Chroniques déontologiques

Loi 25 : Des actions à prendre pour les sexologues en pratique privée (mise à jour)

Mise à jour le 29 septembre 2023

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25) entre graduellement en vigueur entre septembre 2022 et 2024. Elle apporte des changements au cadre législatif relatif aux renseignements personnels (ci-après « RP »), dont principalement la Loi sur la protection des renseignements personnels dans le secteur privé et la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels.

Les sexologues en pratique privée devront plus directement apporter des changements à leur manière d’administrer les RP recueillis dans leur pratique. Pour les sexologues dans le réseau public ou qui ont un employeur, les changements organisationnels sont gérés par les instances administratives, mais il demeure important de prendre connaissance des nouveautés apportées par la Loi 25 pour savoir comment s’y conformer.

La présente chronique s’adresse principalement aux sexologues en pratique privée, qui sont responsables de la protection des renseignements personnels par le simple effet de la loi. Elle vise à outiller les sexologues sur certaines démarches concrètes, mais ne représente pas une liste exhaustive de toutes les nouvelles dispositions de la Loi 25. 

Note légale : Le contenu du présent article et les modèles sont fournis à titre indicatif pour fournir une base aux sexologues, qui sont responsables d’adapter leurs pratiques et documents en fonction de l’évolution de la loi. L’information juridique complète se trouve dans la loi elle-même et dans l’Espace évolutif de la Commission d’accès à l’information.

Contexte de la Loi 25 et information générale

Cliquez ici pour l'information

Les renseignements personnels (RP) sont des renseignements qui concernent une personne physique et qui permettent, directement ou indirectement de l’identifier (ex. noms, date de naissance, adresse courriel, historique familial, origine ethnique, emploi, numéros de carte de crédit, orientation sexuelle, historique personnel, etc.).

Par la nature de leur travail, les sexologues détiennent énormément de renseignements personnels au sein de leur pratique et dans leurs dossiers. Les RP sont liés au droit à la vie privée et nécessitent une protection importante de la part des personnes et des entreprises qui les détiennent. La pratique privée s’accompagne de responsabilités administratives, auxquelles on vient préciser et renforcer la responsabilité de protéger les renseignements personnels par la Loi 25.

Au Québec, toute personne qui exploite une entreprise est responsable de la protection des renseignements personnels qu’elle détient. Au sein de l’entreprise, la personne ayant la plus haute autorité veille à assurer le respect et la mise en œuvre de la loi. Pour les sexologues en pratique privée, il s’agit de chaque sexologue lui-même ou elle-même.

La Loi 25 constitue une réforme majeure relative à la protection des renseignements personnels. Elle nécessite un plan d’action et des modifications concrètes pour toute organisation, que ce soit au privé ou au public, qu’il y ait des milliers d’employés ou que ce soit en entreprise individuelle (travail autonome). L’OPSQ est sensible à la charge que représente la réforme et tient à soutenir les sexologues en pratique privée avec l’information et les outils fournis dans la présente chronique.

Notes sur les rôles des différentes organisations impliquées :

  • La Commission d’accès à l’information (CAI) est l’organisme responsable de l’administration des lois pertinentes et de la surveillance relative à la protection des RP. Son site web contient un « Espace évolutif » où aller chercher l’information utile, pertinente et à jour. La CAI est la ressource principale concernant la Loi 25.
  • L’OPSQ agit à titre de messager pour vulgariser l’information, assurer un certain soutien aux sexologues dans la mise en place des mesures, fournir des modèles lorsque possible et répondre à certaines questions d’application. L’OPSQ déploie les efforts nécessaires pour que les sexologues assurent la protection des RP de leur clientèle, mais la CAI demeure la référence principale pour la gestion des RP.
  • Les sexologues en pratique privée, par la nature de leur travail, assurent la gestion d’une entreprise individuelle. Cela signifie la prise en charge de plusieurs éléments accessoires aux services en sexologie (ex. comptabilité, marketing, location de bureau, archivage, choix de logiciels, etc.). Pour les sexologues qui choisissent la pratique autonome, cela entraine la mise en œuvre des nouvelles dispositions de la Loi 25. Il est important de bien se renseigner, d’aller chercher du soutien au besoin, puis de prendre le temps nécessaire à la mise en place de toutes les mesures.
Premières actions et astuces pour une organisation efficace

