Connexion au Portail sécuriséLoi 25 : de nouvelles dispositions entrent en vigueur en septembre
L'Ordre vous écrivait en août 2022 pour vous informer de l’entrée en vigueur de la loi 25 intitulée : Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Nous vous avions alors informés que l’entrée en vigueur des nouvelles obligations découlant de cette loi s’échelonnerait sur 3 ans, soit 2022, 2023 et 2024.
Voici donc un aperçu des principales obligations qui entreront en vigueur le 22 septembre 2023 et pour lesquelles les psychologues qui oeuvrent en pratique privée doivent se préparer.
Pour en connaître davantage, veuillez consulter le site de la Commission d’accès à l’information (CAI) qui offre plusieurs outils et de l’information pertinente. Nous vous recommandons particulièrement la lecture de ce tableau.
Le Conseil interprofessionnel du Québec élabore en ce moment une formation sur les changements qui entreront en vigueur à compter du 22 septembre 2023. Cette formation sera adaptée aux membres d’ordres professionnels. Nous vous transmettrons les informations concernant cette formation dès qu’elle sera disponible.
Par ailleurs, l'Ordre des conseillers en ressources humaines agréés (CRHA) a mis à la disposition de ses membres une formation sur la loi 25 et la cybersécurité. Cette formation est accessible aux non-membres.
À compter du 22 septembre 2023
En tant que psychologues, certaines obligations qui entreront en vigueur impacteront peu vos pratiques actuelles avec vos clients puisque la profession est déjà encadrée par des règles qui protègent et régissent les renseignements personnels de vos clients que ce soit au moment de la collecte, de la détention, de la transmission de renseignements à des tiers et lors de la fermeture du dossier professionnel (délais de conservation).
Toutefois, comme vous exploitez une entreprise privée, la loi protège également les renseignements personnels des autres personnes avec qui vous entrez en contact dans le cadre de votre pratique. Par exemple, les professionnels exerçant au sein de votre cabinet, les employés, les stagiaires, les candidats à une offre d’emploi (curriculum vitae), ainsi que les personnes qui achètent vos formations (coordonnées, informations bancaires), le cas échéant. Pour des fins de clarté, chacune des sections suivantes vous indiquera vos obligations en distinguant ce qu’il en est pour vos clients et pour les autres personnes de qui vous obtenez des renseignements personnels dans le cadre de votre pratique lorsque celles-ci diffèrent.
Obligations liées au consentement
Avec l’entrée en vigueur de ces nouvelles obligations, il sera important d’obtenir le consentement manifeste, libre et éclairé à la collecte et aux traitements des renseignements personnels que vous obtenez. Il ne sera pas possible d’utiliser un renseignement personnel pour des fins qui ne sont pas compatibles avec celles pour lesquelles il a été recueilli et pour lesquelles le consentement a été obtenu.
Envers vos clients
Comme énoncé précédemment, plusieurs articles du Code de déontologie des psychologues protègent déjà la confidentialité des renseignements personnels de vos clients et prévoient la nécessité d’obtenir un consentement libre et éclairé.
L’article 11 prévoit qu’avant d’entreprendre la prestation de services professionnels, le psychologue obtient, sauf urgence, le consentement libre et éclairé de son client, de son représentant ou des parents, s’il s’agit d’un enfant âgé de moins de 14 ans, en communiquant notamment les règles sur la confidentialité, ainsi que ses limites de même que les modalités liées à la transmission de renseignements confidentiels reliés à l’intervention.
En ce qui concerne le mineur de 14 ans et moins, il est à noter que la loi 25 introduit toutefois une exception lorsque la collecte de renseignements personnels est manifestement au bénéfice du mineur, par exemple lors d’une situation médicale d’urgence ou dans le contexte d’un dossier de la protection de la jeunesse. Dans ces situations le consentement de l’autorité parentale, tuteur, représentant n’est pas requis.
L’article 14 prévoit que le psychologue respecte la vie privée des personnes avec qui il entre en relation professionnelle, notamment en s’abstenant de recueillir des renseignements et d’explorer des aspects de la vie privée qui n’ont aucun lien avec la réalisation des services professionnels convenus avec le client.
