Mémoire : PL 3 renseignements de santé et services sociaux

Fondée en 1963, la Ligue des droits et libertés (LDL) est un organisme à but non lucratif, indépendant et non partisan, qui vise à faire connaître, à défendre et à promouvoir l’universalité, l’indivisibilité et l’interdépendance des droits reconnus dans la Charte internationale des droits de l’Homme. La Ligue des droits et libertés est affiliée à la Fédération internationale pour les des droits humains (FIDH).

La LDL poursuit, comme elle l’a fait tout au long de son histoire, différentes luttes contre la discrimination et contre toute forme d’abus de pouvoir, pour la défense des droits civils, politiques, économiques, sociaux et culturels. Son action a influencé plusieurs politiques publiques et a contribué à la création d’institutions vouées à la défense et à la promotion des droits humains, notamment l’adoption de la Charte des droits et libertés de la personne du Québec et la création de la Commission des droits de la personne et des droits de la jeunesse.

Elle interpelle, tant sur la scène nationale qu’internationale, les instances gouvernementales pour qu’elles adoptent des lois, mesures et politiques conformes à leurs engagements à l’égard des instruments internationaux de défense des droits humains et pour dénoncer des situations de violation de droits dont elles sont responsables. La LDL mène des activités d’information, de formation, de sensibilisation visant à faire connaître le plus largement possible les enjeux de droits pouvant se rapporter à l’ensemble des aspects de la vie en société. Ces actions visent l’ensemble de la population, de même que certains groupes placés, selon différents contextes, en situation de discrimination.

Nous remercions la Commission des finances publiques de cette invitation à participer aux consultations particulières et auditions publiques sur le projet de loi 3, Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives.

Liste des sigles et acronymes

CAI – Commission d’accès à l’information
CAR – Centre d’accès pour la recherche
CDPDJ – Commission des droits de la personne et des droits de la jeunesse
CER – Comité d’éthique de la recherche
CEST – Commission de l’éthique en science et en technologie
CL – Chercheur-e lié-e
CNL – Chercheur-e non lié-e
DPCP – Directeur des poursuites criminelles et pénales
EFVP – Évaluation des facteurs relatifs à la vie privée
FIDH – Fédération internationale pour les des droits humains
GDN – Gestionnaire délégué aux données numériques gouvernementales
INESSS – Institut national d’excellence en santé et en services sociaux
INSPQ – Institut national de santé publique du Québec
IS – Intervenant-e-s du secteur de la santé et des services sociaux
LAI – Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels
LDL – Ligue des droits et libertés
LSSSS – Loi sur les services de santé et les services sociaux
MSSS – Ministère de la Santé et des Services sociaux
OMS – Organisation mondiale de la Santé
OP – Organisme public
OS – Organisme du secteur de la santé et des services sociaux
RGPD – Règlement général sur la protection des données
RP – Renseignement personnel
RSSS – Renseignement de santé et de services sociaux
SNDR – Système national de dépôt de renseignements

Introduction

En juin 2019, le gouvernement du Québec publiait sa Stratégie de transformation numérique gouvernementale 2019-2023[1]. Premier jalon en vue d’une numérisation des services publics « de bout en bout », la stratégie affirme vouloir placer les citoyen-ne-s « au centre de l’évolution des services, des programmes et des politiques ». Depuis, les projets de loi se bousculent pour donner forme à cette stratégie, notamment par une révision des régimes de protection des renseignements personnels en vigueur au Québec.

Le 2 octobre 2019, l’Assemblée nationale adoptait la Loi favorisant la transformation numérique de l’administration publique[2] (PL14). Elle permet l’utilisation et la communication de renseignements personnels (RP) détenus par les organismes publics (OP) pour la réalisation de projets déclarés d’intérêt gouvernemental.

Le 10 juin 2021, la Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d’autres dispositions législatives[3] (PL95) est sanctionnée. Elle décrète que les données numériques détenues par les OP constituent un actif informationnel stratégique du patrimoine numérique gouvernemental dont la mobilité et la valorisation, aux fins administratives ou de services publics, sont d’intérêt gouvernemental.

Le 22 septembre 2021, c’est la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels[4] (PL64 devenu la Loi 25) qui recevait la sanction. Vaste réforme des lois de protection des RP publique et privée, elle multiplie les autorisations d’utilisation ou de communication de RP sans consentement.

Le 2 décembre 2021, la Loi édictant la Loi sur le ministère de la Cybersécurité et du Numérique et modifiant d’autres dispositions[5] (PL6) est adoptée, en à peine cinq semaines. Elle vise la coordination des actions de l’État dans les domaines de la cybersécurité et du numérique.

La Ligue des droits et libertés (LDL) estime que cet ensemble volumineux et complexe de projets de loi a souvent fait l’objet de consultations trop précipitées pour permettre à tous les intéressés de se prononcer. Une constante se dégage par ailleurs : ces lois libéralisent l’utilisation et la communication de RP sans consentement, ce qui n’est « pas de nature à accroître le contrôle du citoyen sur les renseignements qui le concernent » comme le note la Commission d’accès à l’information (CAI) dans son mémoire sur le PL64[6].

Cette effervescence législative se poursuit maintenant avec le dépôt du projet de loi 3 (PL3), Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives[7] qui remplace le projet de loi 19 mort au feuilleton en 2022.

La protection des renseignements personnels devient encore plus névralgique à l’heure actuelle. Le développement de l’intelligence artificielle et l’extension du modèle d’affaires fondé sur l’exploitation des données ne vont pas sans risques. Et les gouvernements n’échappent pas à cet engouement pour les données. Il apparait crucial, dans ce contexte, de hausser les protections, particulièrement concernant les renseignements de santé. En octobre 2019, le Rapporteur spécial sur le droit à la vie privée de l’ONU alertait les États membres sur le fait « que la nature très sensible des données sur la santé ainsi que leur énorme valeur commerciale rendent extrêmement préoccupante l’industrie « largement cachée » de collecte, d’utilisation, de vente et de sécurisation de ces données, notamment au vu de son impact sur la vie privée[8] ».

La LDL souhaite donc l’aménagement d’un régime de protection plus robuste pour les renseignements de santé et de services sociaux (RSSS). Or, le PL3 ne satisfait pas nos attentes. Il affaiblit le contrôle des personnes sur leurs données de santé; il libéralise l’utilisation et la communication sans consentement à ces renseignements, parmi les plus sensibles. Nous craignons aussi des défaillances en matière de sécurité, le PL3 amenant une forte centralisation des données de santé, propice croyons-nous, aux incidents de confidentialité.

1. Un vaste champ d’application

Le PL3 concerne les RSSS détenus par les organismes du secteur de la santé et des services sociaux (OS). L’article 2 définit très largement le RSSS[9] : il inclut l’état de santé physique ou mentale d’une personne, ses facteurs déterminants, ses antécédents médicaux ou familiaux, tout matériel prélevé, les implants et orthèses, les services reçus et leurs résultats, etc. La liste est extensible, d’autres types de renseignements pouvant s’ajouter par voie réglementaire.

Quant à la notion d’OS, elle dépasse de loin le réseau de santé au sens habituel du terme[10]. Sont notamment concernés le Ministère de la Santé et des Services sociaux (MSSS), de nombreux organismes liés à la santé mentionnés en annexes au PL3 : les établissements publics et les établissements privés conventionnés, les cabinets privés de professionnels, les centres médicaux spécialisés, les RPA certifiées, les RI-RTF, les maisons de soins palliatifs, les entreprises funéraires, les services ambulanciers, de même que tout autre personne ou organisme déterminé par règlement.

À cela s’ajoute la personne ou le groupement qui conclut une entente pour la prestation de SSSS pour le compte de certains OS[11]. Cela inclurait les organismes communautaires ayant une entente en vertu de l’article 108 de la Loi sur les services de santé et les services sociaux (LSSSS). Or, les nombreuses règles qu’impose le PL3 peuvent compromettre l’autonomie de ces groupes, pourtant garantie à l’article 108[12].

Nous comprenons d’autre part que ce nouveau périmètre, mêlant le public et le privé, s’applique sans égard au fait que les soins et services prodigués soient assumés par l’État.

