ARTICLE
30 July 2024

Loi Québécoise Sur Les Renseignements De Santé Et De Services Sociaux : Qu'en Est-Il Des Fournisseurs De Services?

R
ROBIC

Contributor

ROBIC logo
Explore
Cet article est le second d'une série de deux publications sur le thème de la nouvelle loi québécoise sur les renseignements de santé et de services sociaux.
Canada Food, Drugs, Healthcare, Life Sciences
Photo of Tara D’aigle-Curley
Photo of Ariane Ohl-Berthiaume
Authors
To print this article, all you need is to be registered or login on Mondaq.com.

Cet article est le second d'une série de deux publications sur le thème de la nouvelle loi québécoise sur les renseignements de santé et de services sociaux.

À la suite de notre article décrivant plus en détail les nouveautés découlant de l'entrée en vigueur de la Loi sur les renseignements de santé et de services sociaux1 (la « Loi  ») au Québec et ses impacts sur les organismes du secteur de la santé et des services sociaux (les « OSSS »), nous nous concentrerons maintenant sur l'impact de l'entrée en vigueur de la Loi dans la situation où un OSSS fait appel à un fournisseur de services qui ne rend pas de services de santé et de services sociaux, mais à qui des renseignements de santé et de services sociaux (des « RSSS ») devront être communiqués.

Si votre entreprise doit traiter des RSSS dans le cadre de ses activités et/ou si certains de vos clients se qualifient d'OSSS au sens de la Loi, mais que vous ne rendez pas vous-mêmes des services de santé ou de services sociaux, certaines dispositions de la Loi seront probablement applicables à votre relation contractuelle avec ce client. Il est donc primordial de bien connaître les impacts potentiels sur vos activités avant de faire affaire avec un client se qualifiant d'OSSS au sens de la Loi.

Le premier élément à considérer dans la situation où un OSSS doit vous transmettre des RSSS pour permettre la fourniture de vos services est le critère de nécessité. En effet, la Loi prévoit qu'un OSSS ne peut communiquer un RSSS que s'il est nécessaire à l'exercice d'un mandat ou à l'exécution d'un contrat.2 Afin de respecter cette exigence, il vous est recommandé d'évaluer la réelle nécessité pour votre entreprise de recevoir la communication de RSSS ou de se voir octroyer l'accès à ces renseignements, suivant les critères établis par les tribunaux et les directives de la Commission d'accès à l'information. Si le RSSS n'est pas réellement nécessaire afin de rendre vos services, il vaut mieux s'abstenir de le recevoir et de l'utiliser afin de limiter vos risques. Dans chaque cas, demandez-vous s'il est possible de rendre vos services avec le moins d'informations possibles et si ces informations peuvent être dénominalisées ou anonymisées avant de vous être transmises.

Afin d'être valide, le mandat ou le contrat avec l'OSSS doit être conclu sous la forme d'un écrit.3 Il doit aussi inclure les dispositions suivantes4 :

  • Les dispositions de la Loi qui s'appliquent aux RSSS communiqués dans le cadre du contrat;
  • Les mesures que votre entreprise doit prendre pendant la durée du contrat pour s'assurer :
    • du respect de la confidentialité des RSSS;
    • de la protection des RSSS conformément aux règles de gouvernance et aux règles particulières définies par le dirigeant réseau de l'information5; et
    • que les RSSS ne seront utilisés que pour la réalisation du mandat ou l'exécution du contrat.
  • Les obligations devant être respectées par votre entreprise, soit :
    • avant toute communication, transmettre à l'OSSS un engagement de confidentialité complété par toute personne à qui un RSSS peut être communiqué ou qui peut l'utiliser dans l'exercice du mandat ou pour l'exécution du contrat;
    • utiliser uniquement des produits ou services technologiques autorisés par l'OSSS pour recueillir, conserver, utiliser ou communiquer le RSSS lorsque le mandat est exercé ou le contrat exécuté à distance;
    • aviser le responsable de la protection des renseignements de l'OSSS sans retard de toute violation ou tentative de violation par toute personne de l'une des obligations relative à la protection des RSSS prévues au contrat;
    • permettre à l'OSSS d'effectuer des vérifications ou de faire une enquête relative à la protection des RSSS;
    • transmettre à l'OSSS tout renseignement obtenu ou produit dans l'exercice du mandat ou dans l'exécution du contrat, sans frais et chaque fois qu'il le demande; et
    • ne pas conserver les RSSS une fois le mandat terminé et les détruire de façon sécuritaire.

