Généralement, un patient qui consulte un cabinet optométrique sait qu’il devra révéler des renseignements personnels à l’optométriste et son équipe et que ces renseignements seront utilisés pour lui rendre des services optométriques. 

Ceci dit, la loi exige que, lors de la collecte et sur demande par la suite, la personne, dont les renseignements personnels sont recueillis, soit informée: 

• des fins auxquelles ces renseignements sont recueillis ; 
• des moyens par lesquels les renseignements sont recueillis ; 
• des droits d’accès et rectification prévus par la loi ; 
• de son droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis. 

Ces renseignements peuvent être donnés verbalement et il n’est pas nécessaire de faire signer un document à ce sujet. Ceci dit, il peut être plus simple et efficace de communiquer ces renseignements par écrit. Il pourrait par exemple s’agir d’une affiche présentant ces renseignements de façon succincte ou, encore, qui inclut une référence à une politique disponible sur un site web. 

Voir notamment ce modèle de politique de confidentialité pouvant être rendu disponible à vos patients et devant être adapté à la réalité particulière de votre cabinet.

Les mesures en question sont également applicables à la collecte de renseignements personnels auprès de toute autre personne, comme les membres du personnel lors du recrutement.

L’obligation d’assurer la confidentialité des renseignements personnels n’est évidemment pas nouvelle, mais les exigences à ce sujet ont été rehaussées, notamment concernant le consentement pour leur utilisation ou les communications à des tiers.

Par exemple, pour faire une commande auprès d’un laboratoire (donc un tiers) concernant des lunettes ophtalmiques destinées à un patient, vous devez obtenir un consentement valide (manifeste, libre et éclairé) et spécifique du patient, distinct pour chaque commande que vous faites, puisque vous communiquez des renseignements personnels le concernant. La loi n’exige pas un consentement écrit, mais il peut être avisé d’en obtenir un, en faisant signer par exemple le bon de commande affichant les informations nécessaires pour que le patient comprenne la finalité de cette communication. 

Autrement, vous pourriez opter pour l’une ou l’autre des options suivantes :

• Faire cette commande sans transmettre de renseignements personnels au laboratoire (avec un code qui ne permet pas au laboratoire d’identifier le patient) ;
• Confier un mandat ou un contrat par écrit au laboratoire, spécifiant les mesures exigées par la loi que ce dernier doit prendre pour assurer la protection des renseignements personnels permettant alors de faire la commande sans obtenir un consentement spécifique du patient pour chaque commande.

À noter que les règles concernant l’âge du consentement restent inchangées pour les optométristes. Le consentement devra être donné par le parent ou le titulaire de l’autorité parentale pour le mineur de moins de 14 ans. Comme l’indique l’article 59 du Code de déontologie des optométristes pour le mineur âgé de 14 ans ou plus, le consentement pourra être donné par le mineur lui-même.

Pour plus d’information sur la notion de consentement, voir les indications de la CAI.

Il s’agit de la personne ayant la plus haute autorité au sein du cabinet. Cette personne peut déléguer cette fonction par écrit, entièrement ou partiellement, à toute personne. 

Une fois identifié, le titre et les coordonnées du responsable doivent être publiés sur le site Internet du cabinet ou, s’il n’a pas de site, rendus accessibles par tout autre moyen approprié (par exemple, une affiche à l’entrée du cabinet).

Le cabinet doit adopter et mettre en œuvre des politiques et des pratiques encadrant sa gouvernance à l’égard des renseignements personnels et propres à assurer la protection de ces renseignements. La loi précise le contenu obligatoire de ces politiques en indiquant qu’elles doivent être proportionnées à la nature et à l’importance des activités de l’entreprise et être approuvées par le responsable de la protection des renseignements personnels. 

Des informations détaillées au sujet de ces politiques et de ces pratiques, en termes simples et clairs, doivent être publiées sur le site Internet du cabinet ou, autrement, rendues accessibles par tout autre moyen approprié (par exemple, être disponibles dans la salle d’attente). 

Voici un modèle de politique de gouvernance des renseignements personnels, que devez adapter en fonction de la réalité particulière de votre cabinet.

Si votre cabinet recueille des renseignements personnels par un moyen technologique (un site web par exemple), vous devez adopter et diffuser une politique de confidentialité. Ce serait le cas, si par exemple vous avez, dans votre site web, un espace permettant à un membre du public de communiquer avec vous en vous fournissant ses coordonnées (nom, adresse courriel, numéro de téléphone) ou de prendre rendez-vous. Le simple fait d’utiliser des fichiers témoins (« cookies ») dans votre site web peut requérir que vous adoptiez et diffusiez une telle politique en plus de mettre en place une bannière de consentement relative à l’utilisation de ceux-ci. 

Cette politique, incluant des modifications ultérieures, doit être rédigée en termes simples et clairs. Elle doit être publiée sur le site web du cabinet, ou, le cas échéant, être diffusée par tout moyen pouvant atteindre les personnes concernées (affiche, par exemple). Elle fait de même pour l’avis dont toute modification à cette politique doit faire l’objet. 

Voici un modèle de politique de confidentialité, que vous devez adapter en fonction de la réalité particulière de votre cabinet.

Selon la loi, un incident de confidentialité correspond à tout accès, utilisation ou communication non autorisés par la loi d’un renseignement personnel, de même qu’à la perte d’un renseignement personnel ou à toute autre atteinte à sa protection. 

Par exemple, un incident de confidentialité pourrait se produire lorsque : 

• un membre du personnel consulte un renseignement personnel d’un patient, sans que ce ne soit justifié pour les services à lui rendre et sans le consentement de celui-ci; 
• un membre du personnel communique des renseignements personnels concernant un autre membre du personnel au mauvais destinataire; 
• le cabinet est victime d’une cyberattaque (hameçonnage, rançongiciel, etc.) 

Dans le cas d’un incident de confidentialité, la loi oblige de prendre certaines mesures, telles qu’elles sont décrites par la CAI.

Les optométristes sont susceptibles de détenir des renseignements biométriques concernant leurs patients, comme les photos rétiniennes prises pour des fins cliniques. 

Il s’agit là de renseignements personnels sensibles, qui doivent évidemment être conservés de façon confidentielle. Il ne faut pas partager de tels renseignements avec des tiers sans le consentement des patients concernés (par exemple, sur des forums de discussion, pour fins de discussion clinique). Le simple retrait du nom du patient de la photo pourrait ne pas être suffisant pour respecter la loi, puisque les risques de réidentification restent présents. 

Le simple fait de détenir des renseignements biométriques sur un patient dans un dossier constitué uniquement à des fins cliniques ne constitue pas, en soi, une « banque de caractéristiques ou de mesures biométriques ». Il n’est d’ailleurs généralement pas nécessaire, ni recommandé, pour un cabinet optométrique de constituer une telle banque, ni d’utiliser de tels renseignements à des fins d’identification, mais si un tel projet était initié, il faudrait alors respecter les exigences spécifiques de la loi, ce qui implique notamment de transmettre des avis à la CAI.

Il pourrait par exemple s’agir de l’acquisition d’une nouvelle base de données pour gérer les informations concernant les patients ou le personnel, de la communication de renseignements concernant vos patients à une entreprise hors Québec ou à une firme de sondages. 

Avant d’initier de tels projets, il vous faut réaliser une Évaluation des facteurs relatifs à la vie privée (EFVP).