PL 3 : ce qu’il faut savoir

Par Soleïca Monnier, avocate, Fasken et Mathieu Kiriakos, Étudiant à l'École du Barreau

L’individu a un intérêt « vital » dans ce qui est fait avec ses données de santé, selon la Cour Suprême du Canada.[1] Au Québec, il possède des droits d’accès prévus dans la LSSSS.[2] Afin de renforcer, de faciliter l’accès et d’encadrer la protection qui est accordée aux renseignements de santé et de services sociaux (ci-après « RSSS »), le ministre de la Cybersécurité et du Numérique, Éric Caire, a déposé le 7 décembre dernier le Projet de loi 3 (ci-après « PL 3 »).[3] Le projet de loi étant officiellement sanctionné le 4 avril 2023 (la date d’aujourd’hui!), il est opportun de décortiquer les objectifs, ainsi que les dispositions importantes de la nouvelle Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives.[4]

Objectifs du PL 3

Des données sur la santé qui « suivent le patient » en temps réel et de façon sécuritaire : tel est l’aspiration du PL 3 déposé à l’Assemblée nationale par le ministre Éric Caire.[5] L’objectif principal du PL 3 est d’assurer la protection des RSSS détenus par des organismes du secteur de la santé et des services sociaux[6] tout en permettant l’optimisation de leur utilisation, ainsi que leur communication en temps opportun. Le PL 3 vise également à doter le Québec d’un cadre législatif unique pour les RSSS, en plus de créer un nouveau « système national de dépôt de renseignements », qui remplacera le Dossier santé Québec,[7] outil provincial sécurisé qui collecte et conserve certains renseignements de santé de toutes les personnes qui reçoivent des soins au Québec.

Le PL 3 permettrait notamment :

1) de définir les RSSS et de les rattacher aux patients plutôt qu’aux établissements dans lesquels les soins sont prodigués ;[8]

2) de cristalliser l’un des piliers principaux du Plan pour mettre en œuvre les changements nécessaires en santé dugouvernement du Québec en matière d’accès aux données ;[9]

3) de faciliter l’utilisation et la communication de RSSS à des chercheurs, autant dans le secteur public que privé, au Québec ou ailleurs, sous réserve des exigences juridiques prévues.[10]

Le PL 3 a également l’ambition de rassembler dans une loi unique toutes les dispositions sur l’accès et la protection des RSSS afin d’en clarifier l’application. Il introduit un régime distinct et sans application concomitante de la Loi sur l’accès.[11]

Points saillants

Le PL 3 édicte la Loi sur les renseignements de santé et de services sociaux et abroge la Loi concernant le partage de certains renseignements de santé. Un des changements majeurs amenés par cette loi est l’introduction d’une définition pour les RSSS. En effet, le PL 3 les définit comme : « tout renseignement au sujet d’une personne, qui permet directement ou indirectement de l’identifier et qui concerne l’état de santé physique ou mentale, ainsi que ses facteurs déterminants, des prélèvements effectués dans le cadre d’un traitement, des services offerts ou toute autre caractéristique prévue par la loi ou par règlement ».[12] Cet ajout est similaire au texte du Règlement européen général sur la protection des données.[13]

Ensuite, le Chapitre II du PL 3 établit plusieurs mesures devant être mises en place en matière de collecte et de conservation d’un RSSS. Le PL 3 reconnaît aussi différents droits aux usagers concernés, dont celui d’accéder à leurs RSSS et de les faire rectifier.[14] De plus, le PL 3 reconnaît des droits d’accès, d’utilisation et de communication des RSSS tout en affirmant que, lorsqu’il est possible d’utiliser ou de communiquer un tel renseignement sous une forme ne permettant pas d’identifier directement la personne concernée (c’est-à-dire dépersonnalisée), l’utilisation ou la communication doit se faire sous cette forme.[15]

De surcroît, les organismes devront respecter une politique encadrant leur gestion des RSSS, nommer un responsable à la protection des RSSS (à l’image du responsable de la protection des renseignements personnels dans les lois sur la protection des renseignements personnels)[16] et procéder à la journalisation des RSSS et à la surveillance des journaux créés.[17] Un gestionnaire des autorisations d’accès aux RSSS sera nommé au sein du ministère de la Santé et des Services Sociaux afin d’encadrer les autorisations d’accès aux RSSS, au besoin.

