Si vous exercez en pratique privée au Québec — comme psychologue, psychothérapeute, orthophoniste, nutritionniste, ergothérapeute ou travailleur social — la Loi 25 s'applique à vous. Pas seulement aux grandes entreprises, pas seulement aux hôpitaux : à toute entreprise privée qui recueille des renseignements personnels, y compris un cabinet solo.

Et les renseignements que vous détenez sont parmi les plus sensibles qui soient : notes cliniques, diagnostics, historique de santé mentale, coordonnées de mineurs. La bonne nouvelle : les obligations de la Loi 25 sont exigeantes sur le papier, mais tout à fait gérables pour une petite pratique, à condition de s'organiser. Voici comment.

La Loi 25 en bref : qui est concerné, et depuis quand?

La Loi 25 (officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) a modernisé en profondeur la Loi sur la protection des renseignements personnels dans le secteur privé. Ses obligations sont entrées en vigueur par phases entre septembre 2022 et septembre 2024 — autrement dit, tout est déjà en vigueur aujourd'hui.

Deux points essentiels pour un professionnel de la santé en pratique privée :

  • Vous êtes une « entreprise » au sens de la loi, même en solo, même à temps partiel. La taille de votre pratique ne vous exempte de rien (elle peut seulement moduler ce qui est « raisonnable » comme mesures).
  • Les renseignements de santé sont des renseignements sensibles. La loi exige des mesures de protection proportionnelles à la sensibilité : pour un dossier clinique, la barre est haute.

Les sanctions prévues sont dissuasives (sanctions administratives pouvant atteindre des millions de dollars pour les entreprises). En pratique, pour une petite clinique, le risque le plus concret est ailleurs : une plainte d'un client à la Commission d'accès à l'information (CAI), un incident de confidentialité mal géré, ou un manquement relevé lors d'une inspection de votre ordre professionnel.

Les obligations concrètes pour votre pratique

1. Désigner un responsable de la protection des renseignements personnels

Chaque entreprise doit avoir un responsable de la protection des renseignements personnels. Par défaut, c'est la personne ayant la plus haute autorité — donc vous, si vous êtes propriétaire de votre pratique. Vous pouvez déléguer cette fonction par écrit.

Concrètement :

  • Désignez-vous (ou désignez quelqu'un) formellement, par écrit.
  • Publiez le titre et les coordonnées du responsable sur votre site web (ou rendez-les accessibles par tout moyen approprié si vous n'avez pas de site).
  • C'est cette personne qui répondra aux demandes d'accès et gérera les incidents.

Pour un cabinet solo, cela tient en une page et quinze minutes. Mais c'est obligatoire, et c'est la première chose qu'on vous demandera en cas de plainte.

2. Revoir le consentement et la transparence

La Loi 25 renforce les exigences de consentement : il doit être manifeste, libre, éclairé et donné à des fins spécifiques. Pour des renseignements sensibles comme des données de santé, le consentement doit être exprès.

En pratique :

  • Vos formulaires de consentement doivent expliquer clairement : quelles informations vous recueillez, pourquoi, qui y aura accès, combien de temps vous les conservez, et si elles peuvent être communiquées à l'extérieur du Québec.
  • Vous devez publier une politique de confidentialité rédigée en termes simples si vous recueillez des renseignements par un moyen technologique (site web, formulaire en ligne, prise de rendez-vous en ligne).
  • Le paramétrage par défaut de vos outils technologiques doit assurer le plus haut niveau de confidentialité (pas de partage activé par défaut).

Un point souvent oublié : le consentement à la collecte n'est pas le consentement à tout. Si vous voulez utiliser les données autrement (envoyer une infolettre, utiliser un nouvel outil qui traite les dossiers), il faut que ce soit couvert — ou demander à nouveau.

3. Tenir un registre des incidents de confidentialité

Un incident de confidentialité, c'est tout accès, utilisation ou communication non autorisés d'un renseignement personnel, ou sa perte. Un portable volé, un courriel envoyé au mauvais destinataire, un classeur cambriolé, un compte piraté.

Vos obligations :

  • Tenir un registre de tous les incidents, même mineurs.
  • Si l'incident présente un risque de préjudice sérieux, aviser la CAI et les personnes concernées avec diligence.
  • Prendre des mesures raisonnables pour diminuer le risque et éviter la récidive.

Créez votre registre maintenant (un simple document structuré suffit : date, nature de l'incident, renseignements visés, personnes touchées, mesures prises). L'avoir vide, c'est bien. Ne pas l'avoir du tout, c'est un manquement.

4. Réaliser une EFVP quand c'est requis

L'évaluation des facteurs relatifs à la vie privée (EFVP) est une analyse de risques obligatoire dans certains cas, notamment :

  • Tout projet d'acquisition, développement ou refonte d'un système d'information impliquant des renseignements personnels — par exemple, changer de logiciel de dossiers clients ou adopter un outil de télésanté.
  • Toute communication de renseignements à l'extérieur du Québec — par exemple, si votre logiciel héberge les données sur des serveurs américains.