2. La protection des renseignements personnels : un enjeu de droits et libertés

Les lois de protection des RP mettent en œuvre des droits garantis par la Charte des droits et libertés de la personne[13] du Québec, tels que : le droit à l’égalité (art. 10), le droit à la dignité (art. 4), le droit à la vie privée (art. 5) et le droit au secret professionnel[14] (art. 9). Toute limitation à ces droits est soumise au test exigeant de l’article 9.1[15] de la Charte :

[L]a partie qui invoque l’art. 9.1 pour tenter de justifier la limitation d’un droit garanti par la Charte québécoise a donc la charge de prouver que cette limite est imposée dans la poursuite d’un objectif légitime et important et qu’elle est proportionnelle à cet objectif, c’est-à-dire qu’elle est rationnellement liée à l’objectif et que l’atteinte au droit est minimale […][16]

2.1. Le droit à l’égalité

Le PL3 permet de nombreux échanges de données de santé. Des fuites ou l’accès non autorisés à des renseignements portant sur l’état de santé, le handicap ou les caractéristiques génétiques d’une personne peuvent conduire à de la discrimination, notamment en matière d’assurances et d’emploi.

2.2. Vie privée et consentement : de nombreuses exceptions

Le consentement est la pierre d’assise des lois de protection des RP; il assure le contrôle de l’individu sur ses données. Ces lois visent « à renforcer le droit de regard d’une personne sur les renseignements personnels la concernant en restreignant leur collecte, leur utilisation et leur communication sans son consentement[17] ». C’est ce qu’affirme la Cour suprême en 2013, ajoutant : « Or, la faculté d’une personne d’exercer un tel droit est intimement liée à son autonomie, à sa dignité et à son droit à la vie privée[18] ».

Dans le cadre du PL3, la nécessité du consentement est exprimée à l’article 6 : « Tout consentement à l’utilisation ou à la communication d’un renseignement détenu par un organisme doit être manifeste, libre, éclairé et être donné à des fins spécifiques […] ».

Premier écueil : le consentement ne vise que l’utilisation et la communication des RSSS et non leur collecte. Cela paraît inexplicable. Pour la LDL, le consentement (manifeste, libre, éclairé, à des fins spécifiques) doit s’étendre aussi à la collecte. Le chapitre II du PL3 est d’ailleurs consacré à la « collecte et conservation d’un renseignement. »

Autre écueil : les articles 7 et 8 permettent à une personne de restreindre l’accès d’un-e intervenant-e en santé ou d’un-e chercheur-e à ses RSSS. L’article 9 précise que ce droit de refus doit être manifesté de façon expresse. C’est donc le non-consentement qui ici doit être manifeste. Bref une formule d’opting-out en contradiction apparente avec l’article 6. Dans ses commentaires sur le PL19, la Commission des droits de la personne et des droits de la jeunesse (CDPDJ) soulignait :

Or, la Commission a indiqué à de nombreuses reprises sa réticence à l’égard d’une formule de consentement présumé ou « opting-out ». Elle a affirmé que ce mode de consentement ne satisfait pas au critère du consentement manifeste[19].

Selon l’article 14 du PL3, la personne doit être informée des fins précises pour lesquelles ses RSSS sont recueillis. Pourtant à de multiples occasions, le PL3 permet l’utilisation ou la communication de ces RSSS à de toute autres fins et ce, sans consentement. Ainsi, selon les articles 55 et 57, il sera possible d’utiliser un RSSS à une autre fin que celui pour lequel il a été recueilli, lorsque son utilisation est :

- à des fins compatibles avec celles pour lesquelles il a été recueilli;
- manifestement au bénéfice de la personne concernée;
- nécessaire à l’application d’une loi au Québec;
- nécessaire à l’organisation et à l’évaluation des SSSS (dans le cas du MSSS, des établissements et des Organismes Annexe I).

Le PL3 permet aussi la communication sans consentement de RSSS :

- à des fins de recherche[20];
- si nécessaire à l’application d’une loi que cela soit prévu ou non à cette loi[21];
- si nécessaire à la réalisation de la mission ou de l’objet d’un OS, ou aux activités ou à la mise en œuvre d’un programme par un OS[22];
- si manifestement au bénéfice de la personne concernée ou justifiée par des circonstances exceptionnelles[23];
- en vue de protéger une personne d’un risque sérieux de mort ou blessures[24];
- au DPCP ou à une personne ou organisme qui, en vertu de la loi, est chargé de prévenir, de détecter ou de réprimer le crime ou les infractions aux lois[25];
- pour l’exercice d’un mandat ou l’exécution d’un contrat de services ou d’entreprise, autres que celui visant la prestation de services de santé ou de services sociaux[26];
- en cas d’incident de confidentialité à toute personne ou organisme susceptibles de diminuer le risque de préjudice[27].

Plusieurs de ces exceptions sont tirées de la LSSSS ou de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (LAI), mais le PL3 en reconnaît de nouvelles et consolide l’approche consistant à faire fi du consentement dans l’usage et la communication de RSSS.

Ces dérogations ne remplissent pas, selon nous, le test de 9.1 de la Charte. Elles écartent le principe de consentement pour la réalisation de finalités trop imprécises; il devient dès lors impossible d’établir la nécessité d’une telle atteinte ni sa proportionnalité. La LDL s’oppose à ce que des données aussi sensibles puissent être utilisées sans consentement pour certaines de ces fins beaucoup trop vagues.

2.3. Secret professionnel

Nous ignorons le nombre d’OS qui se trouveront désormais couverts par la Loi sur les renseignements de santé et de services sociaux, mais il est sans doute très élevé, ne serait-ce qu’en ce qui concerne les cabinets de professionnels (dentistes, médecins, optométristes, pharmaciens, diététistes, ergothérapeutes, chiropraticiens, psychologues, sexologues, etc.). Ces OS, dont les établissements de santé, seront tenus de fournir, sur autorisation (soit du CAR, du GDN ou de certains OS) des RSSS sur leurs patients; et donc visés pour une bonne part par le secret professionnel.

Curieusement, le PL3 fait l’impasse[28] sur le secret professionnel. Comment s’arrimera cette loi avec l’article 9[29] de la Charte des droits et libertés de la personne du Québec? En comparaison, l’article 2 de Loi concernant le partage de certains renseignements de santé (qui sera abrogée par le PL3) prévoit : « Les dispositions de la présente loi doivent être appliquées et interprétées de manière à respecter les principes suivants: 1° le droit à la vie privée de la personne et au secret professionnel […] ^[30] ».

Comme le constate la CDPDJ dans son avis sur le PL19, les exceptions prévues à la Loi sur les renseignements de santé et de services sociaux ne sauraient faire échec au secret professionnel :

Par ailleurs, puisqu’une grande partie des informations concernées sont couvertes par le droit au respect du secret professionnel et qu’aucune dérogation expresse n’a été aménagée, l’atteinte à ce droit ne serait pas conforme aux dispositions de l’article 9 de la Charte. Même si le projet de loi était amendé pour inclure une telle disposition expresse, les dispositions proposées pourraient tout de même être susceptibles de compromettre la fonction sociale du secret professionnel […][31].

Nous souscrivons à ce point de vue.

3. Accès en matière de recherche

Le PL3 aménage une procédure d’accès aux RSSS à des fins de recherche. La mécanique diffère selon que le ou la chercheur-e est lié-e ou non à certains OS (établissement public de santé, CH privé conventionné, OS de l’annexe I).

Le ou la chercheur-e lié-e (CL) exerce sa profession ou fait de la recherche pour le compte de l’un de ces trois types d’OS (par contrat de travail ou de services)[32]. Le CL peut obtenir l’accès sans consentement sur autorisation de l’OS où il travaille[33].

Le ou la chercheur-e non lié-e (CNL) n’est pas défini-e. Il semble qu’il puisse s’agir de n’importe qui. Aucune compétence n’est requise ni rattachement à un organisme, institution ou entreprise. Le CNL doit présenter une demande d’autorisation au Centre d’accès pour la recherche (CAR) visé à l’article 49.