Cliquez ici pour l'information

Il est recommandé d’avoir un fichier administratif, intitulé par exemple « Protection des renseignements personnels » pour y déposer tous les documents pertinents (ex. guides sur la Loi 25, registre des incidents de confidentialité, une copie de la présente chronique, l’inventaire des RP, etc.). Ce fichier permettra d’effectuer un suivi efficace dans l’application de la Loi 25 et tout au long du cycle de vie des RP détenus par les sexologues.

Afin de bien saisir l’importance des RP détenus par les sexologues en pratique autonome, il est fortement recommandé de procéder à un inventaire des renseignements personnels détenus. Cet exercice permet de prendre conscience des forces et des points à améliorer sur le plan de la protection des RP, dans le but de se conformer à la Loi 25. Une fois la cartographie réalisée, les sexologues peuvent mieux évaluer et mettre en place des mesures de protection des RP. L’OPSQ fournit un modèle adapté aux sexologues en pratique autonome :

Inventaire des renseignements personnels (Modèle OPSQ)*

*L’OPSQ n’impose l’utilisation d’aucun modèle spécifique et celui-ci a été conçu pour faciliter le travail administratif des sexologues. Tout modèle fourni par l’OPSQ doit être adapté à la pratique de chaque sexologue.

 

Principales mesures entrées en vigueur en septembre 2022 et 2023

Le présent article met l’accent sur la mise en application d’une partie de la Loi 25. Pour l’intégralité des nouvelles dispositions entrées en vigueur les 22 septembre 2022 et 2023, consultez l’Espace évolutif de la CAI.

Responsabilité de la protection des RP

Les sexologues en pratique autonome, à titre de personnes ayant la plus haute autorité au sein de l’entreprise, exercent le rôle de responsable de la protection des RP. Il est possible de déléguer cette fonction par écrit. Pour les sexologues qui ont un site web, les coordonnées de la personne responsable des RP doivent y être indiquées.

Les fonctions de responsable des RP impliquent notamment l’application de la Loi sur la protection des renseignements personnels dans le secteur privé, la réponse aux demandes relatives aux RP (accès, rectification, cession de diffusion, etc.), la création des règles de gouvernance (voir les dispositions de 2023 ci-dessous), etc.

Le rôle de responsable de la protection implique d’évaluer les mesures de protection des RP pour tout leur cycle de vie, soit :

Pour toute la durée du cycle de vie des données, il faut ainsi mettre en place des mesures pour assurer la sécurité et la protection des RP, puis les tenir à jour :

  • Exemples de mesures physiques : Bureau fermé à clé, classeur verrouillé, déchiquetage confidentiel, mallette verrouillée, gestion des accès aux bureaux, aux classeurs et au matériel informatique, etc.
  • Exemples de mesures technologiques : Mots de passe forts, hébergement sécurisé des données au Québec ou au Canada pour respecter les lois locales, cryptage des données, gestion de l’accès aux comptes, sauvegardes sécurisées, pares-feux, etc.

Incidents de confidentialité

Les incidents de confidentialité se produisent en cas d’accès, d’utilisation, de communication non autorisée, de perte de RP, ou de toute autre atteinte à la protection des RP. Il s’agit par exemple d’un courriel envoyé à la mauvaise personne, d’une perte de données en raison d’un virus ou d’une erreur, d’une intrusion dans le système informatique, d’une perte ou d’un vol de matériel informatique, etc.

Dès que survient un incident, les sexologues doivent :

  1. Établir les circonstances de l’incident;
  2. Identifier les RP et les personnes concernées;
  3. Évaluer le risque de préjudice sérieux (détails ci-dessous);
  4. Remplir un registre des incidents (détails ci-dessous);
  5. Prendre les mesures raisonnables pour diminuer les risques qu’un incident se reproduise.

