3 octobre 2024

CAI: Capsules d'information pour les entreprises en lien avec la protection des renseignements personnels

La Commission d'accès à l'information du Québec publie des capsules à l'intention des entreprises et organisations privées pour les aider à mieux comprendre leurs obligations en matière de protection des renseignements personnels.

Ces capsules abordent les thèmes suivants:
- Est-ce que mon organisation est concernée ?
- Qu’est-ce qu’il faut protéger ?
- Comment assurer la gestion des renseignements personnels
- Quels renseignements personnels peuvent être collectés ?
- À quelles conditions les renseignements personnels peuvent-ils être utilisés ?
- Comment et jusqu’à quand faut-il conserver les renseignements personnels ?
- À quelles conditions est-il possible de communiquer des renseignements personnels ?
- Comment s’assurer de l’accord des personnes ?
- Que faire en cas d’incident touchant des renseignements personnels ?
- Comment déployer des technologies dans le respect de la loi ?
- Comment réfléchir à la protection des renseignements personnels dès le début d’un projet ?
- Quelles demandes peuvent être reçues en lien avec la protection des renseignements personnels ?
- Quel est le rôle de la Commission en matière de protection des renseignements personnels ?

Elles ont été réalisées en collaboration avec l’Association des professionnels en accès à l’information et en protection de la vie privée (AAPI).

Lien vers les capsules: https://www.cai.gouv.qc.ca/protection-renseignements-personnels/information-entreprises-privees/capsules-video

22 septembre 2024

Droit à la portabilité

22 septembre 2024: Entrée en vigueur du droit à la portabilité au Québec tant en vertu de la Loi sur l’accès (1) que de la Loi sur le secteur privé (2).
Ainsi, toute personne qui souhaite obtenir, dans un format technologique structurée et couramment utilisé, un renseignement personnel informatisé qu’elle a fourni à un organisme public ou à une entreprise peut désormais en faire la demande.
Elle peut aussi leur demander à ce que ce renseignement soit transmis à toute personne ou tout organisme autorisé à le recueillir.

(1) Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels: art. 84 … pour aller plus loin, voir notamment la section dédiée à ce droit sur le site de la Commission d’accès à l’information ou encore sur la section du portail du Gouvernement - Secrétariat à la réforme des institutions démocratiques, à l’accès à l’information et à la laïcité.

(2) Loi sur la protection des renseignements personnels dans le secteur privé: art. 27 … pour aller plus loin, voir notamment la section dédiée à ce droit sur le site de la Commission d’accès à l’information

1 juillet 2024

Loi 5 sur les renseignements personnels de santé et de services sociaux

Alors que la Loi 25 est venue moderniser le cadre juridique applicable à la protection des renseignements personnels dans son ensemble, la Loi 5 (ou RLRQ c. R-22.1), qui entre en vigueur ce 1er juillet 2024, s’applique spécifiquement aux renseignements de santé et de services sociaux détenus par un organisme du secteur de la santé et des services sociaux. (Voir Communiqué du Cabinet du ministre de la Santé du 12 juin 2024).

Cette notion (art. 2) vise « tout renseignement qui permet, même indirectement, d’identifier une personne et qui répond à l’une des caractéristiques suivantes:

  1. il concerne l’état de santé physique ou mentale de cette personne et ses facteurs déterminants, y compris les antécédents médicaux ou familiaux de la personne;
  2. il concerne tout matériel prélevé sur cette personne dans le cadre d’une évaluation ou d’un traitement, incluant le matériel biologique, ainsi que tout implant ou toute orthèse, prothèse ou autre aide suppléant à une incapacité de cette personne;
  3. il concerne les services de santé ou les services sociaux offerts à cette personne, notamment la nature de ces services, leurs résultats, les lieux où ils ont été offerts et l’identité des personnes ou des groupements qui les ont offerts;
  4. il a été obtenu dans l’exercice d’une fonction prévue par la Loi sur la santé publique (chapitre S-2.2);
  5. toute autre caractéristique déterminée par règlement du gouvernement. »
De plus, il est précisé qu’ « un renseignement permettant l’identification d’une personne tels son nom, sa date de naissance, ses coordonnées ou son numéro d’assurance maladie est un renseignement de santé et de services sociaux lorsqu’il est accolé à un renseignement visé au premier alinéa ou qu’il est recueilli en vue de l’enregistrement, de l’inscription ou de l’admission de la personne concernée dans un établissement ou de sa prise en charge par un autre organisme du secteur de la santé et des services sociaux. »
 