Pour une petite pratique, l'EFVP doit être proportionnée : quelques pages qui documentent quelles données sont en jeu, où elles sont hébergées, qui y a accès, quels sont les risques et comment vous les atténuez. Choisir un fournisseur qui héberge les données au Canada et documente ses mesures de sécurité simplifie énormément cet exercice — c'est un des critères détaillés dans notre page sur le DSE conforme à la Loi 25.

5. Respecter les droits d'accès, de rectification et de portabilité

Vos clients ont le droit de :

  • Consulter les renseignements que vous détenez sur eux (sous réserve des exceptions prévues, notamment par vos obligations déontologiques);
  • Faire rectifier des renseignements inexacts ou incomplets;
  • Depuis septembre 2024, obtenir leurs renseignements personnels informatisés dans un format technologique structuré et couramment utilisé (droit à la portabilité);
  • Retirer leur consentement et demander la cessation de la diffusion dans certains cas.

Vous devez répondre à une demande d'accès dans un délai de 30 jours. Là encore, un dossier papier éparpillé rend l'exercice pénible; un dossier électronique centralisé le rend trivial.

6. Limiter la conservation et détruire de façon sécuritaire

Quand les fins de la collecte sont accomplies, les renseignements doivent être détruits ou anonymisés — en tenant compte de vos délais de conservation professionnels. Vos obligations déontologiques (par exemple, la durée minimale de conservation des dossiers exigée par votre ordre) priment pendant qu'elles s'appliquent, mais garder des dossiers « pour toujours, au cas où » n'est plus une option.

Checklist Loi 25 pour votre clinique

  • Responsable de la protection des renseignements personnels désigné par écrit, coordonnées publiées
  • Politique de confidentialité en langage clair, accessible sur votre site
  • Formulaires de consentement à jour (fins précises, consentement exprès pour les données de santé)
  • Registre des incidents de confidentialité créé, procédure de notification connue
  • Inventaire de vos outils : où sont hébergées les données de chacun (Canada? Québec? États-Unis?)
  • EFVP réalisée avant tout nouveau système traitant des dossiers clients et pour toute communication hors Québec
  • Procédure de réponse aux demandes d'accès et de rectification (délai : 30 jours)
  • Capacité de remettre les données dans un format structuré (portabilité)
  • Calendrier de conservation et destruction sécuritaire des dossiers échus
  • Paramètres de confidentialité par défaut au maximum sur tous vos outils

Comment un DSE conforme vous simplifie la conformité

La Loi 25 ne vous oblige pas à utiliser un dossier de santé électronique. Mais soyons francs : une grande partie des obligations ci-dessus sont beaucoup plus lourdes avec des dossiers papier ou des outils génériques (Word, Dropbox, courriels) qu'avec un DSE conçu pour la pratique privée québécoise.

Un bon DSE vous aide concrètement à :

  • Localiser les données : avec un hébergement au Canada, votre analyse de communication hors Québec (et l'EFVP correspondante) se simplifie considérablement;
  • Contrôler les accès : chaque intervenant voit ce qu'il doit voir, et c'est traçable — utile autant pour la Loi 25 que pour votre ordre;
  • Répondre aux demandes d'accès et de portabilité : le dossier est centralisé, exportable, lisible;
  • Sécuriser les échanges : la messagerie sécurisée et le portail client remplacent les pièces jointes par courriel, l'une des sources d'incidents les plus fréquentes;
  • Encadrer la télésanté : une visioconférence intégrée au dossier évite d'ajouter un énième outil dont il faudrait aussi vérifier la conformité.

Chez Colib, la plateforme est bilingue, les données sont hébergées au Canada, et le modèle tarifaire est pensé pour la pratique privée : 3 $ par rendez-vous, sans frais mensuels, avec un essai gratuit de 30 jours. De quoi tester votre nouvelle organisation Loi 25 sans engagement.

Par où commencer cette semaine

  1. Désignez le responsable et publiez ses coordonnées — c'est l'obligation la plus simple et la plus visible.
  2. Créez le registre des incidents, même vide.
  3. Faites l'inventaire de vos outils et notez où chacun héberge ses données.
  4. Relisez votre formulaire de consentement avec les yeux d'un client : comprend-il ce que vous faites de ses renseignements?
  5. Si un outil vous semble fragile (hébergement inconnu, pas de chiffrement, pas de contrat), planifiez son remplacement — et documentez la décision dans une EFVP proportionnée.

La conformité à la Loi 25 n'est pas un projet ponctuel, c'est une hygiène de pratique. Une fois les bons outils et les bons réflexes en place, elle protège autant votre clientèle que votre responsabilité professionnelle.

Cet article est fourni à titre informatif et ne constitue pas un avis juridique. Pour votre situation particulière, consultez un juriste ou les ressources de la Commission d'accès à l'information du Québec.