.

Qu’est-ce qu’un RSSS ?

D’abord, le PL 3 définit les RSSS comme suit :

« est un [RSSS] tout renseignement qui permet, même indirectement, d’identifier une personne et qui répond à l’une des caractéristiques suivantes :

1. il concerne l’état de santé physique ou mentale de cette personne et ses facteurs déterminants, y compris les antécédents médicaux ou familiaux de la personne ;

2. il concerne tout matériel prélevé sur cette personne dans le cadre d’une évaluation ou d’un traitement, incluant le matériel biologique, ainsi que tout implant ou toute orthèse, prothèse ou autre aide suppléant à une incapacité de cette personne ;

3. il concerne les services de santé ou les services sociaux offerts à cette personne, notamment la nature de ces services, leurs résultats, les lieux où ils ont été offerts et l’identité des personnes ou des groupements qui les ont offerts ;

4. il a été obtenu dans l’exercice d’une fonction prévue par la Loi sur la santé publique (chapitre S-2.2) ;

5. toute autre caractéristique déterminée par règlement […]

De plus, un renseignement permettant l’identification d’une personne tels son nom, sa date de naissance, ses coordonnées ou son numéro d’assurance maladie est un [RSSS] lorsqu’il est accolé à un renseignement visé au premier alinéa ou qu’il est recueilli en vue de l’enregistrement, de l’inscription ou de l’admission de la personne concernée dans un […] organisme du secteur de la santé et des services sociaux.

[Malgré les alinéas précédents], un renseignement qui concerne un membre du personnel d’un organisme du secteur de la santé et des services sociaux […] n’est pas un [RSSS] lorsqu’il est recueilli à des fins de gestion des ressources humaines. »

[Nos soulignements]

Le PL3 reprend donc une définition davantage inspirée de la Loi 25, contrairement à la définition proposée dans le PL19. En effet, tout renseignement qui permet d’identifier directement ou indirectement une personne, au sens du PL 3, est similaire au critère de la Loi 25 qui s’applique aux données de personnes identifiées et identifiables.

Cette nuance dans la définition du PL 3 est importante : elle assure notamment une protection accrue des RSSS traités à l’aide d’algorithmes d’intelligence artificielle dans le réseau de la santé. Désormais, à l’aide de l’intelligence artificielle, il est possible de réidentifier des individus à l’aide de bribes de données ou de données anonymisées. En s’appliquant aux renseignements identifiant indirectement les patients, le PL 3 protège davantage la vie privée de ceux-ci.

Les acteurs concernés et leurs obligations

Acteurs du PL 3 : les organismes de la santé et des services sociaux (OSSS)

Le PL 3 s’applique à tout organisme de la santé et des services sociaux (OSSS). L’article 4 qualifie d’OSSS notamment les acteurs suivants :

  1. « Le ministère de la Santé et des Services sociaux ;
  2. Une personne ou un groupement visé à l’annexe I ou à l’annexe II [par exemple la RAMQ, l’INSPQ, les cabinets professionnels privés, les résidences pour personnes âgées, les laboratoires, etc.] […]
  3. Une personne ou un groupement qui n’est pas déjà visé au présent article et qui conclut avec un organisme du secteur de la santé et des services sociaux visé au paragraphe 2° […] une entente visant la prestation de services de santé ou de services sociaux pour le compte de cet organisme ;
  4. Toute autre personne ou tout autre groupement déterminé par règlement […] »

Toutefois, notons au passage qu’une personne ou un groupement mentionné au point 3 ci-dessus n’est considéré un OSSS que pour ses activités liées à la prestation de services de santé ou de services sociaux pour le compte de cet organisme.

En pratique, cette vaste définition d’un OSSS signifie que le PL 3 s’applique à la quasi-totalité du secteur public et privé du réseau de la Santé québécois. Ainsi, tous les acteurs du réseau de la santé devront se conformer au PL 3, incluant notamment des cabinets de télémédecine ainsi que de grands centres hospitaliers universitaires, tels que le CHUM ou le CUSM.

Obligations des OSSS :

Le PL 3, comme son prédécesseur le PL 19, attribue à chaque OSSS des responsabilités en matière de protection des RSSS. D’entrée de jeu, le PL 3 oblige tout OSSS à préserver la confidentialité des RSSS et de ne les communiquer que dans des circonstances prévues par la loi[3]. De plus, tout OSSS ne peut recueillir que les RSSS nécessaires à l’exercice de ses fonctions, de ses activités ou à la mise en place d’un programme[4].

