Nouvelles obligations en matière de protection des renseignements personnels
La loi 25 entraîne de nouvelles obligations, qui concernent notamment les cabinets de professionnels. Découvrez lesquelles entrent en vigueur dès le 22 septembre prochain.
Sanctionnée le 22 septembre 2021, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (loi 25, anciennement projet de loi no64) apporte des modifications importantes aux lois sur la protection des renseignements personnels. Elle vise à resserrer les règles applicables en la matière afin d’offrir aux personnes un meilleur contrôle sur leurs renseignements personnels, tout en reflétant l’environnement technologique actuel.
Les modifications apportées par la loi 25 ont une incidence sur les entreprises privées, y compris les cabinets de professionnels1.
Nouvelles obligations s’appliquant aux cabinets de professionnels à compter du 22 septembre 2022
La réforme se réalisera en trois temps, soit entre septembre 2022 et 2024. À compter du 22 septembre prochain, les obligations suivantes entreront en vigueur :
- Vous devez nommer une personne responsable de la protection des renseignements personnels au sein du cabinet et diffuser son nom et ses coordonnées dans le site Web du cabinet. En l’absence de site Web, cette information doit être rendue accessible par tout autre moyen approprié. La personne ayant la plus haute autorité au sein du cabinet a l’obligation d’exercer cette fonction ou de la déléguer par écrit à une autre personne.
- Vous devez aviser la Commission d’accès à l’information (CAI) et la personne concernée de tout incident de confidentialité impliquant un renseignement personnel et présentant un risque de préjudice sérieux. Vous devez également tenir un registre des incidents de confidentialité, devant être fourni à la CAI sur demande. La loi définit l’incident de confidentialité comme étant l’accès non autorisé par la loi à un renseignement personnel, l’utilisation ou la communication non autorisées par la loi d’un tel renseignement, la perte de ce renseignement ou toute autre atteinte à sa protection.
Pour en savoir davantage à ce sujet, consultez cette page du site Web de la CAI. - Vous devez tenir compte du nouvel encadrement de la communication de renseignements personnels sans le consentement de la personne concernée, à des fins d’étude, de recherche ou de production de statistiques, ou dans le cadre d’une opération commerciale. En tant que médecin, vos obligations déontologiques demeurent les mêmes et viennent rehausser la protection accordée aux renseignements personnels que vous détenez.
- Vous devrez divulguer à la CAI la création d’une banque de caractéristiques ou de mesures biométriques au plus tard 60 jours avant sa mise en service. Un avis devra également être transmis à la CAI avant d’utiliser toute technique biométrique permettant de vérifier ou de confirmer l’identité d’une personne. Cette technique ne peut être utilisée sans le consentement exprès de la personne concernée.
Pour en savoir davantage à ce sujet, consultez cette page du site Web de la CAI.
Formation et outils
Dans le but de faciliter cette transition, le Conseil interprofessionnel du Québec (CIQ) offre une formation en ligne sur les changements entraînés par la loi 25, adaptée à la réalité et aux particularités de la pratique professionnelle.
La page « Espace évolutif – Projet de loi 64 » de la CAI propose un survol des principales modifications apportées à la loi selon les dates d’entrée en vigueur, une présentation des nouvelles dispositions par thèmes, ainsi que de nombreux outils s’adressant notamment aux entreprises privées.
À surveiller
Une autre réforme législative pourrait venir changer la donne. En effet, le projet de Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives (projet de loi no19) a été présenté en décembre 2021 sans être adopté. Il vise à établir un cadre juridique unique pour les renseignements de santé, applicable à l’ensemble des professionnelles et professionnels de la santé, qu’ils exercent dans le secteur public ou privé. Le Collège demeure à l’affût afin de vous informer de l’évolution de ce dossier et de ses répercussions sur vos obligations.
1 La loi 25 modifie les deux lois suivantes : la Loi sur la protection des renseignements personnels dans le secteur privé et la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels.