Loi québécoise sur les renseignements de santé et de services sociaux : qu'en est-il des fournisseurs de services?

Quid de l’impact de l’entrée en vigueur de la loi québécoise sur les renseignements de santé et de services sociaux?

À la suite de notre article décrivant plus en détail les nouveautés découlant de l’entrée en vigueur de la Loi sur les renseignements de santé et de services sociaux (la « Loi ») au Québec et ses impacts sur les organismes du secteur de la santé et des services sociaux (les « OSSS »), nous nous concentrerons maintenant sur l’impact de l’entrée en vigueur de la Loi dans la situation où un OSSS fait appel à un fournisseur de services qui ne rend pas de services de santé et de services sociaux, mais à qui des renseignements de santé et de services sociaux (des « RSSS ») devront être communiqués.

Si votre entreprise doit traiter des RSSS dans le cadre de ses activités et/ou si certains de vos clients se qualifient d’OSSS au sens de la Loi, mais que vous ne rendez pas vous-mêmes des services de santé ou de services sociaux, certaines dispositions de la Loi seront probablement applicables à votre relation contractuelle avec ce client. Il est donc primordial de bien connaître les impacts potentiels sur vos activités avant de faire affaire avec un client se qualifiant d’OSSS au sens de la Loi.

Le premier élément à considérer dans la situation où un OSSS doit vous transmettre des RSSS pour permettre la fourniture de vos services est le critère de nécessité. En effet, la Loi prévoit qu’un OSSS ne peut communiquer un RSSS que s’il est nécessaire à l’exercice d’un mandat ou à l’exécution d’un contrat.

Afin de respecter cette exigence, il vous est recommandé d’évaluer la réelle nécessité pour votre entreprise de recevoir la communication de RSSS ou de se voir octroyer l’accès à ces renseignements, suivant les critères établis par les tribunaux et les directives de la Commission d’accès à l’information.

Si le RSSS n’est pas réellement nécessaire afin de rendre vos services, il vaut mieux s’abstenir de le recevoir et de l’utiliser afin de limiter vos risques. Dans chaque cas, demandez-vous s’il est possible de rendre vos services avec le moins d’informations possibles et si ces informations peuvent être dénominalisées ou anonymisées avant de vous être transmises.

Afin d’être valide, le mandat ou le contrat avec l’OSSS doit être conclu sous la forme d’un écrit.

Il doit aussi inclure les dispositions suivantes :

Les dispositions de la Loi qui s’appliquent aux RSSS communiqués dans le cadre du contrat;

Les mesures que votre entreprise doit prendre pendant la durée du contrat pour s’assurer : du respect de la confidentialité des RSSS; de la protection des RSSS conformément aux règles de gouvernance et aux règles particulières définies par le dirigeant réseau de l’information; et que les RSSS ne seront utilisés que pour la réalisation du mandat ou l’exécution du contrat.

Les obligations devant être respectées par votre entreprise, soit : avant toute communication, transmettre à l’OSSS un engagement de confidentialité complété par toute personne à qui un RSSS peut être communiqué ou qui peut l’utiliser dans l’exercice du mandat ou pour l’exécution du contrat; utiliser uniquement des produits ou services technologiques autorisés par l’OSSS pour recueillir, conserver, utiliser ou communiquer le RSSS lorsque le mandat est exercé ou le contrat exécuté à distance; aviser le responsable de la protection des renseignements de l’OSSS sans retard de toute violation ou tentative de violation par toute personne de l’une des obligations relative à la protection des RSSS prévues au contrat; permettre à l’OSSS d’effectuer des vérifications ou de faire une enquête relative à la protection des RSSS; transmettre à l’OSSS tout renseignement obtenu ou produit dans l’exercice du mandat ou dans l’exécution du contrat, sans frais et chaque fois qu’il le demande; et ne pas conserver les RSSS une fois le mandat terminé et les détruire de façon sécuritaire.

En tant que fournisseur de services d’un OSSS, avant de faire affaire avec un sous-traitant pour la réalisation du mandat ou pour l’exécution du contrat, vous devez en aviser l’OSSS par écrit et vous assurer que votre sous-traitant sera soumis aux mêmes obligations que votre entreprise. Il est donc important de s’assurer d’avoir en place les procédures et la documentation appropriées afin d’être en mesure de divulguer la liste de vos sous-traitants à l’OSSS. Votre contrat avec vos sous-traitants doit également respecter les modalités prévues par la Loi.

Enfin, l’OSSS qui souhaite confier un mandat ou conclure un contrat qui implique une communication de RSSS hors du Québec doit réaliser une évaluation des facteurs relatifs à la vie privée (« EFVP »). Le mandat ne peut être confié ou le contrat conclu que si l’EFVP démontre que le RSSS bénéficierait d’une protection adéquate, notamment au regard des principes de protection des renseignements personnels généralement reconnus. L’entente entre votre entreprise et l’OSSS doit tenir compte des résultats de l’EFVP et, le cas échéant, des modalités convenues dans le but d’atténuer les risques identifiés dans le cadre de l’EFVP.

Dans la situation où vos services impliquent une communication de RSSS à l’extérieur du Québec et considérant l’obligation pour vos clients qui se qualifient d’OSSS, il pourrait être pertinent de réaliser vous-même une EFVP en amont aux fins d’efficacité, qui pourra être fournie à vos clients actuels ou potentiels à leur demande. De plus, il faudra s’assurer que l’entente contractuelle en place reflète les résultats de cette EFVP.

L’article a été publié à l’origine sur le site de Robic.

À propos des auteures

Tara D’aigle-Curley est avocate spécialisée dans les questions de droit à la vie privée, de protection des renseignements personnels, d’accès à l’information et des technologies de l’information chez Robic. Elle est membre et Co-Présidente du chapitre KnowledgeNet (pour la ville de Québec) de l’international Association of Privacy Professionals (IAPP).

Ariane Ohl-Berthiaume est avocate spécialisée dans les questions de droit à la vie privée, de protection des renseignements personnels, de cybersécurité et de technologies de l’information.

Elle s’est jointe à l’équipe de ROBIC après avoir agi comme avocate et responsable de la protection des renseignements personnels dans une compagnie québécoise en pleine croissance spécialisée en cybersécurité.