La demande d’accès est régie par les mêmes règles pour les deux catégories de chercheur-e-s[34]. Elle doit détailler les activités; inclure une Évaluation des facteurs relatifs à la vie privée (EFVP); être approuvée par un Comité d’éthique de la recherche (CER) au sens de l’art. 21 du Code civil du Québec[35].

L’autorisation pourra être accordée si : il est déraisonnable d’exiger l’obtention du consentement de la personne concernée; l’objectif du projet de recherche l’emporte, eu égard à l’intérêt public, sur l’impact de l’accès sur la vie privée; les mesures de sécurité appropriées sont en place[36].

La personne concernée par une demande d’accès à ses données bénéficie d’un droit de refus (opt-out) : elle peut s’opposer à toute sollicitation en vue d’agir comme participant à une recherche; elle peut aussi refuser l’accès à un RSSS la concernant lorsque la demande émane d’un CNL[37]. La manière dont s’exercera ce droit sera précisée par règlement du gouvernement[38].

Voici les éléments qui nous interpellent concernant cette procédure d’accès pour la recherche.

3.1. Guichet unique

Pour la LDL, la procédure d’autorisation devrait être unifiée et toutes les demandes tranchées par le CAR. Rien ne justifie que la demande d’un chercheur lié échappe à l’examen d’un tiers indépendant.

Le CAR, dont nous présumons qu’il détiendra l’expertise nécessaire, serait mieux outillé pour : apprécier l’intérêt public du projet en comparaison de l’impact sur la vie privée; assurer une cohérence dans les décisions; et développer une vue d’ensemble sur les recherches en cours.

3.2. Centre d’accès pour la recherche

Le Centre d’accès pour la recherche (CAR) se voit confier un rôle important, celui de tiers indépendant chargé de disposer des demandes d’accès en recherche. C’est aussi lui qui obtient les RSSS, et réalise les fichiers et les analyses auxquels il donne l’accès.

Il est donc inexplicable que cet organisme ne soit pas identifié dans la loi. Il sera déterminé plus tard par le gouvernement[39], et ce parmi certains organismes visés à l’article 2 de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement[40]. Cette façon de procéder est contestable. Comment tenir un débat éclairé sur le processus d’accès en matière de recherche alors même que l’identité de l’Autorité chargée d’arbitrer les demandes demeure inconnue?

Notons que la CAI fait partie des organismes qui pourraient être pressentis, de même que la Commission de l’éthique en science et en technologie (CEST), la Commission des droits de la personne et des droits de la jeunesse (CDPDJ), l’Institut national d’excellence en santé et en services sociaux (INESSS), l’Institut national de santé publique du Québec (INSPQ) et les trois Fonds de recherche du Québec. Le CAR pourra aussi être secondé dans sa tâche par un ou des organismes désignés par le MSSS[41].

Vu son rôle de cerbère des RSSS, l’autonomie du CAR est névralgique. L’organisme devrait bénéficier d’un fort niveau d’indépendance par rapport au gouvernement. La stratégie numérique de l’État fait de la valorisation des données son credo; il apparaît probable, dans ce contexte, que l’exploitation des données soit toujours vue comme bénéfique en soi par le gouvernement. Or, le CAR ne devra pas escamoter l’étape d’évaluation sérieuse de l’intérêt public vs l’impact sur la vie privée.

La CAI présente selon nous l’indépendance, l’impartialité et l’expertise nécessaires pour être désignée comme CAR. Elle assumait déjà un rôle similaire en vertu de l’article 125 de la LAI. Malheureusement cette fonction lui est retirée par la Loi 25. Nous avions dénoncé ce fait dans notre mémoire sur ce projet de loi[42]. Si un autre organisme devait être choisi, il devrait s’adjoindre l’expertise de la CAI pour l’exercice de ses fonctions. Dans tous les cas de figure, les ressources nécessaires devraient être allouées à la CAI pour remplir cette mission.

Nous regrettons par ailleurs qu’aucun mécanisme ne soit mis en place assurant le débat public dans l’utilisation des données collectives. Comme le souligne la CEST « Il est donc non seulement légitime, mais également utile et pertinent d’inclure la société civile dans les controverses et les débats publics qui concernent des enjeux scientifiques[43] ».

Il importe à tout le moins de publiciser au maximum la nature des recherches entreprises. L’article 54 prévoit qu’un rapport annuel des accès autorisés par le CAR devra être transmis à la CAI et au ministre. La forme et la teneur de ce rapport seraient fixées par le ministre.

Pour la LDL, il conviendrait de préciser à la loi certains éléments de ce rapport comme : la nature des recherches, leurs résultats, l’affiliation des chercheur-e-s, le nombre de personnes concernées par les autorisations d’accès, les raisons justifiant de passer outre au consentement. Le rapport devrait être rendu public et le CAR devrait s’assurer qu’il fasse l’objet d’une discussion publique.

3.3. Déraisonnable d’exiger le consentement

Selon l’article 42, la demande pourra être accordée si « il est déraisonnable d’exiger l’obtention du consentement de la personne concernée ».

Le consentement en matière de recherche doit demeurer la règle; la confiance du public et l’adhésion de la population au partage de données en dépendent. Comme le rapporte la CDPDJ, les conseils de recherche du Canada adoptent le critère plus sévère « d’impossibilité » :

Par comparaison, en vertu de l’Énoncé de politique des trois conseils, un comité d’éthique de la recherche donne son approbation à un projet de recherche dans lequel il n’est pas prévu d’obtenir le consentement des participants s’il est convaincu et obtient la preuve qu’« il est impossible ou pratiquement impossible de mener à bien la recherche et de répondre de manière satisfaisante à la question de recherche si le consentement préalable des participants est requis ». De même, l’Association médicale mondiale estime que le consentement est nécessaire pour accéder à des informations déjà contenues dans les banques à moins « de situations exceptionnelles, où il est impraticable, voire impossible d’obtenir le consentement ». Le législateur devrait donc justifier le recours à un critère moins sévère que celui qui est préconisé par les organismes experts[44].

L’allégation voulant qu’il serait « déraisonnable d’exiger l’obtention du consentement » peut constituer un expédient commode. Compte tenu de l’atteinte à la Charte, un critère plus exigeant s’impose. À l’instar de la CDPDJ, nous estimons que le consentement devrait prévaloir sauf impossibilité.

Il importe par ailleurs d’innover dans l’obtention du consentement, notamment grâce au numérique :

One form of consent that could improve individual control and choice is electronic informed consent, in which online forms and communication are used to give consent for various uses of health data. Electronic informed consent could allow users better understanding of how their data will be used and improve their control of the data[45].

Le PL3 innove à cet égard en autorisant le méta-consentement: visant des thématiques de recherche, des catégories d’activités de recherche ou des catégories de chercheurs (art.6), ce que nous saluons.

Par ailleurs, le droit d’une personne de refuser l’accès à ses renseignements (opt-out) devrait s’appliquer, peu importe que le chercheur soit lié ou non lié à un OS. La procédure d’exercice de ce droit devrait être publicisée, simple et facile d’accès. Il conviendra de s’assurer que les formulaires de refus ou de méta-consentement sont clairs et précis et permettent d’exercer un choix éclairé.

3.4. Intérêt public

Cette expression devrait être définie. Comme le souligne l’OMS : « Another concern is that a government or a company may define “public interest” in a way that is not based on public health or patient need[46] ».

Il convient selon nous de limiter les autorisations d’accès aux recherches poursuivant le bien commun, visant l’amélioration de la santé et du bien-être, servant des fins socialement utiles et assurant le partage des résultats et des bénéfices[47]. Ceci étant, la LDL inclurait, en plus de la recherche pour un OS, la recherche académique financée par les fonds publics. Ces chercheur-e-s sont rattaché-e-s à des institutions publiques agréées pour fins de subvention, et encadré-e-s par des normes éthiques pouvant mener à des sanctions[48].

