AIDE MÉMOIRE
Important
L’Ordre des optométristes du Québec n’est pas l’organisme responsable de l’application des lois en matière de protection des renseignements personnels, cette responsabilité étant plutôt confiée à la Commission d’accès à l’information (CAI).
Toutefois, les obligations déontologiques des optométristes en matière de secret professionnel, de confidentialité et d’accès aux dossiers des patients sont évidemment convergentes avec celles prévues par ces lois. L’Ordre estime pertinent d’aider les optométristes dans leurs efforts visant à assurer la conformité de leurs cabinets en matière de protection des renseignements personnels, en fonction de l’ensemble des règles applicables.
Les informations données ci-après ne constituent pas un avis juridique ni des indications applicables à l’égard de chaque situation particulière d’un optométriste ou du cabinet dans lequel il exerce. En cas de doute, il y a lieu de consulter la CAI ou encore, un conseiller juridique. L’Ordre ne peut être tenu responsable de la conformité des optométristes et de leurs cabinets relativement aux exigences de ces lois.
1. Quelles lois s’appliquent aux optométristes?
Depuis plusieurs années, les optométristes et leurs cabinets, comme toutes les organisations publiques et privées, sont soumis à des obligations relatives à la protection des renseignements personnels, en plus de leurs obligations déontologiques à cet égard. Dans le cas des cabinets privés, ces obligations découlent notamment de la Loi sur la protection des renseignements personnels dans le secteur privé.
Suite à l’adoption de la Loi 25 en 2021, cette loi a été révisée et de nouvelles dispositions entrent en vigueur de façon progressive depuis. Les cabinets optométriques ont donc de nouvelles obligations en cette matière.
Les optométristes qui exercent dans les établissements de santé et de services sociaux et dans des organismes publics sont également soumis à de nouvelles règles qui sont spécifiques pour le secteur public et découlant de la Loi 25. Bien que plusieurs règles soient similaires, le présent document concerne uniquement les règles applicables aux cabinets optométriques du secteur privé. En cas de question concernant les règles applicables dans le secteur public, il faut consulter les responsables de l’établissement ou de l’organisme.
Enfin, il faut noter qu’en 2023, le législateur québécois a adopté une nouvelle loi (Loi 5) qui concernera tous les renseignements de santé une fois en vigueur et devrait éventuellement remplacer les lois actuelles et s’appliquer autant au secteur public que privé, dont les cabinets optométriques. Les mesures prises en fonction de la loi actuelle devraient demeurer pour la plupart pertinentes lorsque la Loi 5 entrera en vigueur, bien que certains ajustements pourraient être requis. L’Ordre vous tiendra informés à ce sujet.
2. Est-ce que tous les cabinets optométriques doivent se conformer aux mesures prévues par la loi?
Oui, chaque cabinet qui constitue une « entreprise », définie comme étant une ou plusieurs personnes exerçant une activité économique organisée consistant à la vente de bien ou la prestation de services, et ce, peu importe le statut de ces personnes (qu’elles soient associées, salariées, travailleurs autonomes, etc.), elles doivent se conformer à la loi.
Un cabinet peut parfois être exploité par plus d’une société (par exemple, une société par actions pour les examens et une société par actions pour la vente de produits ophtalmiques). Dans un tel cas, les mesures prises par le cabinet pour se conformer à la loi sont valables pour l’ensemble de ces sociétés.
Un cabinet indépendant peut parfois être franchisé ou membre d’un regroupement, mais le franchiseur ou le regroupement est généralement considéré comme une entreprise distincte. Ce franchiseur ou regroupement peut proposer des moyens utiles pour satisfaire aux obligations de la loi, mais il ne peut généralement pas s’acquitter des obligations du cabinet à sa place.
Par ailleurs, il se peut qu’un cabinet ou une entreprise du secteur oculovisuel dispose de plusieurs « points de services » (succursales, bureaux corporatifs, etc.). Auquel cas, les mesures pourraient être prises globalement pour l’ensemble des points de services qui forment une seule entreprise (par exemple, un seul responsable de la protection des renseignements personnels pour le « cabinet XYZ », qui exploite 3 points de services).
3. Quels sont les renseignements personnels détenus par les cabinets optométriques qui sont visés par la loi?
Il s’agit de tout renseignement concernant une personne physique et permettant, directement ou indirectement, de l’identifier. Par exemple, le nom et l’adresse d’une personne physique sont des renseignements personnels. Les renseignements personnels protégés par la loi concernent les renseignements sur les patients des cabinets, mais également tout autre renseignement détenu par le cabinet sur une personne physique, notamment ses associés, son personnel, ses fournisseurs, etc.
