Publications Retour au bulletin

Projet de loi no19 : Une petite révolution dans le domaine des données médicales

Projet de loi no19 : Une petite révolution dans le domaine des données médicales

Jean-François Normand[a]
ROBIC, S.E.N.C.R.L.
Avocats, agents de brevets et de marques de commerce

Le 3 décembre dernier, le Ministre de la Santé et des Services sociaux, Monsieur Christian Dubé a présenté en chambre le Projet de loi 19 – Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives – (« PL19 »)[1] lequel modernise significativement la gestion des renseignements personnels au sein du système de santé et des services sociaux.

L’objectif du PL19 : établir un cadre juridique spécifique aux renseignements de santé et de services sociaux (les « RSSS ») afin de (i) protéger les données des individus et (ii) déterminer qui pourra utiliser ces RSSS et sous quelles conditions. Ce dernier point étant particulièrement important, puisque le PL19 prévoit que, sous certaines conditions, les RSSS pourront être utilisés sans le consentement de la personne concernée, même à d’autres fins que celles auxquelles ils ont été recueillis (notamment à des fins de recherche).

Il s’agit certainement d’une réforme imposante : le PL19 prévoit la création d’un système national de dépôt de RSSS, ainsi que divers registres panquébécois, afin de faciliter l’accès et la tenue des dossiers des usagers du système de santé et de services sociaux. On vise à pousser le projet du Dossier santé Québec – dont la loi constitutive est abrogée par le PL19[2] – plus loin, afin de pallier le problème d’information qui a participé notamment à la crise dans les CHSLD et à la difficile gestion de la pandémie de Covid-19[3].

La définition d’un renseignement de santé et de services sociaux

Le premier apport du PL19 est de définir ce qu’est un RSSS[4], puisque cette définition est absente tant dans la loi sur le Dossier Québec[5] que dans la Loi sur les services de santé et les services sociaux[6] :

« […] est un [RSSS] tout renseignement détenu par un organisme du secteur de la santé et des services sociaux qui concerne une personne, qu’il permette ou non de l’identifier, et qui répond à l’une des caractéristiques suivantes :

1° il concerne l’état de santé physique ou mentale de cette personne et ses facteurs déterminants, y compris ses antécédents médicaux ou familiaux;

2° il concerne tout matériel prélevé dans le cadre d’une évaluation ou d’un traitement, incluant le matériel biologique, ainsi que tout implant, orthèse, prothèse ou autre aide suppléant à une incapacité de cette personne;

3° il concerne les services de santé ou les services sociaux offerts à cette personne, notamment la nature de ces services, leurs résultats, les lieux où ils ont été offerts et l’identité des personnes ou des organismes qui les ont offerts;

4° il a été obtenu dans l’exercice d’une fonction prévue par la Loi sur la santé publique (chapitre S-2.2);

5° toute autre caractéristique déterminée par règlement du gouvernement.

Malgré le premier alinéa, n’est pas un [RSSS] un renseignement qui concerne un membre du personnel de l’organisme ou un professionnel qui y exerce sa profession, […], lorsqu’il a été recueilli par cet organisme à des fins de gestion des ressources humaines.

De plus, un renseignement permettant l’identification d’une personne tels son nom, sa date de naissance, ses coordonnées, son numéro d’assurance maladie ou tout autre renseignement de même nature est un [RSSS] lorsqu’il est accolé à un renseignement visé au premier alinéa ou qu’il est recueilli en vue de l’enregistrement, de l’inscription ou de l’admission de la personne concernée […] ».

[Nos soulignements]

On note que, contrairement à la définition « classique » de renseignements personnels au sens des lois en matière de protection de la vie privée[7], est un RSSS un renseignement visé à l’un ou l’autre des alinéas 1 à 5, qu’il permette ou non d’identifier un individu. Il s’agit d’une distinction particulièrement importante, puisqu’il est maintenant possible avec des algorithmes d’intelligence artificielle de réidentifier un individu à partir de certaines données médicales prétendument anonymes

À qui s’applique le PL19?

L’application du PL19 est large. En effet, est assujetti à la loi tout organisme de santé et de services sociaux (un « OSSS »), ce qui inclut [8]:

  1. Le ministère de la Santé et des Services sociaux;
  2. Une personne qui œuvre dans le secteur de la santé et des services sociaux visé à l’annexe I ou à l’annexe II (ex. cabinet privé de professionnel, centre médical spécialisé, centre de procréation assistée, résidence privée pour aînés, maison de soins palliatifs, etc.);
  3. Un établissement de santé et de services sociaux institué en vertu de la Loi sur les services de santé et les services sociaux[9];
  4. Une personne qui conclut avec un établissement mentionné aux alinéas 2 et 3, une entente visant la prestation, pour le compte de cet organisme, de certains services de santé ou services sociaux, mais uniquement à l’égard de ses activités liées à cette prestation de services; et
  5. Toute autre personne déterminée par règlement.

En résumé, la grande majorité des personnes et organismes qui œuvrent dans le domaine de la santé et des services sociaux sera assujettie au PL19 (exception faite des pharmacies privées et des cliniques de soins alternatifs). Cela signifie également que les fournisseurs de plateformes numériques accessoires à la fourniture de services de santé et de services sociaux (par exemple les plateformes de dossiers de patients en ligne) seront eux aussi assujettis au PL19.