En tant que fournisseur de services d'un OSSS, avant de faire affaire avec un sous-traitant pour la réalisation du mandat ou pour l'exécution du contrat, vous devez en aviser l'OSSS par écrit et vous assurer que votre sous-traitant sera soumis aux mêmes obligations que votre entreprise.6 Il est donc important de s'assurer d'avoir en place les procédures et la documentation appropriées afin d'être en mesure de divulguer la liste de vos sous-traitants à l'OSSS. Votre contrat avec vos sous-traitants doit également respecter les modalités prévues par la Loi.

Enfin, l'OSSS qui souhaite confier un mandat ou conclure un contrat qui implique une communication de RSSS hors du Québec doit réaliser une évaluation des facteurs relatifs à la vie privée (« EFVP »).7 Le mandat ne peut être confié ou le contrat conclu que si l'EFVP démontre que le RSSS bénéficierait d'une protection adéquate, notamment au regard des principes de protection des renseignements personnels généralement reconnus. L'entente entre votre entreprise et l'OSSS doit tenir compte des résultats de l'EFVP et, le cas échéant, des modalités convenues dans le but d'atténuer les risques identifiés dans le cadre de l'EFVP.

Dans la situation où vos services impliquent une communication de RSSS à l'extérieur du Québec et considérant l'obligation pour vos clients qui se qualifient d'OSSS, il pourrait être pertinent de réaliser vous-même une EFVP en amont aux fins d'efficacité, qui pourra être fournie à vos clients actuels ou potentiels à leur demande. De plus, il faudra s'assurer que l'entente contractuelle en place reflète les résultats de cette EFVP.

Finalement, si vous avez des doutes quant aux implications de la Loi sur votre relation d'affaires avec vos clients, notamment dans quelle mesure la Loi s'applique à vos activités ou à celles de vos clients, nous vous recommandons de contacter notre équipe afin de vous assurer de respecter vos obligations à cet égard. N'hésitez donc pas à contacter les membres de notre groupe Protection des données, vie privée et cybersécurité pour toute question relative à la Loi ou à tout autre sujet lié à la protection des renseignements personnels.

Footnotes

1. R-22.1 – Loi sur les renseignements de santé et de services sociaux (gouv.qc.ca)

2. R-22.1 – Loi sur les renseignements de santé et de services sociaux (gouv.qc.ca). article 77.

3. R-22.1 – Loi sur les renseignements de santé et de services sociaux (gouv.qc.ca), article 77.

4. R-22.1 – Loi sur les renseignements de santé et de services sociaux (gouv.qc.ca), article 77, 90 et 97.

5. Le dirigeant réseau de l'information est désigné par le ministre et définit, à l'endroit des organismes, des règles particulières applicables en matière de gestion des renseignements qu'ils détiennent. (R-22.1 – Loi sur les renseignements de santé et de services sociaux (gouv.qc.ca), articles 97 et suivants.)

6. R-22.1 – Loi sur les renseignements de santé et de services sociaux (gouv.qc.ca), article 77.

7. R-22.1 – Loi sur les renseignements de santé et de services sociaux (gouv.qc.ca), articles 45 et 78.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of Tara D’aigle-Curley
Tara D’aigle-Curley
Photo of Ariane Ohl-Berthiaume
Ariane Ohl-Berthiaume
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More