En revanche, nous exclurions la recherche par ou associée à des entités commerciales, car elle échappe à un tel encadrement public. Au surplus, ce type d’entreprises ne priorise pas le bien commun, mais le profit. Qu’on pense aux GAFAM (Google, Apple, Facebook, Amazon, Microsoft) de même qu’aux entreprises pharmaceutiques et technologiques qui investissent de plus en plus le domaine médical[49]. L’entreprise privée n’est soumise à aucune règle de transparence quant à ses activités. Médecins Sans Frontières (Canada) note, concernant les pharmaceutiques :

Les sociétés pharmaceutiques montrent un très mauvais bilan en matière de transparence – tant au niveau des accords de licence et des transferts de technologie qu’au niveau des coûts de recherche et développement, ou encore concernant les données des essais cliniques – et le peu d’informations qui ont été révélées au sujet des promesses à but non lucratif d’AstraZeneca devrait être un signe d’avertissement que l’on ne peut pas faire confiance à l’industrie pharmaceutique pour agir dans l’intérêt de la santé publique[50].

Comme le note aussi l’Organisation mondiale de la Santé (OMS) :

Thus, conscripting health data with the broad goal of contributing to the public good is questionable when the data are shared with a commercial entity, whatever the intended product or service[51].

3.5. Dépersonnalisation

Selon le PL3 l’accès aux RSSS doit se faire sous une forme ne permettant pas l’identification directe des personnes, lorsque la réalisation de la recherche est possible sous cette forme[52]. C’est donc dire que l’accès à des données nominatives n’est pas exclu. Pour la LDL, tout accès aux RSSS nominatifs devrait faire l’objet d’un consentement express.

Par ailleurs, la forme dépersonnalisée n’est pas sans failles[53]; elle suppose même une possible réidentification. Compte tenu de la nature extrêmement sensible des RSSS, c’est l’anonymisation qui devrait être priorisée comme règle[54], comme le prône le Rapporteur spécial sur le droit à la vie privée de l’ONU : « Les données de santé provenant de systèmes de dossiers médicaux électroniques doivent être utilisées à des fins de recherche sous une forme anonymisée[55] ».

Précisons que même anonymisés, les RSSS devraient demeurer protégés par la loi.

4. Utilisation de RSSS par l’administration publique

Le Gestionnaire délégué aux données numériques gouvernementales (GDN) du MSSS pourra autoriser la communication de RSSS à un autre organisme du secteur de la santé et des services sociaux (OS), à un organisme public (OP), à un ordre professionnel ou à un organisme d’un autre gouvernement :

- Pour l’application d’une loi si non prévue à cette loi;
- Aux fins de la mission, de l’objet, des fonctions, des activités ou d’un programme du demandeur;
- Si manifestement au bénéfice de la personne concernée ou pour circonstances exceptionnelles[56].

Le GDN pourra autoriser la communication s’il estime déraisonnable d’exiger le consentement et que les finalités de celle-ci l’emportent, eu égard à l’intérêt public, sur l’impact sur la vie privée.

Ajoutons qu’en vertu de l’article 57, le MSSS, de même qu’un établissement de santé ou un Organisme de l’annexe I pourront utiliser des RSSS qu’ils détiennent, sans consentement, si « nécessaire à l’organisation et à l’évaluation des services de santé et de services sociaux. » Nous comprenons par ailleurs que les RSSS pourraient servir aux fins administratives ou de services publics énoncés au PL95[57].

Un tel spectre de finalités autorise pratiquement tous les usages. Qui plus est, alors que l’échange de renseignements entre OS était soumis à l’avis de la CAI[58], donc d’un tiers indépendant, le GDN, qui désormais remplira ce rôle, ne possède aucune indépendance; c’est le gestionnaire aux données numériques du MSSS.

Le PL3 aménage de fait une autorisation générale d’usage des RSSS par l’administration publique, sans égard à la nature très sensible de ces renseignements.

La définition de RSSS est excessivement large. Elle est aussi univoque; elle ne distingue pas selon le type d’utilisation. Elle englobe les traitements médicaux reçus, les thérapies suivies, les examens réalisés, les maladies diagnostiquées, les médicaments prescrits, les problèmes de santé mentale, les problèmes familiaux ou sexuels, les tests génétiques, etc.

On comprend bien la nécessité pour les professionnel-le-s de la santé d’obtenir les historiques de traitements, radiographies, tests, analyses et autres éléments d’un dossier patient si cela est nécessaire à la prestation de services. Mais comment justifier l’accès à ces données hypersensibles à des fins d’organisation et d’évaluation de services? Ou encore à des fins administratives ou de services publics?

Pour la LDL le législateur doit limiter strictement le type de RSSS accessible à des fins administratives et de gestion. Et ces limites devraient apparaître à la loi.

5. Accès du DPCP et des corps policiers aux RSSS

L’article 68 autoriserait un OS à fournir un RSSS qu’il détient au Directeur des poursuites criminelles et pénales (DPCP) ou à un organisme chargé de prévenir, de détecter ou de réprimer le crime ou les infractions aux lois. La LDL conteste un tel pouvoir. Comme le souligne Me Marco Laverdière[59] :

On reste perplexe devant la légèreté avec laquelle on a prévu cette exception, qui semble autoriser la communication de renseignements de santé généralement protégés par le secret professionnel, sous la seule condition que ce soit nécessaire à une poursuite pour une infraction à une loi applicable au Québec[60].

Le système de santé et de services sociaux n’a pas vocation à amasser de la preuve pour le DPCP ou les corps policiers :

La confiance que le public doit avoir dans l’administration des services médicaux serait mise à rude épreuve si l’on devait autoriser la circulation libre et informelle de renseignements, et, particulièrement de substances corporelles, des hôpitaux vers la police. […] Il existe une procédure établie et bien connue pour obtenir ce genre de preuve lorsque l’agent a des motifs raisonnables et probables de croire qu’un crime a été commis[61].

Si le DPCP ou les policiers veulent accéder à des RSSS qu’ils obtiennent un mandat judiciaire. C’est ce que prescrit le Rapporteur spécial de l’ONU sur la vie privée :

L’accès à des données de santé ou à des données génétiques provenant de bases de données qui n’ont pas de but criminalistique spécifié, pour prévenir ou détecter une infraction spécifique, ou procéder à des poursuites doit faire l’objet d’un contrôle judiciaire[62].

C’est aussi ce que prévoit actuellement l’article 19 par. 1 de la LSSSS[63] pour le dossier d’usager; une disposition qui sera abrogée par l’article 225 du PL3.

6. Destruction ou anonymisation

Le PL19 prévoyait qu’un OS devait détruire les RSSS lorsque les fins pour lesquelles ils avaient été recueillis étaient accomplies. Le PL3 ouvre une alternative : destruction ou anonymisation, au choix de l’OS[64].

La possibilité de conserver une masse importante de RSSS dont la finalité est accomplie soulève des inquiétudes. La seule façon sécuritaire de disposer de données après utilisation est la destruction. L’anonymisation est un procédé faillible, voire chimérique[65]. Selon une étude de 2019 de l’Université catholique de Louvain en mathématiques appliquées, « l’entièreté des techniques [d’anonymisation] qui sont utilisées jusqu’ici ne sont pas assez robustes[66] ».

L’anonymisation d’un RSSS peut constituer un pis-aller en matière de recherche (voir section 3). Mais une fois que la finalité d’un RSSS est accomplie il devrait être détruit. C’est du reste ce que prévoyait le PL19[67].

7. Communication de RSSSS à l’extérieur du Québec

Pendant longtemps la LAI a soumis le transfert de renseignements personnels hors Québec à une obligation de protection équivalente des données dans le pays receveur[68]. Malheureusement avec la Loi 25 (modifiant la LAI) l’équivalence de protection a été abandonnée au profit d’une « protection adéquate » dans le pays tiers. C’est cette formule diluée que reprend le PL3[69].

Ainsi, avant de permettre la communication d’un RSSS à l’extérieur du Québec[70], on devra procéder à une évaluation d’impact sur la vie privée devant tenir compte, entres autres du :

[R]égime juridique applicable dans l’État où ce renseignement serait communiqué, notamment les règles de protection des renseignements de santé et de services sociaux qui y sont applicables[71].

La communication peut s’effectuer si l’évaluation démontre que le renseignement bénéficierait d’une protection adéquate, notamment au regard des principes de protection des renseignements personnels généralement reconnus[72].

