Erin Schachter
Avocate
Perla Garcia-Camacho
Avocate
Au Canada, les renseignements personnels sont protégés par la Loi sur la protection des renseignements personnels1, alors que dans les provinces d’Alberta2, de la Colombie-Britannique3 et du Québec4, par des lois provinciales substantiellement similaires à la LPRPDE.
Presque toutes les provinces et tous les territoires du Canada ont adopté des lois qui traitent spécifiquement de l’utilisation des renseignements personnels sur la santé.
La législation de nombreuses provinces précise que les numéros d’identification de santé, les numéros d’enregistrement ou les numéros d’assurance-maladie font partie d’un dossier médical (ensemble, les « numéros d’identification de santé » ou « NIS »). Les organisations qui collectent des NIS peuvent donc être soumises à une législation particulière au secteur de la santé dans chacune de ces provinces ou faire face à des restrictions légales si elles choisissent de collecter des données associées aux NIS.
Cet article propose un aperçu général et non exhaustif de la façon dont les NIS sont qualifiés de données de santé dans différentes provinces et territoires au Canada, et des contraintes qui peuvent s’appliquer quant à leur collecte.
LA SITUATION AU QUÉBEC
Au Québec, la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels5, et la LPRPSP ne traitent pas spécifiquement des NIS (généralement connus sous le nom de « cartes d’assurance-maladie »). La Loi sur les services de santé et les services sociaux contient des dispositions spécifiques sur le dossier médical et sa confidentialité6. Toutefois, cette loi ne prévoit pas de dispositions particulières quant au NIS.
Le ministre de la Santé, Christian Dubé, et le ministre de la Cybersécurité et du Numérique, Éric Caire, ont déposé le 7 décembre 2022 le Projet de no19, Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions (« PL 3 »)7. Le PL 3 propose des changements dans le traitement des renseignements personnels dans le but de protéger les renseignements personnels dans le secteur de la santé et d’optimiser leur utilisation. L’article 2 al. 2 du PL 3 identifie spécifiquement le numéro de la carte d’assurance maladie comme un renseignement personnel au sens de la loi, s’il permet d’identifier la personne.
Cependant, selon notre interprétation, rien dans la première version du PL3 n’interdit explicitement aux entités du secteur privé de collecter les numéros de carte d’assurance maladie si la collecte est nécessaire aux fins pour lesquelles elles sont collectées.
Nous verrons comment le PL 3 évolue, mais pour l’instant, une entreprise privée au Québec devra respecter les dispositions de la LPRPSP ou de la LPRPDE, selon la situation.
LA LÉGISLATION SUR LA SANTÉ NE S’APPLIQUE QU’AUX DÉPOSITAIRES
Plusieurs provinces ont adopté une législation particulière relative aux renseignements personnels sur la santé et incluent explicitement le NIS comme renseignement assujetti à la législation. Cependant, ces législations ne s’appliquent qu’à des entités spécifiques qui sont considérées comme des « dépositaires de la santé » (en anglais custodians). Ainsi, les entités qui ne se qualifient pas de custodians et qui recueillent des données de santé dans ces provinces seront assujetties à la législation fédérale (LPRPDE). C’est le cas du Nouveau-Brunswick8, de Terre-Neuve-et-Labrador9, de l’Île-du-Prince-Édouard10 et de la Saskatchewan11.
Pour sa part, la Colombie-Britannique a une législation pour les banques d’informations sur la santé désignées par le ministère de la Santé ou les autorités sanitaires12, mais pas les renseignements personnels sur la santé en son ensemble. Les organisations dans le secteur privé sont donc assujetties au BCPIPA, lequel n’apporte pas de contraintes particulières quant à la collecte, l’utilisation ou la communication des NIS des résidents de la Colombie-Britannique13.
COLLECTE DE DONNÉES DE SANTÉ EXPLICITEMENT INTERDITE
Pour les provinces de la Nouvelle-Écosse14, de l’Ontario15, du Manitoba16 et les territoires du Yukon17, des Territoires du Nord-Ouest18 et du Nunavut19, elles ont respectivement adopté des législations qui interdisent explicitement la collecte du NIS d’un individu, sauf si une entité est spécifiquement identifiée dans la législation comme étant autorisée à collecter ces données.
Certaines des lois provinciales qui interdisent ou restreignent la collecte, l’utilisation ou la communication du NIS d’un individu mentionnent que la restriction ou l’interdiction peut ne pas s’appliquer dans certaines circonstances prescrites. Une organisation qui souhaite utiliser ces données peut donc effectuer des recherches plus approfondies sur ces exceptions afin de déterminer si l’une d’elles s’applique à sa situation particulière.
RESTRICTION CONCERNANT L’EXIGENCE DU NIS
La législation des provinces de la Saskatchewan20 et du Nouveau-Brunswick21 énonce que, sauf dans le cadre de la prestation de services de santé, il est interdit d’exiger le NIS d’une personne. Cela signifie que c’est à ‘individu de décider s’il souhaite fournir son numéro d’identification de santé. En ce qui concerne les conditions et les exigences relatives à l’utilisation, à la divulgation et à la protection de ces renseignements personnels, la LPRPDE s’applique dans les deux provinces.
