La Loi 25 pour les médecins vétérinaires : consentement, conformité et implications pratiques

La Loi 25, entrée en vigueur au Québec, introduit de nouvelles exigences pour protéger les renseignements personnels des clients. Pour les médecins vétérinaires, cela implique des ajustements dans la collecte et le traitement des informations personnelles des propriétaires d'animaux.  

Introduction générale : cadre et consentement 

Que faire si un client refuse de signer le formulaire de consentement à la collecte de renseignements personnels prévu par la Loi 25? Peut-on légalement offrir un service vétérinaire sans les informations du client au dossier? 

Le consentement doit être manifeste, libre, éclairé et donné à des fins spécifiques. Si le renseignement personnel est essentiel pour offrir des soins (comme l’historique médical de l’animal), le refus de le fournir peut limiter la capacité du médecin vétérinaire à intervenir. Par exemple, un client qui refuse de fournir un numéro de téléphone pour un suivi postopératoire pourrait empêcher un suivi optimal en cas de complication. En revanche, des informations non essentielles, comme une adresse courriel, peuvent parfois être omises sans compromettre les soins. 

Dois-je faire signer un formulaire de consentement à mes clients pour lesquels j’ai déjà leurs renseignements personnels?

Non, ce n’est pas nécessaire. Depuis le 22 septembre 2023, des changements ont été introduits sur la collecte du consentement. Deux approches sont possibles : 

1.  Reconsidérer le consentement pour tous les nouveaux clients depuis cette date; 
2. Adopter de meilleures pratiques à partir de maintenant, sans chercher à corriger rétroactivement. 

La deuxième option est recommandée pour éviter une surcharge inutile, tout en respectant les exigences actuelles de la Loi 25. 

À quelle fréquence le consentement doit-il être renouvelé? 

Cela dépend de la manière dont il a été formulé. Par exemple : 

• « Nous conservons vos renseignements personnels pendant cinq (5) ans » fixe une durée stricte. 
• « Nous conservons vos renseignements personnels jusqu’à cinq (5) ans après la fin de notre entente » offre plus de flexibilité. 

Il est préférable d’utiliser une formulation qui vous donne une marge de manœuvre, tout en respectant vos obligations. 

La signature numérique est-elle valide pour le consentement à la collecte des renseignements personnels? 

Oui, une signature numérique est valide. Même le simple fait de cliquer sur « Envoyer » dans un formulaire électronique peut constituer une forme de consentement selon la Loi 25. 

Le consentement à la collecte des renseignements personnels doit-il être donné par écrit?  

Non, le consentement n’a pas à être obligatoirement écrit. Il peut aussi être verbal, tant qu’il est manifeste, libre, éclairé et donné pour des fins spécifiques. 

Application de la Loi 25 : portée et obligations 

Est-ce que la Loi 25 concerne uniquement les données numériques? 

Non. La Loi 25 s'applique à toutes les formes de renseignements personnels, qu’ils soient numériques ou papier, dès lors qu'ils permettent d'identifier une personne. 

Est-ce que les mesures de la Loi 25 s’appliquent pour un travailleur autonome? 

Oui, la Loi 25 s’applique également aux travailleurs autonomes. Ces derniers doivent respecter les règles de consentement et de protection des renseignements personnels. 

Est-ce que les mesures de la Loi 25 s’appliqueront pour un OSBL? 

Oui, la Loi 25 s'applique également aux OSBL (organisations sans but lucratif) qui collectent, conservent ou utilisent des renseignements personnels. 

Avons-nous des devoirs supplémentaires en cas d’incident de confidentialité avec risque de préjudice sérieux pour les personnes victimes? 

Un incident de confidentialité inclut tout accès, utilisation, communication ou perte non autorisés de renseignements personnels. Le risque de préjudice sérieux peut se traduire par des conséquences telles que des pertes financières, un vol d'identité, ou une atteinte à la réputation. 

En cas de préjudice sérieux, vous êtes tenu d’aviser rapidement les personnes concernées et la Commission d'accès à l'information (CAI). Vous devez également décrire les mesures prises pour atténuer les risques et prévenir d'autres incidents. 

Quelles sont les conséquences de ne pas mettre en place les dispositions de la Loi 25?  

Les établissements vétérinaires qui ne se conforment pas s’exposent à des amendes et pénalités financières. Le montant varie selon la gravité des manquements. 

Pratiques organisationnelles et gestion des données 

Est-il possible de transmettre les données de nos clients entre organismes partenaires? 

Oui, mais uniquement avec le consentement explicite de la personne concernée. La transmission doit également être encadrée par des ententes précisant les modalités de protection des renseignements. 

Que doit contenir une politique de confidentialité? 

Une politique de confidentialité est essentielle pour encadrer l’utilisation des renseignements personnels et doit figurer sur vos sites Web depuis septembre 2023. Elle devrait inclure : 

• La liste des renseignements personnels collectés. 
• Les finalités de leur utilisation, y compris les tiers qui pourraient y avoir accès. 
• Les délais de conservation des données, formulés de manière claire, mais flexible. 
• Les modalités d'accès, de rectification et de suppression des renseignements personnels à la demande des clients. 
• Les coordonnées de la personne responsable de la protection des renseignements personnels (RPRP). 
• La date de mise à jour de la politique pour indiquer sa conformité. 

Une politique à jour démontre votre engagement à respecter la Loi 25. 

Faudrait-il disposer d’une liste des rôles et des accès dans son organisation? 

Oui, il est essentiel d’établir une liste des rôles et des accès pour : 

• Révoquer rapidement les accès d’un employé quittant l’organisation. 
• Ajuster les permissions en cas de changement de poste à l’interne. 

Cela garantit une meilleure sécurité et limite les risques d’accès non autorisé aux renseignements personnels. 

Est-ce que quelqu’un a le droit de demander qu’on efface tous les renseignements personnels la concernant? 

Oui. Toute personne peut demander la suppression de ses renseignements personnels, sauf si ces informations sont nécessaires pour respecter une obligation légale. 

Support et outils 

Est-ce que l’Ordre peut fournir des modèles de consentement à ses membres? 

Il est difficile de fournir un modèle unique, car chaque collecte de renseignements varie selon la finalité. La demande doit préciser les informations demandées et leur utilisation. Le consentement peut être obtenu par écrit ou verbalement, selon le contexte de chaque organisation. 

Points clés à retenir : 

• Consentement clair et essentiel : Recueillez les renseignements indispensables avec un consentement manifeste, libre, éclairé et pour des fins spécifiques. 
• Consentement numérique valide : Une signature numérique ou un clic sur « Envoyer » constitue un consentement valide. 
• Consentement adapté : Le consentement peut être obtenu verbalement ou par écrit, selon les informations recueillies et leur finalité. 
• Applicabilité universelle : La Loi 25 s'applique aux médecins vétérinaires, travailleurs autonomes et OSBL. 
• Conséquences en cas de non-conformité : Ne pas respecter la Loi 25 peut entraîner des amendes et des pénalités. 

Pour approfondir les pratiques exemplaires en matière de consentement et de protection des renseignements personnels, une formation de CY-Clic est disponible à l’attention des médecins vétérinaires. Cette formation couvre les obligations spécifiques de la Loi 25 et propose des outils concrets pour assurer la conformité. Pour plus de détails : https://www.cy-clic.com/fr/veterinaires.