Dans le but d’assurer la protection de ces renseignements, la Loi 5 a notamment pour objet (art. 1) :
  • d’établir des normes en ce sens, tout en permettant l’optimisation de l’utilisation qui en est faite et leur communication en temps opportun, à l’exclusion de leur vente ou de toute autre forme d’aliénation ;
  • d’établir différentes possibilités d’accès à ces renseignements et de prévoir les cas et les conditions dans lesquels ils peuvent être utilisés au sein d’un organisme du secteur de la santé et des services sociaux ou communiqués dans le cadre de ces accès ou autrement ;
  • d’instituer un modèle de gouvernance fondé sur la transparence ainsi que sur la responsabilité et l’imputabilité des intervenants et des organismes du secteur de la santé et des services sociaux.
Pour ce faire, la Loi 5 met l’accent sur les notions de nécessité (art. 13), de responsabilité (art. 99), de consentement (art. 6 et s.), d’informations à transmettre aux personnes concernées au moment de la collecte de leurs renseignements, incluant en cas de recours à une technologie comprenant des fonctions permettant de les identifier, de les localiser ou encore d’effectuer un profilage de celles-ci (art. 14 et 15). Elle prévoit également, entre autres :
  • les droits d’accès et de rectification reconnus aux personnes concernées, mais aussi à certaines personnes qui leur sont liées (mineur, majeur inapte, défunt) ou encore les modalités d’accès de certaines personnes, à savoir les intervenants et les chercheurs (art. 17 à 61) - voir Règlement d’application de certaines dispositions de la Loi sur les renseignements de santé et de services sociaux publié le 12 juin 2024 ("Règlement d’application").
  • les modalités relatives à l’utilisation des renseignements au sein d’un organisme (art. 62 et s.), mais aussi à la communication des renseignements qu’il détient (art. 66 et s.) notamment lorsque celle-ci est nécessaire à l’exercice d’un mandat ou à l’exécution d’un contrat de service ou d’entreprise (art. 77). Elle précise que si ce mandat ou ce contrat implique une communication de renseignements à l’extérieur du Québec, une évaluation des facteurs relatifs à la vie privée doit être réalisée préalablement (art. 78).
La Loi 5 contient aussi des dispositions en lien avec, entre autres :
  • les mesures de sécurité qu’un organisme doit prendre, incluant la journalisation des accès (art. 99, 103) ;
  • le rôle et les responsabilités du responsable de la protection des renseignements (art. 100 et s.) ;
  • la politique de gouvernance des renseignements détenus par un organisme (art. 105) – il est précisé que le ministre de la Santé et des Services sociaux ("ministre") définit, par règlement, les règles encadrant la gouvernance des renseignements : voir Règlement sur la gouvernance des renseignements de santé et de services sociaux publié le 12 juin 2024.
  • les évaluations de facteurs relatifs à la vie privée qu’un organisme doit réaliser pour tout projet d’acquisition, de développement et de refonte de produits ou services technologiques ou de système de prestation électronique de services impliquant des renseignements (art. 106) ;
  • l’inscription dans un registre de tout produit ou service technologique utilisé (art. 107) - il est précisé qu’un règlement du gouvernement doit déterminer la teneur de registre : voir Règlement d’application.
  • les incidents de confidentialité (art. 108 à 110) qui devront s'ils présentent un risque de préjudice sérieux être déclaré, avec diligence, au ministre et à la Commission d'accès à l'information ("CAI"), mais aussi à toute personne dont un renseignement est concerné par l’incident - il est précisé qu’un règlement du gouvernement doit déterminer le contenu et les modalités des avis à transmettre au ministre, à la CAI et aux personnes concernées, ainsi que la teneur du registre qu’un organisme doit tenir en pareille situation : voir Règlement d’application.
  • la conservation, la destruction et l’anonymisation des renseignements (art. 16 et 111).
La Loi 5 précise enfin les fonctions et les pouvoirs de la CAI en la matière, incluant le montant des amendes pouvant être prononcées en cas d’infractions (art. 112 et s.).