À quels principes de protection réfère-t-on ? Ils sont non précisés; et le régime juridique étranger ne semble pas requérir de loi contraignante.

Nous déplorons qu’au moment même où les échanges transfrontaliers se multiplient le législateur baisse la garde et affaiblisse le bouclier de protection des RP. D’autant qu’il s’agit ici de renseignements relatifs à la santé et donc extrêmement sensibles.

Où qu’elles soient dans le monde et peu importe qui y accède, les données de santé des Québécois-e-s devraient recevoir une protection identique. La demande n’a rien d’inconcevable; le Règlement général sur la protection des données (RGPD) offre une telle garantie aux Européen-ne-s :

Le RGPD étend le champ d’application territorial pour offrir une protection élargie à toutes les personnes concernées qui se trouvent dans l’Union européenne, indépendamment de la localisation effective du traitement [des données][73].

Imposer un régime équivalent de protection pare au risque que les activités visant des renseignements sensibles soient externalisées vers des juridictions moins protectrices des données personnelles.

À tout le moins, à l’instar de ce que prévoit le RGPD, un contrat type obligatoire devrait être établi par la CAI pour toute communication à l’extérieur du Québec[74]. Ce contrat devrait prescrire des garanties contractuelles assurant une équivalence de protection.

8. Incident de confidentialité

Un OS devra aviser toute personne dont un renseignement a fait l’objet d’un incident de confidentialité. L’avis n’a toutefois pas à être donné « tant que cela serait susceptible d’entraver une enquête[75]. » Nous avions critiqué une telle réserve dans le cadre du PL64. Nous réitérons ici notre préoccupation; l’enquête sur une fuite ou un vol de renseignements peut s’avérer longue : priver les personnes intéressées du droit d’être informées est difficilement justifiable.

9. Système national de dépôt de renseignements

La mise en place du Système national de dépôt de renseignements (SNDR)[76] assure la mobilité des RSSS en vue de permettre les nombreux échanges qu’autorise le PL3. On y « recueillerait la majorité des RSSS qui concernent une même personne »; celle-ci y aurait accès de même que ses représentants et les intervenants en santé. « Il pourrait également être utilisé pour permettre les autres consultations autorisées par la loi pour l’ensemble des organismes du SSSS[77]. »

Nous craignons qu’une telle centralisation de données attise la convoitise des pirates informatiques et augmente les risques de piratages, de fraudes ou d’attaques par rançongiciels. Et ce, alors que la cybercriminalité est en nette progression partout dans le monde[78]. Les dommages en cas de fuite seraient irréparables. Comme le note l’OMS :

Thus, once an individual’s medical history is exposed, it cannot be replaced in the same way as a new credit card can be obtained after a breach[79].

Nos craintes sont d’autant plus vives que le ministre pourra confier la gestion opérationnelle du SNDR, en tout ou en partie, à un tiers : lequel pourra lui-même, sur simple avis au ministre, donner à sous-contrat les services d’hébergement, d’opération ou d’exploitation du système[80]. Cette sous-délégation peut en outre s’étendre aux registres permettant l’identification unique des usagers, des IS et des OS. Bref le ministre s’en remettrait à des tiers pour agir comme gardiens des RSSS détenus par les OS. La LDL juge inadmissible de sous-traiter une telle responsabilité.

On peut aussi redouter que le stockage des RSSS s’effectue hors frontières ou via des entreprises soumises au contrôle de gouvernements étrangers; ce qui compromettrait la souveraineté numérique du Québec sur les données de ses citoyen-ne-s[81].

Rappelons que depuis 2001, l’US Patriot Act autorise les services de sécurité américains à accéder aux données, détenues par des particuliers ou des entreprises, et stockées sur le territoire américain. De plus, depuis mars 2018, le Cloud Act permet à ces mêmes autorités américaines d’accéder aux données hébergées (en infonuagerie) par un fournisseur américain, même si ces informations sont stockées à l’étranger[82].

10. Pouvoirs réglementaires

Le PL3 porte sur les renseignements de santé et services sociaux (RSSS) détenus par les organismes du secteur de la santé et des services sociaux (OS), deux notions cruciales pour définir sa portée. Or, le gouvernement pourrait ajouter, à la définition déjà extrêmement large de RSSS, tout autre renseignement dont la caractéristique serait déterminée par règlement[83]. Le gouvernement pourrait aussi allonger la liste des OS pour inclure « toute autre personne, toute autre société ou tout autre organisme déterminé par règlement du gouvernement[84] ». Pour la LDL, il n’est pas acceptable de renvoyer ainsi tout le champ d’application de la loi à la discrétion du pouvoir exécutif.

11. Inclusion (ou non) de certaines dispositions de la Loi 25

11.1. Système d’identification, de localisation ou de profilage

Nous saluons le fait que le PL3 intègre certaines dispositions de la Loi 25, notamment l’obligation de dénoncer l’utilisation d’un système d’identification, de localisation ou de profilage et la désactivation par défaut d’une telle technologie[85].

11.2. Système automatisé de décision^[86]

Nous regrettons que l’article 58 du PL3 ne confère pas un droit d’opposition au traitement entièrement automatisé d’une décision, comme le prévoit l’article 22 du RGPD.

Qui plus est l’article 58 est trop limitatif; il cible la « décision fondée exclusivement sur un traitement automatisé ». Il suffira qu’un seul élément, même mineur, échappe au traitement automatisé pour que la personne visée par la décision soit privée de tout droit, ce qui n’apparait pas acceptable.

Quant à l’article 74 du PL3, il soumet l’utilisation d’un tel système de décision à la réalisation d’une analyse d’impact algorithmique permettant d’évaluer les risques de préjudice. S’agit-il de s’enquérir d’éventuels biais discriminatoires? Qui certifiera l’innocuité de ces programmes informatiques? Quelle reddition de compte pour ces algorithmes?

Une obligation de transparence s’impose à l’État dans l’utilisation des algorithmes. Leur fonctionnement logique devrait être divulgué publiquement et de façon proactive. De plus, un système d’audit indépendant devrait garantir que les algorithmes utilisés respectent la loi, les droits de la personne et sont exempts de biais discriminatoires.

11.3. Sanctions pénales et administratives

Nous regrettons enfin que les fortes amendes administratives et pénales basées sur le chiffre d’affaires[87] de même que la possibilité de dommages-intérêts punitifs[88], mesures introduites par la Loi 25 (en cas de violation de la Loi sur le secteur privé), n’aient pas été reprises dans le PL3, pour les entreprises privées qui y sont assujetties.

12. Des données, pour quoi faire?

Par-delà l’impact sur la vie privée et les autres droits humains, la LDL s’inquiète des enjeux liés au droit à la santé [89] que soulèvent les projets gouvernementaux d’accès tous azimuts aux RSSS. Le PL3 dit vouloir en optimiser l’usage pour améliorer la qualité des services et permettre une gestion du système basée « sur la connaissance des besoins des personnes et de la consommation des services[90] ».

Nous craignons qu’un recours aveugle aux données mène à une standardisation des pratiques, au détriment d’une approche décentralisée plus respectueuse du contexte local et du personnel. Nous appréhendons aussi le profilage de consommation de soins; le contrôle des pratiques professionnelles; l’imposition d’outils d’évaluation supplantant le jugement professionnel; l’introduction du financement à l’activité, dont les effets pervers sont bien documentés[91]. De plus, l’approche technologique pourrait entraîner une intensification du management de type Lean « où l’efficacité est obtenue grâce à la normalisation, la mécanisation et l’optimisation constante des procédures et des processus de prise en charge[92] ».

C’est d’ailleurs ce que met en lumière un projet expérimental en cours[93] reposant sur l’obtention d’une multitude de renseignements clinico-administratifs. La collecte de ces renseignements a pour objectif de se donner les moyens de calculer les coûts par parcours de soins et de services de chaque patient-e, d’en comparer les coûts et de développer un modèle de financement du réseau axé sur le patient.

Dans la mesure où cette approche risque d’avoir pour effet de financer les hôpitaux en raison des actes médicaux dispensés il est à craindre que cette forme de financement ne renforce le modèle hospitalo-centrique au détriment d’un modèle qui soit en mesure d’assurer, en plus de l’accès aux soins de santé, l’accès à différents services sociaux qui font si cruellement défaut alors qu’ils ont une incidence certaine sur l’état de bien-être physique, mental et social, objectif central du droit à la santé.

