Accès à l’information et protection des renseignements personnels

Le 21 septembre 2021, le gouvernement du Québec a adopté la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, communément appelée « Loi 25 », laquelle modifie notamment la Loi sur la protection des renseignements personnels dans le secteur privé.

De nouvelles obligations s’appliquent donc aux entreprises des secteurs public et privé situées au Québec, en l’occurrence aux cliniques dentaires, lesquelles doivent apporter des changements importants quant à la cueillette, à la communication et à la conservation des renseignements personnels concernant les employés, les professionnels et les patients.

Ces obligations entreront en vigueur graduellement sur une période de trois ans, dont certaines à compter du 22 septembre 2022 et d’autres en septembre 2023 et en septembre 2024.

Bien que la majorité des nouvelles obligations entreront en vigueur en septembre 2023, les cliniques dentaires doivent dès maintenant mettre en place les mesures requises pour se conformer aux obligations qui entreront en vigueur en septembre 2022, d’où le présent communiqué.

D’autres informations vous seront communiquées afin de vous renseigner sur les obligations qui entreront en vigueur en 2023 et en 2024.

Tout renseignement qui concerne une PERSONNE PHYSIQUE et qui permet de L’IDENTIFIER, soit DIRECTEMENT ou INDIRECTEMENT.

Exemples :

• Nom et prénom
• Date de naissance
• Adresse postale
• Adresse courriel
• Numéro de téléphone
• Numéro d’assurance maladie
• Numéro de carte de crédit
• Numéro de compte bancaire
• Renseignements médicaux
• Renseignements financiers

Un renseignement qui, PAR SA NATURE, notamment médicale, biométrique ou autrement intime, ou en raison du CONTEXTE DE SON UTILISATION OU DE SA COMMUNICATION suscite un HAUT DEGRÉ D’ATTENTE RAISONNABLE en matière de vie privée.

Exemples :

• Numéro d’assurance maladie
• Numéro de carte de crédit
• Numéro de compte bancaire
• Renseignements médicaux

OUI, la Loi 25 s’applique à toutes les cliniques dentaires, sans égard à la taille ou au nombre d’employés, de professionnels ou de patients. Elle vise tous les renseignements détenus, et ce, sans égard à la nature, au support et à la forme – écrite, graphique, sonore, visuelle, informatisée ou autres –, ce qui comprend notamment les dossiers d’employés ou de patients en format papier ou numérique, les photographies ainsi que les images radiologiques.

Deux obligations doivent retenir plus particulièrement l’attention des cliniques dentaires d’ici le 22 septembre 2022.

Ces obligations sont :

• DÉSIGNATION D’UNE PERSONNE RESPONSABLE de la protection des renseignements personnels au sein de la clinique dentaire et PUBLICATION de ses coordonnées sur le site Web de la clinique ou, le cas échéant, par tout autre moyen approprié qui permettra de les rendre accessibles, par exemple une affiche bien en vue à la réception ou dans la salle d’attente de la clinique.
• GESTION DES INCIDENTS DE CONFIDENTIALITÉ
  • Impliquant un renseignement personnel ne comportant PAS de risque sérieux de préjudice :
    • TENIR un registre des incidents pour tous les incidents;
• COMPORTANT UN RISQUE SÉRIEUX DE PRÉJUDICE pour la personne concernée par les renseignements :
  • TENIR un registre des incidents pour tous les incidents;
  • INFORMER la Commission d’accès à l’information du Québec (CAI) et les personnes concernées.

• Le « responsable » est la personne ayant la plus haute autorité au sein d’une entreprise.
• Il est possible de déléguer, en tout ou en partie, les fonctions du responsable à une autre personne, dentiste ou non, qu’elle travaille ou non à la clinique dentaire. Cette délégation devra se faire par écrit.
• S’il choisit de deléguer sa responsabilité, le responsable devra s’assurer que les coordonnées de la personne à qui il la délègue sont rendues disponibles.

Dans le cas d’une clinique dentaire, le responsable pourrait être le ou l’un des propriétaires de la clinique.

• Le responsable possède l’expertise nécessaire en matière d’accès à l’information et de protection des renseignements personnels pour exercer cette fonction.
• À défaut, le responsable devra suivre une formation portant sur la protection des renseignements personnels, y compris sur les modifications à la Loi 25.

À titre informatif, une telle formation est offerte sur la plateforme Dentoform de l’Ordre des dentistes.

Le titre et les coordonnées du responsable doivent être publiés et être accessibles sur le site Web de la clinique dentaire d’ici le 22 septembre 2022.

À défaut de site Web, la clinique dentaire doit s’assurer de les rendre accessibles par tout autre moyen approprié, soit par affichage dans la salle d’attente ou à la réception de la clinique.

• Le principal rôle du responsable consiste à s’assurer que la clinique dentaire respecte toutes les obligations légales encadrant la gestion et la protection des renseignements personnels.
• Le responsable exercera un rôle actif dans la gestion des renseignements personnels et devra maîtriser les politiques et pratiques en cette matière en tenant compte des nouvelles exigences de la Loi 25.

Exemples non exhaustifs du rôle de la personne responsable :

• Recevoir les demandes d’accès.
• Établir et mettre en œuvre les politiques et pratiques qui encadrent la gestion des renseignements personnels (règles de conservation et de destruction, rôles et responsabilités des membres du personnel de la clinique, processus de traitement des plaintes).
• Établir et mettre en œuvre les politiques et pratiques qui encadrent la gestion des incidents de confidentialité.
• Participer à la gestion des incidents et, en présence d’un risque sérieux, procéder au processus de notification auprès de la CAI et des personnes concernées.
• Contribuer à la sensibilisation et à la formation du personnel de la clinique relativement à la protection des renseignements personnels.

La notion « d’incident de confidentialité » est définie dans la Loi 25 comme étant l’accès, l’utilisation ou encore la communication non autorisée par la loi d’un renseignement personnel, la perte ou toute autre atteinte à la protection d’un tel renseignement.

L’incident de confidentialité peut résulter d’un geste volontaire ou involontaire commis par une personne à l’interne (membre du personnel de la clinique) ou à l’externe (sous-traitant, prestataire de services, fournisseur, pirate informatique, etc.).

L’incident de confidentialité peut prendre plusieurs formes, notamment :

• une intrusion dans le système informatique;
• un hameçonnage ou une attaque par rançongiciel;
• le déploiement de logiciels malveillants;
• une perte de données informatique provoquée par un virus ou une faille informatiques;
• une extraction de données informatiques par un employé ou une personne non autorisée;
• un envoi électronique à une mauvaise adresse courriel;
• la perte d’un courrier par un service de messagerie ou l’envoi à une mauvaise adresse;
• la perte ou le vol d’un ordinateur portable.

La clinique dentaire doit mettre en œuvre la politique à respecter en présence de TOUT incident de confidentialité, c’est-à-dire lorsque des renseignements personnels sont communiqués sans droit à des tiers.