Selon l’article 15, aux fins de préserver le secret professionnel, le psychologue :
1° ne divulgue aucun renseignement sur son client à l’exception de ce qui a été autorisé formellement par le client par écrit, ou verbalement s’il y a urgence, ou encore si la loi l’ordonne;
2° avise le client qu’il a l’intention d’autoriser la communication de renseignements confidentiels le concernant à un tiers, des conséquences de cette divulgation et de ses réserves, le cas échéant;
3° ne révèle pas qu’un client fait ou a fait appel à ses services professionnels ou qu’il a l’intention d’y recourir;
4° ne mentionne aucun renseignement factuel susceptible de permettre d’identifier le client ou encore modifie, au besoin, certains renseignements pouvant permettre d’identifier le client lorsqu’il utilise des renseignements obtenus de celui-ci à des fins didactiques, pédagogiques ou scientifiques;
5° obtient préalablement du client une autorisation écrite pour faire un enregistrement audio ou vidéo d’une entrevue ou d’une activité; cette autorisation spécifie l’usage ultérieur de cet enregistrement ainsi que les modalités de révocation de cette autorisation;
6° ne dévoile pas, sans autorisation, l’identité d’un client lorsqu’il consulte ou se fait superviser par un autre professionnel.
En vertu de l’article 16, lorsque le psychologue exerce sa profession auprès d’un couple ou d’une famille, il sauvegarde le droit au secret professionnel de chaque membre du couple ou de la famille.
De plus, l’article 17 prévoit que lorsque le psychologue exerce sa profession auprès d’un groupe, le psychologue doit informer les membres du groupe de la possibilité que soit révélé un aspect quelconque de la vie privée de l’un ou l’autre d’entre eux ou d’un tiers. Il engage les membres du groupe à respecter le caractère confidentiel des renseignements sur la vie privée de l’un ou l’autre d’entre eux ou d’un tiers.
Rappelons également que l’article 60.4 du Code des professions énonce que le psychologue peut communiquer un renseignement protégé par le secret professionnel, en vue de prévenir un acte de violence, dont un suicide, lorsqu’il a un motif raisonnable de croire qu’un risque sérieux de mort ou de blessures graves menace une personne ou un groupe de personnes identifiable. Toutefois, le psychologue ne peut alors communiquer ce renseignement qu’à la ou aux personnes exposées à ce danger, à leur représentant ou aux personnes susceptibles de leur porter secours. Le psychologue ne peut communiquer que les renseignements nécessaires aux fins poursuivies par la communication.
Enfin, selon l’article 19, le psychologue qui communique un renseignement protégé par le secret professionnel en vue de prévenir un acte de violence consigne au dossier du client concerné les éléments suivants:
1° les motifs au soutien de sa décision de communiquer le renseignement ainsi que les autres moyens à sa disposition qui ne lui ont pas permis de prévenir l’acte de violence;
2° les circonstances de la communication, les renseignements qui ont été communiqués et l’identité de la ou des personnes à qui la communication a été faite.
À ces règles s’ajoutera spécifiquement l’obligation d’obtenir le consentement manifeste, libre et éclairé à la collecte et aux traitements des renseignements personnels que vous obtenez, ainsi qu’aux fins pour lesquelles ils ont été recueillis et ce, en des termes simples et clairs. Il faut donc se méfier des demandes de consentement formulées en des termes trop généraux auprès des clients ou encore, des documents rédigés de manière trop complexe. Concrètement, cela implique que le psychologue devra expliquer au client la raison pour laquelle des renseignements personnels lui seront demandés et leur traitement dans le cadre de la prestation de service.
Il va de soi, et ce n’est pas nouveau pour les professionnels, qu’il n’est pas possible d’utiliser un renseignement personnel pour une fin qui n’est pas compatible avec celle pour lesquelles il a été recueilli et pour lesquelles le consentement a été obtenu.
Envers les autres personnes
Comme pour vos clients, vous devrez obtenir le consentement manifeste, libre et éclairé à la collecte et au traitement des renseignements personnels que vous obtenez d’autres personnes avec qui vous êtes en contact dans le cadre de votre pratique. Ce qui inclut les personnes qui achètent vos formations et qui vous transmettent des renseignements personnels pour participer à celles-ci, le cas échéant.
Afin d’obtenir un consentement manifeste, libre et éclairé, il faut indiquer pour quelle raison ces informations sont nécessaires et ce qui sera fait avec celles-ci. Il pourrait s’agir, par exemple, de leur indiquer que leurs informations seront transmises à la compagnie avec laquelle vous faites affaire pour les assurances collectives ou pour la gestion des payes. Vous devez également les informer que leurs renseignements personnels seront conservés pour remplir les fins pour lesquelles ils ont été recueillis et ensuite détruits de façon sécuritaire.
Destruction des renseignements personnels et anonymisation
La loi 25 encadre la conservation, la destruction et l’anonymisation des données personnelles.