Avant de collecter tout RSSS, l’organisme doit en termes clairs et simples informer la personne des éléments suivants :

« 1° du nom de l’organisme qui recueille ce renseignement ou pour qui il est recueilli ;

2° des fins pour lesquelles ce renseignement est recueilli ;

3° des moyens par lesquels ce renseignement est recueilli ;

4° de son droit d’avoir accès à ce renseignement et de le faire rectifier ;

5° de la possibilité de restreindre ou de refuser l’accès à ce renseignement en application des articles 7 ou 8 ainsi que des modalités selon lesquelles elle peut manifester sa volonté à cet effet ;

6° de la durée de conservation de ce renseignement ; »

Le 5e point de cette liste est un ajout du PL 3 et renvoie à un thème central du projet, le consentement. Selon le PL 3, toute personne peut refuser qu’un RSSS soit transféré, communiqué ou soit autrement accessible notamment par leur conjoint ou par un chercheur pour des fins de recherche[5]. En obligeant les OSSS à informer les utilisateurs du réseau de la santé de ce droit de refus, le PL 3 vient bonifier le contrôle que ces utilisateurs ont sur leurs RSSS.

Travaux en commission à venir :

Utilisation des RSSS pour fins de recherche sans consentement :

À sa dernière mouture, le PL 19 avait fait couler beaucoup d’encre puisqu’il permettait aux chercheurs d’accéder aux RSSS sans le consentement des personnes concernées, et ce malgré un processus d’autorisation encadré par ce projet. Dans la dernière version du PL 3, cette possibilité existe encore[6] et l’intention du ministre Caire est de la conserver[7]. Toutefois, son processus de réglementation est plus clairement établi dans le PL 3.

  1. Le droit d’un utilisateur de refuser qu’un RSSS soit communiqué, si exercé, empêche l’utilisation pour fins de recherche sans son consentement[8].
  2. Le chercheur doit rédiger un rapport expliquant en détail ses activités et faire une évaluation des facteurs relatifs à la vie privée[9]
  3. Ce rapport doit être approuvé par l’OSSS concerné.

Par l’entremise de ce processus, le ministre souhaite ainsi concilier protection des RSSS et assurer un système de santé innovant[10].

Mobilité des données : le mot d’ordre pour l’étude en commission ?

Avant l’étude du projet par la Commission des finances publiques, plusieurs acteurs du réseau de la santé ont participé aux consultations publiques du PL 3. Dans le cadre de celles-ci, le ministre a réitéré que la mobilité des données, c’est-à-dire la facilité avec laquelle des données peuvent être communiquée entre différents acteurs du réseau, était un enjeu important pour son projet.

À cet effet, le 31 janvier 2023, le ministre a mentionné considérer des amendements aux articles 65, 72 et 82 du PL 3 pour augmenter le degré de mobilité des données dans le réseau de la santé[11]. Ces articles permettent aux OSSS de communiquer des RSSS à autrui uniquement dans des situations prévues par la loi[12], et ce sous plusieurs conditions[13]. En pratique, si un amendement touchait à l’un ou la totalité de ces articles, l’OSSS aurait une plus grande facilité à communiquer des RSSS tout en protégeant ceux-ci. Il reste à voir si cette ouverture se transformera en amendement concret.

Conclusion :

En conclusion, le PL 3 reprend les grandes lignes du PL 19, mais clarifie plusieurs points autant sur sa définition d’un RSSS, sur les responsabilités des organismes, l’utilisation de RSSS pour fins de recherche et sur l’importance de la mobilité des données au sein du réseau de la santé. Alors que la commission parlementaire débute son étude détaillée du projet, il sera intéressant de surveiller comment le PL 3 réussira à concilier efficience du réseau de la santé et protection des renseignements personnels.

Pour toute question sur le PL 3 et ses impacts sur votre organisation, n’hésitez pas à consulter nos professionnels spécialisés de notre secteur Protection des données, vie privée et cybersécurité !

[1] Voir notre article précédent sur le PL 19 : « Projet de loi no19 : une petite révolution dans le domaine des données médicales », disponible ici.

[2] Allocution du ministre Caire sur le principe, 11h30

[3] PL3, Art. 5

[4] PL3, Art. 13

[5] PL3, Art. 7 et 8.

[6] PL3, Art. 39-40

[7] Débat sur l’adoption du principe, 11h

[8] PL3, Art 39.

[9] PL3, Art 40.

[10] Consultations publiques 31 janvier 2023, 11h30

[11] Consultations publiques, 31 janvier 2023, 10h

[12] PL3, Art 65

[13] PL3, Art 72, 82