Conclusion

Le droit à la vie privée – en matière d’information – ne se résume pas au stockage sécuritaire des données et au respect de la confidentialité. Il concerne d’abord le contrôle de l’individu sur ses informations personnelles :

[L]es cas abondent où on se doit de protéger les attentes raisonnables de l’individu que ces renseignements seront gardés confidentiellement par ceux à qui ils sont divulgués, et qu’ils ne seront utilisés que pour les fins pour lesquelles ils ont été divulgués[94].

Le PL3 aménage l’accès à une masse imposante de renseignements parmi les plus intimes. L’emprise du gouvernement sur ces données s’étendra bien au-delà du système de santé « traditionnel »; elle inclut les RSSS détenus par des organismes tant publics que privés. Ces renseignements ont été fournis en vue de recevoir des soins médicaux et des services sociaux. Le PL3 permettra qu’ils soient utilisés, sans consentement, à de tout autres fins. Comme l’affirme la CAI dans son mémoire sur le PL95 :

[L]es citoyens « confient » leurs renseignements personnels aux organismes publics dans un contexte et à une fin spécifique. Ils ne renoncent pas pour autant à la « propriété » de ces renseignements ni à exercer tout contrôle sur ceux-ci, d’autant que souvent, ils n’ont pas le choix de les transmettre aux organismes publics (pour s’acquitter d’obligations fiscales, pour recevoir une prestation, etc.)[95].

La CAI recommandait dans ce même mémoire que les exceptions permettant l’utilisation ou la communication de RP sans le consentement des personnes soient spécifiques et limitées[96]. Le PL3 ne rencontre pas ces exigences; il autorise l’utilisation et la communication de RSSS sans consentement à des fins imprécises et excessivement larges[97].

Au chapitre de la recherche, la LDL prône un régime unifié d’autorisation d’accès, sous l’égide d’un organisme indépendant (soit la CAI, ou du moins associé à la CAI). Le critère « d’impossibilité » devrait prévaloir pour passer outre au consentement. Il conviendrait de définir la notion d’intérêt public au sens de bien commun (visant l’amélioration de la santé et du bien-être, servant des fins socialement utiles et assurant le partage des résultats et des bénéfices). Nous exclurions la recherche par des entités commerciales ou associées. Sauf consentement, les données ne devraient être disponibles que sous forme anonymisée.

Sur le plan de la sécurité des RSSS, la LDL entretient de fortes appréhensions. Le SNDR entraînera une concentration importante de renseignements, propice selon nous aux attaques et fuites de tous genres. Les dommages en cas d’incidents seraient irréparables.

Par ailleurs la communication de données à l’extérieur du Québec ne présente pas de garanties satisfaisantes; l’exigence d’un régime juridique « adéquat » dans le pays tiers est insuffisante. Pour minimiser les risques, le législateur devrait rétablir le critère de « régime équivalent ». À tout le moins un contrat type établi par la CAI, et prescrivant les principes de protection applicables, devrait obligatoirement régir la communication hors frontières.

Finalement, la LDL s’interroge sur les objectifs plus lointains de cette réforme. Le PL3 brouille les frontières entre le public et le privé en matière soins. Nous craignons que ce périmètre élargi ne soit l’occasion d’une privatisation accrue du régime public de santé et services sociaux. Si le dossier doit « suivre le patient »… où enverra-t-on ce patient?

Résumé de nos positions

1. Consentement

Le consentement manifeste, libre, éclairé, à des fins spécifiques de l’article 6 doit s’étendre à la collecte.

2. Secret professionnel

Les exceptions prévues à la Loi sur les renseignements de santé et de services sociaux ne doivent pas faire échec au secret professionnel.

3. Accès en matière de recherche

La LDL prône un régime unifié d’autorisation d’accès, sous l’égide d’un organisme indépendant (soit la CAI, ou du moins associé à la CAI). Le consentement devrait être la règle sauf impossibilité. Il conviendrait de définir la notion d’intérêt public au sens de bien commun (visant l’amélioration de la santé et du bien-être, servant des fins socialement utiles et assurant le partage des résultats et des bénéfices). Nous exclurions la recherche par des entités commerciales ou associées à celles-ci. Les données ne devraient être disponibles que sous forme anonymisée, sauf impossibilité.

La loi devrait préciser certains éléments à inclure au rapport annuel du CAR comme : la nature des recherches, leurs résultats, l’affiliation des chercheur-e-s, le nombre de personnes concernées par les autorisations d’accès, les raisons justifiant de passer outre au consentement. Le rapport devrait être rendu public et le CAR devrait s’assurer qu’il fasse l’objet d’une discussion publique.

4. Utilisation de RSSS par l’administration publique

L’accès sans consentement aux données de santé doit demeurer l’exception, et ces exceptions devraient être précisément énoncées dans la loi.

Le législateur doit limiter strictement le type de RSSS accessible à des fins administratives et de gestion.

5. Accès du DPCP et des corps de police aux RSSS

Nous nous opposons à l’article 68. Un OS ne devrait fournir un renseignement de santé au DPCP ou à un organisme chargé de prévenir ou réprimer le crime que sous autorisation judiciaire.

6. Destruction ou anonymisation

L’article 103 devrait prescrire la destruction obligatoire des RSSS au terme de leur utilisation.

7. Communication de RSSS à l’extérieur du Québec

Les règles entourant la communication de RSSS à l’extérieur du Québec n’offrent pas une protection satisfaisante; l’exigence d’un régime juridique « adéquat » dans le pays tiers est insuffisante. Pour minimiser les risques, le législateur devrait rétablir le critère de « régime équivalent de protection ».

À tout le moins, à l’instar de ce que prévoit le RGPD, un contrat type obligatoire devrait être établi par la CAI pour toute communication à l’extérieur du Québec. Ce contrat devrait prescrire des garanties contractuelles assurant une équivalence de protection.

8. Incident de confidentialité

Toute personne concernée par un incident de confidentialité présentant un risque de préjudice sérieux devrait en être avisée avec diligence. Nous nous opposons à la réserve permettant de différer l’avis donné « tant que cela serait susceptible d’entraver une enquête ».

9. Système national de dépôt de renseignements

Nous craignons que la centralisation des données de santé dans le Système national de dépôt de renseignements (SNDR) augmente les risques de piratage et de fuites.

La gestion opérationnelle du SNDR ne devrait pas pouvoir être sous-traitée à un tiers par le ministre.

Les données du SNDR devraient être hébergées au Québec.

10. Pouvoirs réglementaires

Nous nous opposons à ce que les notions de « renseignement de santé et de services sociaux » et d’« organisme du secteur de la santé et des services sociaux » puissent faire l’objet d’une extension par règlement du gouvernement.

11. Système automatisé de décision

Nous regrettons que l’article 58 ne confère pas un droit d’opposition au traitement entièrement automatisé d’une décision, comme le prévoit l’article 22 du RGPD.

12. Des données : pour quoi faire?

La LDL s’inquiète d’une utilisation des données qui mènerait à une standardisation des pratiques dans le réseau, au détriment d’une approche décentralisée plus respectueuse du contexte local et du personnel. Nous appréhendons aussi le profilage de consommation de soins; le contrôle des pratiques professionnelles; l’imposition d’outils d’évaluation supplantant le jugement professionnel; l’introduction du financement à l’activité, dont les effets pervers sont bien documentés et une intensification du management de type Lean.