Pour la province de l’Alberta, il est également interdit d’exiger le numéro d’identification de santé d’une personne22, mais la province a sa propre loi sur la protection de la vie privée pour le secteur privé23.
CONCLUSION
Bien que les numéros d’identification de santé puissent ressembler à tout autre renseignement personnel, ils font partie du domaine des données de santé dans de nombreuses provinces et doivent être considérés comme tel. Il est possible qu’ils soient soumis à une législation particulière, ou que leur collecte ou leur utilisation soit interdite. Toute organisation souhaitant utiliser des données de santé devrait donc procéder à une analyse minutieuse avant de collecter, d’utiliser ou de divulguer ces informations.
- L.R.C. (1985), c. P-21 (« LPRPDE »).
- Loi sur la protection des renseignements personnels de l’Alberta, SA 2003, c. P-6.5 (« APIPA »).
- Loi sur la protection des renseignements personnels de la Colombie-Britannique, SBC 2003, c. 63 (« BCPIPA »).
- Loi sur la protection des renseignements personnels dans le secteur privé, CQLR, c. P-39.1 (« LPRPSP »).
- CQLR, c. A-2.1 (la « Loi sur l’accès »).
- RLRQ, c. S-4.2, art. 19 et ss.; Règlement sur l’organisation et l’administration des établissements, RLRQ, c. S-5, r.5, art. 50 et ss.
- Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives, no de projet 19, Qc, 2e sess., 42e légis., présentation – 3 décembre 2021. l
- Loi sur l’accès et la protection en matière de renseignements personnels sur la santé, LN-B 2009, c P-7.05, art. 3(1).
- Personal Health Information Act, SNL 2008, c P-7.01, art. 4 et 8.
- Health Information Act, RSPEI 1988, c H-1.41, art. 3.
- The Health Information Protection Act, SS 1999, c H-0.021.
- E-Health (Personal Health Information Access and Protection of Privacy) Act, SBC 2008, c 38.
- Pour les organismes publics, le Freedom of Iformation and Protection of Privacy Act, RSBC 1996, c 165 s’applique.
- Personal Health Information Act, SNS 2010, c 41, art. 27.
- Loi de 2004 sur la protection des renseignements personnels sur la santé, LO 2004, c 3, ann A,, art. 34(2)(4).
- Loi sur les renseignements médicaux personnels, CPLM c P33.5, art. 26,
- Loi sur la protection et la gestion des renseignements médicaux, LY 2013, c 16, art. 18.
- Loi sur les renseignements sur la santé, LTN-O 2014, c 2, art. 32.
- Loi sur la santé publique, LNun 2016, c 13, art. 16 et 17.
- The Health Information Protection Act, SS 1999, c H-0.021. art. 11(3).
- Loi sur l’accès et la protection en matière de renseignements personnels sur la santé, LN-B 2009, c P-7.05. art. 48.
- Health Information Act, RSA 2000, c H-5, art. 21
- Personal Information Protection Act, SA 2003, c P-6.5.
Livres de société virtuels accessibles en tout temps : votre pratique corporative simplifiée avec JurisÉvolution !
Grâce au Livre de société électronique, vous pourrez :
- Rechercher une dénomination sociale directement dans la base de données du REQ et en importer facilement et rapidement les informations dans JurisÉvolution.
- Gérer les catégories d’actions, transactions et certificats d’actions.
- Produire des résolutions, registres et certificats d’actions.
- S’adapter à plusieurs formes de sociétés : copropriétés, sociétés en commandites, sociétés en nom collectif, organismes à but non lucratif, etc.
COLLABORATION
Le livre de société électronique favorise la collaboration entre tous les intervenants d’un dossier corporatif, puisqu’il peut être consulté en ligne.
Il vous permet de garder facilement toute l’information sur la société à jour et prévient les pertes de temps inutiles dans le transport du livre et élimine les risques de dommages au document.
GESTION DES TRANSACTIONS
Le livre de société électronique vous permet de documenter les transactions qui touchent cette société et d’émettre les certificats d’actions correspondants.
GESTION DES CATÉGORIES
Créez et documentez les différentes catégories d’action qui composent la société et ajoutez, au besoin, de nouvelles catégories d’actions.
RÉSOLUTIONS ET REGISTRES
Montez rapidement des registres de société grâce aux informations importées d’organismes externes. La flexibilité du logiciel vous permet de produire des résolutions selon l’état de la société à une date donnée.
PARTAGE DE LIVRE VIRTUEL
Travaillez en collaboration avec vos clients, les comptables et avocats impliqués au dossier, sans que le livre quitte votre bureau !
Facilitez les transactions à vos dossiers corporatifs
et la collaboration entre tous les intervenants.
PROFITEZ DES AVANTAGES DU LIVRE DE SOCIÉTÉ ÉLECTRONIQUE DE JURISÉVOLUTION DÈS AUJOURD’HUI !