Les renseignements protégés et les mesures à prendre suivant la loi concernent aussi bien ceux qui sont détenus sur support papier que ceux qui sont détenus sur un support électronique.
4. Quelles sont les principales mesures à prendre MAINTENANT pour tout cabinet optométrique ?
Donner les informations requises lors de la collecte de renseignements personnels
Généralement, un patient qui consulte un cabinet optométrique sait qu’il devra révéler des renseignements personnels à l’optométriste et son équipe et que ces renseignements seront utilisés pour lui rendre des services optométriques.
Ceci dit, la loi exige que, lors de la collecte et sur demande par la suite, la personne, dont les renseignements personnels sont recueillis, soit informée:
- des fins auxquelles ces renseignements sont recueillis ;
- des moyens par lesquels les renseignements sont recueillis ;
- des droits d’accès et rectification prévus par la loi ;
- de son droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis.
Ces renseignements peuvent être donnés verbalement et il n’est pas nécessaire de faire signer un document à ce sujet. Ceci dit, il peut être plus simple et efficace de communiquer ces renseignements par écrit. Il pourrait par exemple s’agir d’une affiche présentant ces renseignements de façon succincte ou, encore, qui inclut une référence à une politique disponible sur un site web.
Voir notamment ce modèle de politique de confidentialité pouvant être rendu disponible à vos patients et devant être adapté à la réalité particulière de votre cabinet.
Les mesures en question sont également applicables à la collecte de renseignements personnels auprès de toute autre personne, comme les membres du personnel lors du recrutement.
Assurer la confidentialité des renseignements personnels et obtenir un consentement valide pour la communication à des tiers
L’obligation d’assurer la confidentialité des renseignements personnels n’est évidemment pas nouvelle, mais les exigences à ce sujet ont été rehaussées, notamment concernant le consentement pour leur utilisation ou les communications à des tiers.
Par exemple, pour faire une commande auprès d’un laboratoire (donc un tiers) concernant des lunettes ophtalmiques destinées à un patient, vous devez obtenir un consentement valide (manifeste, libre et éclairé) et spécifique du patient, distinct pour chaque commande que vous faites, puisque vous communiquez des renseignements personnels le concernant. La loi n’exige pas un consentement écrit, mais il peut être avisé d’en obtenir un, en faisant signer par exemple le bon de commande affichant les informations nécessaires pour que le patient comprenne la finalité de cette communication.
Autrement, vous pourriez opter pour l’une ou l’autre des options suivantes :
- Faire cette commande sans transmettre de renseignements personnels au laboratoire (avec un code qui ne permet pas au laboratoire d’identifier le patient) ;
- Confier un mandat ou un contrat par écrit au laboratoire, spécifiant les mesures exigées par la loi que ce dernier doit prendre pour assurer la protection des renseignements personnels permettant alors de faire la commande sans obtenir un consentement spécifique du patient pour chaque commande.
À noter que les règles concernant l’âge du consentement restent inchangées pour les optométristes. Le consentement devra être donné par le parent ou le titulaire de l’autorité parentale pour le mineur de moins de 14 ans. Comme l’indique l’article 59 du Code de déontologie des optométristes pour le mineur âgé de 14 ans ou plus, le consentement pourra être donné par le mineur lui-même.
Pour plus d’information sur la notion de consentement, voir les indications de la CAI.
Identifier un responsable de la protection des renseignements personnels et diffuser ses coordonnées
Il s’agit de la personne ayant la plus haute autorité au sein du cabinet. Cette personne peut déléguer cette fonction par écrit, entièrement ou partiellement, à toute personne.
Une fois identifié, le titre et les coordonnées du responsable doivent être publiés sur le site Internet du cabinet ou, s’il n’a pas de site, rendus accessibles par tout autre moyen approprié (par exemple, une affiche à l’entrée du cabinet).
Adopter et diffuser des politiques et des pratiques concernant la gouvernance des renseignements personnels
Le cabinet doit adopter et mettre en œuvre des politiques et des pratiques encadrant sa gouvernance à l’égard des renseignements personnels et propres à assurer la protection de ces renseignements. La loi précise le contenu obligatoire de ces politiques en indiquant qu’elles doivent être proportionnées à la nature et à l’importance des activités de l’entreprise et être approuvées par le responsable de la protection des renseignements personnels.
Des informations détaillées au sujet de ces politiques et de ces pratiques, en termes simples et clairs, doivent être publiées sur le site Internet du cabinet ou, autrement, rendues accessibles par tout autre moyen approprié (par exemple, être disponibles dans la salle d’attente).
Voici un modèle de politique de gouvernance des renseignements personnels, que devez adapter en fonction de la réalité particulière de votre cabinet.