[1] Secrétariat du Conseil du trésor, Stratégie de transformation numérique gouvernementale 2019-2023, juin 2019. En ligne : https://www.tresor.gouv.qc.ca/fileadmin/PDF/ressources_informationnelles/Strategie_TNG.pdf

[2] En ligne : http://www2.publicationsduquebec.gouv.qc.ca/dynamicSearch/telecharge.php?type=5&file=2019C17F.PDF

[3] En ligne : http://www2.publicationsduquebec.gouv.qc.ca/dynamicSearch/telecharge.php?type=5&file=2021C22F.PDF

[4] En ligne : http://www2.publicationsduquebec.gouv.qc.ca/dynamicSearch/telecharge.php?type=5&file=2021C25F.PDF

[5] En ligne : http://www2.publicationsduquebec.gouv.qc.ca/dynamicSearch/telecharge.php?type=5&file=2021C33F.PDF

[6] CAI, Mémoire sur le projet de loi 64, 29 septembre 2020, p. 40. En ligne : https://www.cai.gouv.qc.ca/documents/CAI_M_projet_loi_64_modernisation_PRP.pdf

[7] En ligne : https://www.assnat.qc.ca/fr/travaux-parlementaires/projets-loi/projet-loi-3-43-1.html

[8] ONU, Troisième Commission : le respect des données médicales et le versement de réparations pour l’esclavage dominent le débat, 74^e session, AG/SHC/4276, 29 octobre 2019. En ligne : https://press.un.org/fr/2019/agshc4276.doc.htm

[9] Selon l’article 2 cela inclut tout renseignement : 1° qui concerne l’état de santé physique ou mentale d’une personne et ses facteurs déterminants, y compris ses antécédents médicaux ou familiaux; 2° qui concerne tout matériel prélevé dans le cadre d’une évaluation ou d’un traitement, incluant le matériel biologique, ainsi que tout implant, orthèse, prothèse ou autre aide suppléant à une incapacité de cette personne; 3° qui concerne les services de santé ou les services sociaux offerts à cette personne, notamment la nature de ces services, leurs résultats, les lieux où ils ont été offerts et l’identité des personnes ou groupements qui les ont offerts; 4° qui a été obtenu dans l’exercice d’une fonction prévue par la Loi sur la santé publique (chapitre S-2.2); 5° toute autre caractéristique déterminée par règlement du gouvernement.

[10] Sont visés : le MSSS, un Établissement de santé, un prestataire de services pour un OS, un organisme de l’annexe I (Commissaire à la santé, Commission sur les soins de vie, Urgences-santé, Héma-Québec, INESSS, INSPQ, Office des personnes handicapées, RAMQ, un organisme qui assure la coordination des dons d’organes) et de l’annexe II (Cabinet privé de professionnel, CMS, Centre de communication santé, Centre de procréation assistée, Laboratoire, RPA certifiée, RI-RTF, Entreprise funéraire, Services ambulanciers, Maison de soins palliatifs), de même que tout autre personne ou organisme déterminé par règlement.

[11] PL3, article 4, par. 4.

[12] LSSSS, art. 108, alinéa 6 : Dans le cas d’une entente conclue entre un établissement et un organisme communautaire visé au titre II de la présente partie, celle-ci doit respecter les orientations, les politiques et les approches que se donne l’organisme communautaire.

[13] RLRQ. c. C-12.

[14] RLRQ. c. C-12, article 9 : Chacun a droit au respect du secret professionnel. Toute personne tenue par la loi au secret professionnel et tout prêtre ou autre ministre du culte ne peuvent, même en justice, divulguer les renseignements confidentiels qui leur ont été révélés en raison de leur état ou profession, à moins qu’ils n’y soient autorisés par celui qui leur a fait ces confidences ou par une disposition expresse de la loi.

[15] RLRQ. c. C-12, article 9.1 : Les libertés et droits fondamentaux s’exercent dans le respect des valeurs démocratiques, de la laïcité de l’État, de l’ordre public et du bien-être général des citoyens du Québec.

La loi peut, à cet égard, en fixer la portée et en aménager l’exercice.

[16] Godbout c. Longueuil (Ville), 1997 CSC 335, par. 104. En ligne : https://canlii.ca/t/1fqxn

[17] Alberta (Information and Privacy Commissioner) c. Travailleurs et travailleuses unis de l’alimentation et du commerce, section locale 401, 2013 CSC 62. En ligne : https://canlii.ca/t/g1vf7

[18] Idem.

[19] CDPDJ, Lettre sur le projet de loi 19, Loi sur les renseignements de santé et de services sociaux, 19 avril 2022. En ligne : https://www.cdpdj.qc.ca/fr/actualites/lettre-rsss

[20] PL3, articles 39 à 54.

[21] PL3, articles 65 et 73.

[22] Idem.

[23] Idem.

[24] PL3, article 67.

[25] PL3, article 68.

[26] PL3, article 70.

[27] PL3, articles 100 et 240 (édictant l’article 524 LSSS).

[28] Sauf certaines modifications apportées aux lois professionnelles et permettant la communication de RSSS en cas de risques de mort ou blessures graves.

[29] Op. cit.

[30] En ligne : https://www.legisquebec.gouv.qc.ca/fr/document/lc/P-9.0001

[31] CDPDJ, op. cit. 19 avril 2022.

[32] PL3, article 8 in fine.

[33] PL3, articles 39 et ssq.

[34] PL3, article 50.

[35] PL3, article 39.

[36] PL3, articles 42 et 50.

[37] PL3, article 8.

[38] PL3, article 9.

[39] PL3, article 49 : Le gouvernement, sur recommandation du ministre, charge d’agir à titre de centre d’accès pour la recherche l’un des organismes visés à l’article 2 de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (chapitre G-1.03).

[40] En ligne : https://www.legisquebec.gouv.qc.ca/fr/document/lc/G-1.03

[41] PL3, article 52.

[42] LDL, Mémoire sur le projet de loi 64, 23 septembre 2020. En ligne : https://liguedesdroits.ca/memoire-consultations-pl64-protection-renseignements-personnels/

[43] Commission de l’éthique en science et en technologie, Les avantages de la participation citoyenne dans les controverses politiques et scientifiques, 12 novembre 2021. En ligne : https://www.ethique.gouv.qc.ca/fr/actualites/ethique-hebdo/eh-2021-11-12

[44] CDPDJ, op. cit., 19 avril 2022.

[45] OMS, Ethics and governance of artificial intelligence for health: WHO guidance, 28 juin 2021, p.82. En ligne : https://www.who.int/publications/i/item/9789240029200

[46] Idem, p. 83.

[47] Kalkman et al., « Responsible data sharing in international health research: a systematic review of principles and norms », BMC Medical Ethics 20 (21), 2019, p. 7. En ligne : https://bmcmedethics.biomedcentral.com/articles/10.1186/s12910-019-0359-9

« Many sources require that the burdens and benefits of data sharing are fairly allocated. In other words, data sharing efforts should adhere to principles of distributive justice […] Benefits to individuals and society should be maximised and harms should be minimised and thus should also be proportional. »

[48] Fonds de recherche du Québec, Mémoire sur le projet de loi 95, 25 mai 2021. En ligne : https://frq.gouv.qc.ca/app/uploads/2022/07/memoire-frq_pl-95_vf.pdf

[49] Mydigitalweek, Les stratégies des GAFAM et des Big Tech dans la santé, 22 février 2020. En ligne : https://mydigitalweek.com/les-strategies-des-gafam-et-des-bigtech-dans-la-sante/

« Partenariats avec des établissements hospitaliers, mise à disposition d’infrastructures cloud, développement d’appli santé embarquées dans les enceintes et montres connectées… Les initiatives stratégiques dans le secteur de la santé se multiplient parmi les acteurs leaders de l’économie numérique et des fournisseurs d’infrastructures informatiques ».

[50] Médecins Sans Frontières, Les gouvernements doivent exiger que les sociétés pharmaceutiques rendent publics tous les accords de licence pour le vaccin contre la COVID-19, 23 mars 2021. En ligne : https://www.medecinssansfrontieres.ca/article/les-gouvernements-doivent-exiger-que-les-soci%C3%A9t%C3%A9s-pharmaceutiques-rendent-publics-tous-les

[51] OMS, op. cit., 2021, p.83.

[52] PL3, article 43 (2), par.2.

[53] Kalkman et al., op. cit., 2019, p.10. « There is a growing consensus that absolute anonymity or confidentiality cannot be guaranteed, despite the common requirement to de-identify data to protect privacy. »

[54] Selon l’article 103, un renseignement est « anonymisé lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier même indirectement, la personne qu’il concerne ».

[55] ONU, Rapporteur spécial sur le droit à la vie privée, Rapport, 5 août 2019, À/74/277, par. 18.6.