Voici quelques précisions sur les obligations :

Créer et tenir à jour un registre des incidents de confidentialité impliquant des RP

Il est important de créer un registre dès maintenant, de le tenir à jour en cas d’incident et de le traiter avec sérieux. La Commission d’accès à l’information peut demander à toute entreprise de recevoir une copie du registre. Le registre n’a pas à être communiqué à l’OPSQ. Un modèle de registre est fourni ci-dessous.

Registre d'incidents de confidentialité (Modèle OPSQ)*

*L’OPSQ n’impose l’utilisation d’aucun modèle spécifique et celui-ci a été conçu pour faciliter le travail administratif des sexologues. Tout modèle fourni par l’OPSQ doit être adapté à la pratique de chaque sexologue.

Évaluer le risque de préjudice sérieux et, le cas échéant, aviser la Commission d’accès à l’information et les personnes concernées par l’incident

En cas d’incident de confidentialité, les sexologues doivent évaluer le risque de préjudice sérieux, en tenant compte de la sensibilité des renseignements concernés, des conséquences appréhendées de leur utilisation, puis de la probabilité qu’ils soient utilisés à des fins préjudiciables.

L’OPSQ n’est pas en position de se prononcer sur le niveau de risque pour un incident donné. L’évaluation doit se faire par les sexologues, les responsables délégués de la protection des renseignements personnels, ou des experts externes.

En cas de risque de préjudice sérieux, il faut aviser la CAI à l’aide du formulaire prévu à cet effet, puis aviser les personnes concernées en indiquant les éléments précisés par la CAI.

N.B. Les sexologues n’ont pas à informer l’OPSQ d’un incident de confidentialité.

Politiques et pratiques encadrant la gouvernance des renseignements personnels

La Commission d’accès à l’information résume ainsi les obligations pour les entreprises, incluant les sexologues en pratique autonome :

  • « Établir et mettre en œuvre des politiques et des pratiques encadrant leur gouvernance à l’égard des renseignements personnels. Ces politiques et pratiques devront notamment prévoir :
    • Des règles applicables à la conservation et à la destruction des renseignements personnels;
    • Les rôles et les responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels;
    • Un processus de traitement des plaintes relatives à la protection des renseignements personnels.
  • Publier sur leur site Internet de l’information détaillée au sujet de leurs politiques et de leurs pratiques. Si elles n’ont pas de site, elles devront rendre accessible cette information par tout autre moyen approprié. »

Les sexologues qui ont un site web doivent mettre à la disposition des personnes qui naviguent sur leur site web une politique de confidentialité qui régit les renseignements personnels recueillis. Il est aussi une bonne pratique de prévoir et de rendre disponibles les conditions d’utilisation du site web. L’OPSQ fournit des modèles qui doivent être adaptés selon la pratique de chaque sexologue :

Modèle de politique de confidentialité

Modèle de conditions d’utilisation

Consentement relatif aux renseignements personnels détenus

Toute personne doit pouvoir consentir au traitement de ses renseignements personnels. Les organisations doivent ainsi obtenir ce consentement selon des modalités spécifiques. Le consentement doit être :

  • Manifeste (évident, certain, indiscutable), libre (sans contrainte) et éclairé (information suffisante).
  • Donné à des fins spécifiques et pour la durée prévue de l’utilisation. Ex. Si une personne partage ses coordonnées pour ouvrir un dossier et permettre les communications, ces données ne peuvent pas être utilisées pour envoyer une infolettre.
  • Demandé en termes simples et clairs.
  • Donné par le(s) titulaire(s) de l’autorité parentale pour les enfants de moins de 14 ans.