Le PL 3 semble également encourageant en ce qui concerne les systèmes de soins à domicile, qui sont une application particulièrement prometteuse des technologies de la santé.[18] En effet, le développement des méthodes de collecte de données, ainsi que le vieillissement de la population canadienne, ouvre la porte à des prestations de soins de santé de longue durée à la maison. Ces technologies (l’utilisation de la télé-santé, par exemple) s’accompagnent de défis importants en matière de conservation et de protection des renseignements personnels des usagers. »[19] Par exemple, si un télé-robot est intégré dans le système de santé après l’adoption de la loi, l’organisme devra inscrire le produit dans un registre et évaluer ses impacts sur la vie privée des personnes visées.[20] Le ministre pourra déterminer la liste des technologies certifiées pouvant être établie et utilisée dans la gestion des RSSS par les établissements de santé visés par le PL 3.[21]

Finalement, le PL 3 reprend plusieurs principes introduits par le Projet de loi 64 (désormais la « Loi 25 »)[22], notamment en ce qui concerne l’anonymisation des données, les incidents de confidentialité, ainsi que les mécanismes de gestion et de surveillance des organisations.[23]

Force de frappe 

Autre nouvelle d’intérêt : le PL 3 prévoit des infractions pénales au chapitre X. Les sanctions incluent des amendes de 1 000$ à 10 000$, dans le cas d’une personne physique, ou de 3000 $ à 30 000 $ dans les autres cas, lorsqu’il y’a contravention aux obligations de conservation ou de destruction des RSSS, comme le prévoit l’article 148.[24] Il est également obligatoire de déclarer les incidents de confidentialité à la Commission d’accès à l’information (ci-après « CAI »)[25]  et de ne pas entraver l’exercice des fonctions du gestionnaire délégué aux données numériques, [26] sous peine de recevoir une amende de même teneur.[27]

L’article 149 PL 3 prévoit également des amendes plus sévères de 5 000$ à 100 000$ pour les personnes physiques ou de 15 000 à 150 000$ dans les autres cas, lorsqu’il y’a communication d’un renseignement ou un procédé d’identification d’une personne physique à partir de renseignements dépersonnalisés ou anonymisés.[28] La nouvelle version du PL 3, tel qu’adopté le 29 mars 2023, ajoute également des sanctions lors de la vente, l’aliénation, ainsi que le recueil ou l’utilisation d’un renseignement en contravention avec la loi. Contrevenir à une ordonnance de la CAI ou entraver le déroulement d’une enquête ou d’une inspection est passible de la même sanction.[29]^*

Finalement, lorsqu’une infraction est commise par un administrateur ou un dirigeant d’une personne morale, le PL 3 prévoit que les montants minimal et maximal de l’amende sont le double de ceux prévus pour la personne physique pour cette infraction.[30]

Conclusion

Plusieurs acteurs ont déjà manifesté des réticences, notamment, la CAI qui se dit préoccupée par le positionnement du PL 3 qu’elle juge aller « trop loin en faveur d’une utilisation et d’une circulation maximale des renseignements » et qui a formulé 21 recommandations en étude détaillée pour l’améliorer.[31]  En date d’aujourd’hui, le PL 3 est officiellement sanctionné et les organismes du secteur de la santé et des services sociaux devront rester à l’affût afin de s’y conformer.

Malgré les nouvelles protections que le PL 3 propose, l’établissement d’un système national de dépôt de renseignements ainsi que l’utilisation de renseignements médicaux peuvent poser des enjeux de sécurité. En effet, plus le nombre de données accessibles est important, plus les croisements de données sont possibles, plus les risques de « réidentification » de données anonymisées sont grands.[32] En facilitant l’échange dans les différentes structures entre plusieurs acteurs, la réidentification du patient peut contribuer à briser le secret médical ou à permettre d’inférer des informations confidentielles, et donc de porter atteinte à la vie privée des patients.[33]

---

[1] McInerney v. MacDonald, (1992) 2 SCR 138, p. 146-148.