Adopter et diffuser une politique de confidentialité pour les renseignements personnels recueillis à l’aide d’un moyen technologique
Si votre cabinet recueille des renseignements personnels par un moyen technologique (un site web par exemple), vous devez adopter et diffuser une politique de confidentialité. Ce serait le cas, si par exemple vous avez, dans votre site web, un espace permettant à un membre du public de communiquer avec vous en vous fournissant ses coordonnées (nom, adresse courriel, numéro de téléphone) ou de prendre rendez-vous. Le simple fait d’utiliser des fichiers témoins (« cookies ») dans votre site web peut requérir que vous adoptiez et diffusiez une telle politique en plus de mettre en place une bannière de consentement relative à l’utilisation de ceux-ci.
Cette politique, incluant des modifications ultérieures, doit être rédigée en termes simples et clairs. Elle doit être publiée sur le site web du cabinet, ou, le cas échéant, être diffusée par tout moyen pouvant atteindre les personnes concernées (affiche, par exemple). Elle fait de même pour l’avis dont toute modification à cette politique doit faire l’objet.
Voici un modèle de politique de confidentialité, que vous devez adapter en fonction de la réalité particulière de votre cabinet.
5. Y a-t-il d’autres mesures que les cabinets optométriques devraient prendre pour se conformer à la loi?
Oui, selon la situation de chaque cabinet et les circonstances, il peut y avoir d’autres mesures à prendre.
Voir le site de la CAI à ce sujet.
Sans que ce ne soit exhaustif, voici certaines mesures à prendre en considération :
Incident de confidentialité
Selon la loi, un incident de confidentialité correspond à tout accès, utilisation ou communication non autorisés par la loi d’un renseignement personnel, de même qu’à la perte d’un renseignement personnel ou à toute autre atteinte à sa protection.
Par exemple, un incident de confidentialité pourrait se produire lorsque :
- un membre du personnel consulte un renseignement personnel d’un patient, sans que ce ne soit justifié pour les services à lui rendre et sans le consentement de celui-ci;
- un membre du personnel communique des renseignements personnels concernant un autre membre du personnel au mauvais destinataire;
- le cabinet est victime d’une cyberattaque (hameçonnage, rançongiciel, etc.)
Dans le cas d’un incident de confidentialité, la loi oblige de prendre certaines mesures, telles qu’elles sont décrites par la CAI.
Renseignements biométriques
Les optométristes sont susceptibles de détenir des renseignements biométriques concernant leurs patients, comme les photos rétiniennes prises pour des fins cliniques.
Il s’agit là de renseignements personnels sensibles, qui doivent évidemment être conservés de façon confidentielle. Il ne faut pas partager de tels renseignements avec des tiers sans le consentement des patients concernés (par exemple, sur des forums de discussion, pour fins de discussion clinique). Le simple retrait du nom du patient de la photo pourrait ne pas être suffisant pour respecter la loi, puisque les risques de réidentification restent présents.
Le simple fait de détenir des renseignements biométriques sur un patient dans un dossier constitué uniquement à des fins cliniques ne constitue pas, en soi, une « banque de caractéristiques ou de mesures biométriques ». Il n’est d’ailleurs généralement pas nécessaire, ni recommandé, pour un cabinet optométrique de constituer une telle banque, ni d’utiliser de tels renseignements à des fins d’identification, mais si un tel projet était initié, il faudrait alors respecter les exigences spécifiques de la loi, ce qui implique notamment de transmettre des avis à la CAI.
Si vous :
- implantez ou mettez à jour un système d’information ou de prestation électronique de services impliquant des renseignements personnels au sein du cabinet;
- communiquez des renseignements personnels à l’extérieur du Québec;
- communiquez des renseignements personnels sans le consentement des personnes concernées à des fins d’étude, de recherche ou de production de statistiques.
Il pourrait par exemple s’agir de l’acquisition d’une nouvelle base de données pour gérer les informations concernant les patients ou le personnel, de la communication de renseignements concernant vos patients à une entreprise hors Québec ou à une firme de sondages.
Avant d’initier de tels projets, il vous faut réaliser une Évaluation des facteurs relatifs à la vie privée (EFVP).
Références complémentaires et outils utiles
- Présentation (formation) concernant la Loi 25 de l’assemblée générale de l’Ordre du 18 novembre 2023
- Document d’information produit à la demande de l’Ordre : Loi 25 - Principaux éléments à prendre en considération en 2022, 2023 et 2024
- Site web de la Commission d’accès à l’information
- Modèle de politique de confidentialité
- Modèle de politique de gouvernance des renseignements personnels