Le consentement doit être donné pour toute la durée de vie des RP, de la collecte à la destruction. Bien qu’il ne soit pas obligatoire de faire signer un consentement, il s’agit de la pratique la plus sûre pour consigner au dossier le consentement manifeste. Pour les sexologues en pratique autonome qui souhaitent adapter leur formulaire de consentement, les deux options suivantes sont possibles :

  1. Ajouter des clauses spécifiques aux renseignements personnels;
  2. Ajouter une annexe au consentement initial.

L’OPSQ fournit un modèle qui contient des exemples de clauses de consentement pour les renseignements personnels. Le modèle peut être adapté et utilisé comme une annexe, ou le contenu peut être reformulé et ajouté à un formulaire déjà existant :

Modèle d'annexe au consentement

Évaluation des facteurs relatifs à la vie privée (EFVP)

La CAI prévoit une démarche pour les évaluations des facteurs relatifs à la vie privée (EFVP), qui inclut les étapes d’analyse et la rédaction d’un rapport. L’objectif des EFVP est d’évaluer si les mesures en place permettent de protéger adéquatement les RP, s’il existe des failles ou des risques, puis de déterminer les mesures à mettre en place pour renforcer la protection des RP.

Les sexologues en pratique autonome ont l’obligation de procéder à une évaluation des facteurs relatifs à la vie privée (EFVP) dans les deux cas suivants :

  1. Pour tout projet d’acquisition, de développement ou de refonte d’un système d’information ou de prestation électronique (tenue de dossiers, site web, plateforme de visioconférence, etc.). Les moments clés sont donc les suivants : dès maintenant (facultatif, pour assurer la conformité à la Loi 25), en début de pratique, ou pour tout changement qui vise des outils technologiques.
  2. Pour la communication de RP à l’extérieur du Québec. L’objectif est de procéder à une évaluation individualisée pour s’assurer que l’autre juridiction contient des règles suffisamment strictes, puis de prévoir des clauses de protection en conséquence.

N.B. L’hébergement des données au Québec n’est pas une garantie de sécurité et il n’est pas interdit d’héberger les données ailleurs. Il faut procéder à une analyse des modalités des compagnies et des lois locales pour s’assurer de la conformité.

Astuce : Plusieurs compagnies qui ont une clientèle professionnelle ont une page d’information web sur les mesures de sécurité de leurs données, incluant le cryptage et le lieu d’hébergement. Certaines indiquent même correspondre aux normes professionnelles requises au Québec et/ou au Canada.

Possibilité de sanctions administratives pécuniaires

À compter du 22 septembre 2023, un manquement à une disposition de la Loi 25 pourra s’accompagner de sanctions administratives pécuniaires.

La CAI indique toutefois qu’il sera possible de prendre des mesures volontaires pour remédier au manquement ou en atténuer les conséquences. L’important demeure de se mettre en action, de prendre les mesures nécessaires pour protéger les RP, puis de répondre aux demandes de la CAI en agissant de manière raisonnable.

 

Principale mesure pour septembre 2024

Droit à la portabilité

La CAI décrit le droit à la portabilité ainsi : « À compter du 22 septembre 2024, si la personne concernée le demande, les organisations auront l’obligation de lui communiquer, dans un format technologique structuré et couramment utilisé, un renseignement personnel informatisé recueilli auprès d’elle. Cette communication pourra aussi se faire à une personne ou à un organisme autorisé à recueillir le renseignement, à la demande de la personne concernée. »

Pour les sexologues, cette disposition doit être lue avec les dispositions pertinentes sur l’accès aux dossiers. C’est donc dire que pour une demande conforme aux règles déontologiques, pour un accès au dossier ou une communication à un tiers, l’information devra être en format électronique. À titre de rappel, les règles d’accès sont prévues aux articles 27 à 31 du Code de déontologie et à la page 16 du Guide sur la tenue de dossiers.

D’ici septembre 2024, des précisions seront fournies sur le droit à la portabilité.

 

Ressources et suivis

Voici une liste de ressources à consulter pour la mise en place des mesures et en apprendre davantage sur toutes les dispositions de la Loi 25 :

Il est important de se renseigner et de rester à l’affut des changements au cours des prochains mois. Surveillez l’infolettre de l’OPSQ pour les mises à jour importantes.

Retour à la liste des nouvelles