[2] Loi sur les services de santé et les services sociaux, RLRQ, c. S-4.2, art. 17.

[3] Éditeur officiel du Québec. (2002). PL 3 : Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives, 1^e session, 43^e législature.

[4] Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives, LQ 2023, c. 5.

[5] Gouvernement du Québec. (2022). Projet de loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives – Un meilleur accès aux renseignements de santé pour un réseau plus performant. https://www.quebec.ca/nouvelles/actualites/details/projet-de-loi-sur-les-renseignements-de-sante-et-de-services-sociaux-et-modifiant-diverses-dispositions-legislatives-un-meilleur-acces-aux-renseignements-de-sante-pour-un-reseau-plus-performant-44567

[6] La définition « d’organisme du secteur de la santé et des services sociaux » est prévue à l’art. 4 du PL 3.

[7] Art. 523 du PL 3.

[8] Art. 2 du PL 3.

[9] Gouvernement du Québec. (2022). Plan pour mettre en œuvre les changements nécessaires en santé. https://cdn-contenu.quebec.ca/cdn-contenu/gouvernement/MCE/memoires/Plan_Sante.pdf?1649257312

[10] Art. 39 et suivants du PL 3.

[11] Art. 161 du PL 3 et art. 2 de la Loi sur l’accès.

[12] Art. 2 du PL 3.

[13] RGPD, 2016/679, art. 4 (15) « données concernant la santé », les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».

[14] Chapitre III du PL 3.

[15] Art.5 du PL 3.

[16] Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1, art. 3.1.; Loi sur l’accès, art. 8.

[17] Art. 95 du PL 3.

[18] Cavoukian, A., Fisher, A., Killen, S., & Hoffman, D. A. (2010). Remote home health care technologies: How to ensure privacy? Build it in: Privacy by design. Identity in the Information Society, 3(2), 363-378.

[19] Bourassa Forcier, M., Tourangeau, D.-A., Feruzi, G., & Kiriakos, M. (2022). Introduction d’un télérobot en résidences privées : Enjeux légaux et organisationnels (2022s-08, CIRANO). https://doi.org/10.54932/OBPE9357

[20] Art. 98 et 99 du PL 3.

[21] Art. 84 du PL 3.

[22] Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, LQ 2021, c. 25.

[23] Art. 100, 103, 102, 104, 105, 105.1 et 106 du PL 3.

[24] Art. 148 du PL 3.

[25] La Commission est un tribunal administratif et un organisme de surveillance qui veille au respect des droits des citoyens à l’accès aux documents des organismes publics et à la protection de leurs renseignements personnels.

[26]Ses fonctions sont prévues dans la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement, RLRQ c G-1.03, voir notamment l’art. 12.13.

[27] Supranote 23.

[28] Art. 149 du PL 3.

[29] Id. Le tableau ci-dessous fait état des cas d’application associés aux articles 148 et 149.

[30] Art. 151 du PL 3.

*Un tableau résumant les infractions qui entrainent l’application des sanctions prévues par les articles 148 et 149 se retrouve à l’Annexe I.

[31] Commission d’accès à l’information. (2023). Projet de loi n° 3, Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives: Mémoire de la Commission d’accès à l’information présenté à la Commission des finances publiques dans le cadre des consultations particulières. https://www.cai.gouv.qc.ca/documents/CAI_M_projet_loi_3_RP_sante_et_services_sociaux.pdf

[32] Peugeot, V. (2018). Données de santé : contours d’une controverse. L’Économie politique, 80, 30-41.

[33] Abou El Kalam, A., Deswarte, Y., Trouessin, G., & Cordonnier, E. (2004). Gestion des données médicales anonymisées: problèmes et solutions. 2ème Conférence Francophone en Gestion et Ingénierie des Systèmes Hospitaliers (GISEH 2004), Mons (Belgique), 9-11.