Il est également important de mentionner que le PL19 vient retirer les RSSS de l’application de la Loi sur la protection des renseignements personnels dans le secteur privé ainsi que de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels[10][11], afin d’en faire un régime juridique distinct.

La protection des RSSS

Le PL19 attribue à chaque OSSS la responsabilité de la protection des RSSS qu’il collecte[12]; ce qui n’est pas une mince tâche. L’OSSS se voit donc soumis à des règles de protection des données qui sont similaires à celles que l’ont retrouve dans la législation en matière de protection des renseignements personnels (notamment celle de nommer un responsable de la protection des RSSS[13]), ce pour lesquelles les OSSS ne sont pas, à ce jour, nécessairement bien outillés.

Or la meilleure manière de protéger des renseignements, c’est de ne pas les collecter initialement. À cet égard, le Gouvernement poursuit la même philosophie de minimisation des données du projet de loi 64[14] et prévoit qu’un OSSS ne peut recueillir que les RSSS nécessaires à la réalisation de sa mission[15].

Avant qu’un OSSS ne recueille des RSSS auprès d’un individu, il doit informer ce dernier[16] :

  1. du nom de l’organisme qui recueille ce renseignement ou pour qui il est recueilli;
  2. des fins auxquelles ce renseignement est recueilli;
  3. des moyens par lesquels ce renseignement est recueilli;
  4. de son droit d’accéder à ce renseignement et de le rectifier; et
  5. de la durée de conservation de ce renseignement.

Ces éléments se retrouveront généralement dans la politique de confidentialité et/ou dans la politique de gouvernance des RSSS dont chaque OSSS est tenu de se doter[17]. Nous attirons votre attention sur l’alinéa 2, puisque les RSSS ne peuvent être utilisés qu’aux fins auxquelles ils ont été recueillis[18]. Certaines exceptions s’appliquent à cette limitation, notamment si l’utilisation est faite à des fins compatibles (c’est-à-dire qu’il y a un lien pertinent et direct avec les fins auxquelles le RSSS a été recueilli), si son utilisation est manifestement au bénéfice de la personne concernée, lorsque l’utilisation est nécessaire à l’application d’une loi du Québec ou pour des fins de saine gestion d’un établissement de santé et de service sociaux mentionné à l’annexe I (ex. Régie de l’assurance maladie, Institut national de santé publique du Québec). Il sera donc bien important, lors de la rédaction de la politique de confidentialité et de la politique de gouvernance, de recenser toutes les utilisations qui seront faites des RSSS collectés et d’en informer les individus.

Nouvel outil pour la recherche

Les nouvelles dispositions qui permettent l’utilisation des RSSS sans le consentement de la personne concernée[19] à des fins de recherche est un aspect du PL19 qui devrait faire couler beaucoup d’encre. Bien que le processus de demande d’accès à des RSSS pour des fins de recherche soit bien encadré[20], il n’en demeure pas moins que les chercheurs issus du milieu tant public que privé pourront avoir accès à cette volumineuse base de données. Bien que plusieurs restrictions soient imposées aux chercheurs issus du privé – le tout géré par le nouveau centre d’accès pour la recherche[21] – il n’en demeure pas moins qu’il s’agit là d’un tout nouvel outil qui devrait favoriser grandement la recherche dans le domaine de la santé au Québec.

Conclusion

En conclusion, il faudra voir comment l’implantation du PL19 sera faite d’un point de vue opérationnel, notamment quant à la fluidité de l’échange de RSSS. En effet, les systèmes de gestion de dossiers ne permettent pas, à ce jour, que l’ensemble des RSSS détenus par un OSSS soit facilement accessible à l’externe. Cela étant dit, il s’agit d’une réforme longtemps attendue (tout particulièrement par les chercheurs en technologie médicale) et bien avenue.

Pour toute question relative au PL19, n’hésitez pas à communiquer avec notre équipe du secteur Protection des données, Vie privée et Cybersécurité.


© CIPS, 2021.

[a] Jean-François Normand est avocat chez ROBIC, S.E.N.C.R.L., un cabinet multidisciplinaire d’avocats et d’agents de brevets et de marques de commerce.

[2] Loi concernant le partage de certains renseignements de santé, RLRQ ch. P-9.0001

[3] Tel que mentionné par Monsieur le Ministre lors du dépôt.

[4] PL19, art. 2

[5] Loi concernant le partage de certains renseignements de santé, supra note 2

[6] Loi sur les services de santé et les services sociaux, RLRQ c S-4.2

[7] Voir notamment la Loi sur la protection des renseignements personnels et les documents électroniques L.C. 2000, ch. 5, art. 2 et la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1, art. 2

[8] PL19, art. 4

[9] Supra note 6

[10] Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ c. A-2.1

[11] Respectivement, PL19 articles 174 et 123

[12] PL19, art. 51

[13] PL19, art. 52

[14]  Projet de Loi n° 64 Loi modernisant des dispositions législatives en matière de protection des renseignements personnels

[15] PL19, art 10.

[16] PL19, art. 11

[17] PL19, art. 54

[18] PL19, art. 12

[19] PL19, art. 30. À noter que les individus ont la possibilité de refuser l’accès à un renseignement la concernant lorsque le projet de recherche est fait par le privé en vertu du paragraphe 30(3). 

[20] PL 19, art. 31 (chercheur lié à un OSSSS) et 32 (non relié à un OSSSS).

[21] PL19, art 62