Envers vos clients
Le Règlement sur la tenue des dossiers et des cabinets de consultation des psychologues prévoit à son article 8 que le dossier du client doit être conservé pendant au moins 5 ans à compter de la date du dernier service professionnel dispensé. L’article 9 du même règlement précise que le psychologue peut procéder à la destruction d’un dossier à condition que celle-ci soit faite de manière à ce que la confidentialité des renseignements qui y sont contenus soit assurée. La loi 25 prévoit qu’il vous sera possible de conserver des renseignements pour des fins sérieuses et légitimes en les anonymisant1.
Envers les autres personnes
Il faudra détruire ou anonymiser les renseignements personnels de façon sécuritaire après la réalisation de la finalité pour laquelle vous avez recueilli les renseignements personnels. Il est possible de penser qu’un dossier de candidat à un poste de stagiaire ou d’employé ne pourrait être conservé une fois que le poste aura été pourvu. Il vous sera possible de conserver des renseignements personnels pour des fins sérieuses et légitimes en les anonymisant.
Règles de gouvernance et traitement des plaintes
Les professionnels devront mettre sur pied des règles de gouvernance interne afin d’assurer la protection des renseignements personnels qu’ils détiennent tout au long de leur traitement.
Ces règles doivent permettre aux membres du personnel de connaître et de comprendre les exigences légales et les principes de protection des renseignements personnels qui sont inhérents à l’exercice de leurs fonctions. Ces règles devront être accessibles sur le site internet du psychologue, du cabinet ou de toute autre façon.
Voici quelques thèmes à inclure dans les règles de gouvernance :
- les rôles et les responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels;
- le processus de traitement des plaintes relatives à la protection des renseignements personnels;
- le traitement d’une demande d’accès à des renseignements personnels ou de rectification;
- la description des activités de formation et de sensibilisation offertes à votre personnel en matière de protection des renseignements personnels.
Il est important, si ce n’est déjà fait, de former les membres de votre personnel quant aux obligations qui vous incombent et de les sensibiliser à l’importance de la protection des renseignements personnels. Vous devrez également les sensibiliser sur ce qui constitue un incident de confidentialité et vous assurer qu’ils connaissent la procédure à suivre lorsqu’ils sont confrontés à une telle situation.
En ce qui concerne les demandes d’accès à des renseignements personnels ou de rectification contenus dans le dossier de vos clients nous vous invitons à revoir l'article 20, l'article 21 et l'article 22 du Code de déontologie des psychologues. Il est à noter que la procédure édictée dans ces articles devrait être appliquée à tout autre renseignement personnel que vous détenez étant entendu que le responsable de l’accès et de la protection des renseignements personnels désigné au sein de votre cabinet pourra répondre aux demandes qui ne concernent pas vos clients.
Enfin, il est à noter qu’il n’y a pas de forme prescrite et que ces règles de gouvernance peuvent inclure la politique de confidentialité décrite ci-dessous d’autant que plusieurs éléments se recoupent.
Politique de confidentialité
La loi 25 oblige un psychologue ou son cabinet à publier sur son site Internet ou à diffuser, par tout moyen propre à atteindre les personnes concernées, une politique de confidentialité rédigée en termes simples et clairs lorsqu’il recueille, par un moyen technologique, des renseignements personnels. On entend par moyen technologique: site internet, prestation électronique, application etc.
Une telle politique de confidentialité présente les pratiques en matière de protection des renseignements personnels lors d’une collecte de renseignements personnels par un moyen technologique. Elle traite notamment des renseignements personnels collectés, des fins pour lesquelles ceux-ci sont recueillis, des communications qui pourraient être effectuées et, de manière générale, des mesures de protection mises en place pour en assurer la confidentialité. Le cas échéant, il traite également du recours à des témoins de connexion.
Il faut également y préciser les droits d’accès et de rectification des renseignements personnels que vous détenez. Vous devez indiquer également les coordonnées du responsable de la protection des renseignements personnels et préciser le processus de traitement des plaintes.
Évaluation des risques lors de l’utilisation ou de la communication de renseignements personnels
Avant d’entreprendre un projet d’acquisition, de développement ou de refonte d’un système informatique qui comporte des renseignements personnels, il faudra effectuer une évaluation des facteurs relatifs à la vie privée.
Il en est de même si vous devez communiquer des renseignements personnels à l’extérieur du Québec.
Sanctions
Il est important de comprendre qu’à compter du 22 septembre 2023, la CAI aura le pouvoir d’imposer des sanctions pécuniaires aux entreprises en défaut de se conformer à la Loi.
1 Un renseignement est dit « anonymisé » lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement la personne concernée. Le terme « irréversible » implique qu’il ne doit pas être possible, au moment de l’anonymisation et en tout temps, et ce, en considérant un futur prévisible, d’identifier de nouveau la personne concernée directement ou indirectement.