[56] PL3, article 73.

[57] C’est ce qui ressort de l’article 83 par. 6 : « Ces règles portent notamment sur : […] la mobilité et la valorisation des renseignements détenus par les organismes ».

[58] LAI, article 70, sera abrogé par la Loi 25 en septembre 2023.

[59] Le commentaire vise l’art. 38 du PL19, qui est au même effet que l’art. 68 du PL3.

[60] Me Marco Laverdière, Projet de loi 19 et renseignements de santé: Une consolidation nécessaire, mais incomplète en ce qui concerne les règles applicables aux professionnels, 25 janvier 2022. En ligne : https://www.chairesante.ca/articles/2022/projet-de-loi-19-et-renseignements-de-sante-une-consolidation-necessaire-mais-incomplete-en-ce-qui-concerne-les-regles-applicables-aux-professionnels/

[61] R. c. Dyment, 1988 CSC 10, par. 38. En ligne : https://canlii.ca/t/1ftc5

[62] ONU, Rapporteur spécial sur le droit à la vie privée, op. cit., par. 35.2

Ajoutons que l’accès sans autorisation judiciaire pourrait contrevenir à l’art. 24.1 de la Charte canadienne des droits et libertés sur les fouilles et saisies abusives.

[63] LSSSS, article 19, par. 1 : Le dossier d’un usager est confidentiel et nul ne peut y avoir accès, si ce n’est avec le consentement de l’usager ou de la personne pouvant donner un consentement en son nom. Un renseignement contenu au dossier d’un usager peut toutefois être communiqué sans son consentement : 1° sur l’ordre d’un tribunal ou d’un coroner dans l’exercice de ses fonctions. »

[64] PL3, article 103.

[65] CAI, Rapport quinquennal 2016, p. 157. En ligne : https://www.cai.gouv.qc.ca/documents/CAI_RQ_2016.pdf

« La question de l’anonymisation des données devient de plus en plus complexe. En fait, certains affirment même qu’il s’agit d’un mythe dans le contexte actuel ».

[66] Radio-Canada, Vos données numériques anonymes sont très faciles à identifier, révèle une étude, Émission Moteur de recherche, 20 septembre 2019, 11min. En ligne : https://ici.radio-canada.ca/ohdio/premiere/emissions/moteur-de-recherche/segments/entrevue/133833/donnees-anonymes-anonymisation-breche-faille-etude-internet-reseaux-sociaux-inquietudes-craintes-luc-rocher

[67] PL19, article 61.

[68] LAI, article 70.1, alinéa 1 : Avant de communiquer à l’extérieur du Québec des renseignements personnels ou de confier à une personne ou à un organisme à l’extérieur du Québec la tâche de détenir, d’utiliser ou de communiquer pour son compte de tels renseignements, l’organisme public doit s’assurer qu’ils bénéficieront d’une protection équivalant à celle prévue à la présente loi.

[69] PL3, articles 40, 66, 71 et 76.

[70] PL3, article 40 (Chercheur), article 66 (OS), article 71 (mandate ou contrat), article 76 (pour autorisation GDN).

[71] PL3, article 40.

[72] PL3, notamment articles 42, 60, 66 et 76.

[73] Thelisson, « La portée du caractère extraterritorial du Règlement général sur la protection des données », Revue internationale de droit économique, xxxiii (4), 2019, p. 524. En ligne : https://www.cairn.info/revue-internationale-de-droit-economique-2019-4-page-501.htm

[74] Selon le RGPD, lorsque le pays tiers n’offre pas un niveau de protection substantiellement équivalent, les transferts peuvent être encadrés par des clauses contractuelles types adoptées par une autorité de contrôle et approuvées par la Commission européenne. Voir : CNIL, Transferts de données hors UE : le cadre général prévu par le RGPD, 16 juin 2021. En ligne : https://www.cnil.fr/fr/transferts-de-donnees-hors-ue-le-cadre-general-prevu-par-le-rgpd

[75] PL3, articles 100 et 240 (introduisant l’art. 524 LSSSS).

[76] PL3, article 240 introduisant un Titre II à la LSSSS.

[77] MSSS, Analyse d’impact réglementaire, Projet de loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives (PL19), 8 octobre 2021, p.13. En ligne : https://cdn-contenu.quebec.ca/cdn-contenu/gouvernement/MCE/dossiers-soumis-conseil-ministres/2021-0197_air.pdf

[78] World Economic Forum, The Global Risks Report 2022, 17th Edition, p. 9. En ligne : https://www3.weforum.org/docs/WEF_The_Global_Risks_Report_2022.pdf

« At the same time, cybersecurity threats are growing—in 2020, malware and ransomware attacks increased by 358% and 435% respectively—and are outpacing societies’ ability to effectively prevent or respond to them ».

[79] OMS, op. cit., 2021, p.39.

[80] Article 527 LSSSS introduit par l’article 240 du PL3.

[81] La Presse canadienne, Inquiétudes face au transfert de données de Statistique Canada sur l’infonuagique, Radio-Canada, 12 janvier 2020. En ligne : https://ici.radio-canada.ca/nouvelle/1469886/infonuagique-statistique-canada-questions-securite-donnees

« Ottawa estime que le principal risque pour la souveraineté des données canadiennes est la loi américaine sur la surveillance des renseignements étrangers (Foreign Intelligence Surveillance Act) et le pouvoir de Washington d’obliger une organisation soumise à la loi américaine à remettre des données qu’elle détient, peu importe l’emplacement des données et sans en informer le Canada. »

[82] Rousseau, La souveraineté numérique en agroalimentaire au Canada et au Québec, CIRANO, 16 février 2021. En ligne : https://cirano.qc.ca/files/publications/2021PE-03.pdf

[83] PL3, article 2, par. 5.

[84] PL3, article 4, par. 5 .

[85] PL3, article 15.

[86] PL3, article 58.

[87] Loi P-39.1, articles 90.12 et 91.

[88] Loi P-39.1, article 93.1.

[89] Au sujet du droit à la santé, voir : LDL, Le droit à la santé : pour une reprise en main collective de notre régime de santé, 2021. En ligne : https://liguedesdroits.ca/wp-content/fichiers/2021/05/brochure_droit_sante_reprise_collective_20210518.pdf

[90] Article 1.

[91] IRIS, Le financement à l’activité peut-il résoudre les problèmes du système de santé, juin 2012. En ligne : https://cdn.iris-recherche.qc.ca/uploads/publication/file/Note-FAA-web.pdf

[92] Mahmoud et Angelé-Halgand, « L’industrialisation des blocs opératoires : Lean Management et réification », Management & Avenir Santé, 3 (1), 2018, p. 74. En ligne : https://doi.org/10.3917/mavs.003.0073

[93] Gazette officielle du Québec, 29 septembre 2021, 143^e année, 39. En ligne : http://www2.publicationsduquebec.gouv.qc.ca/dynamicSearch/telecharge.php?type=1&file=75668.pdf

[94] R. c. Dyment, op. cit., par. 22.

[95] CAI, Mémoire sur le projet de loi 95, 21 mai 2021, p. 9. En ligne : https://www.cai.gouv.qc.ca/documents/CAI_M_projet_loi_95_gouvernance_donnees.pdf

[96] Idem, p.12 : « Que les exceptions permettant l’utilisation ou la communication de renseignements personnels, sans le consentement de la personne concernée, soient spécifiques et limitées et que le respect du principe du consentement soit priorisé ».

[97] Ce faisant il compromet aussi le droit au secret professionnel. L’article 9 de la Charte des droits et libertés de la personne du Québec interdit en effet à toute personne tenue au secret professionnel de divulguer des renseignements confidentiels à moins qu’elle n’y soit autorisée « par une disposition expresse de la loi. »

memoire_pl3_renseignements_sante_services_sociaux_ldl_20230201

Mémoire : Consultations particulières sur le PL 3 sur les renseignements de santé et de services sociaux

Consultations particulières et auditions publiques au sujet du projet de loi 3 Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives

PDF – version complète PDF – RÉSUMÉ

Table des matières

Présentation de la Ligue des droits et libertés