Un GMF (Groupe de Médecine de Famille) est-il soumis à la Loi 25 ?

Oui. Un GMF opère comme une entreprise privée pour ce qui concerne la gestion de son infrastructure numérique (site web, logiciels de prise de rendez-vous, communications patients). Il est soumis à la Loi 25 pour tous ces éléments, même si son financement est public.

Mon logiciel de DME (Dossier Médical Électronique) est-il conforme à la Loi 25 ?

Les logiciels comme Medesync, Omnimed ou Purkinje sont développés pour le marché québécois et respectent généralement les exigences de la LSSSS. Cependant, la Loi 25 ajoute des obligations de votre côté : politique de confidentialité publiée, gestion des accès documentée, EFVP si des données sont transférées hors Québec (sauvegardes cloud, modules IA).

Dois-je signaler à la CAI si je perds des données de patients ?

Oui, si l'incident présente un risque sérieux de préjudice. La Loi 25 impose de notifier la CAI dans les 72 heures suivant la découverte de l'incident, et d'en informer les personnes concernées dès que possible. Vous devez également tenir un registre de tous les incidents, qu'ils aient été signalés ou non.

auditloi25.ca Voir l'offre

12 juin 20265 min de lecture

Loi 25 pour les cliniques médicales et GMF : obligations des médecins en 2026

Prise de rendez-vous en ligne, dossiers médicaux numériques, rappels SMS : ce que la Loi 25 impose aux cliniques médicales, GMF et médecins en pratique privée au Québec en 2026.

Les cliniques médicales et GMF collectent certaines des données les plus sensibles qui soient : diagnostics, prescriptions, antécédents familiaux, résultats d'examens. Depuis septembre 2023, la Loi 25 impose des obligations concrètes sur la façon dont vous gérez ces données — non seulement dans vos systèmes cliniques, mais aussi sur votre site web et dans vos communications avec les patients.

Ce que la Loi 25 ajoute aux obligations existantes

Les cliniques médicales et GMF sont déjà encadrés par la Loi sur les services de santé et les services sociaux (LSSSS) pour les dossiers patients. La Loi 25 y ajoute des obligations spécifiques sur :

Votre site web et les outils qui collectent des données (formulaires, prise de rendez-vous en ligne)
Les logiciels tiers utilisés en dehors du DME (rappels SMS, outils IA, communications marketing)
La transparence envers vos patients sur l'utilisation de leurs données
La gestion et le signalement des incidents de confidentialité

Les zones de risque concrètes

La prise de rendez-vous en ligne

Bonjour-santé, Medimap, ou un formulaire sur votre site — ces outils collectent des données personnelles avant même que le patient arrive. Vous devez vérifier la localisation des serveurs de ces services et avoir un accord de traitement des données avec eux.

Google Analytics sur votre site

Un site de clinique médicale qui utilise Google Analytics sans bannière de consentement est en infraction directe avec la Loi 25. Ce point est systématiquement vérifié par la CAI lors d'une inspection. Pour les détails : Loi 25 et Google Analytics.

L'IA dans votre pratique clinique

Si vous utilisez des outils de transcription IA pour vos notes (Nuance DAX, Whisper, Otter.ai), vous transférez des données de santé vers des serveurs américains. Une EFVP est techniquement requise, et votre politique de confidentialité doit en informer vos patients. Pour les détails : Loi 25 et IA pour les cliniques.

Ce qu'une clinique médicale doit avoir en place

Responsable de la protection des renseignements personnels désigné et dont le nom est publié sur votre site
Politique de confidentialité mentionnant vos logiciels, la localisation des serveurs, et les droits des patients
Bannière de consentement fonctionnelle sur votre site si vous utilisez des cookies tiers
Procédure de signalement des incidents documentée — la CAI doit être notifiée dans les 72h en cas de fuite
Registre des incidents de confidentialité, même ceux qui n'ont pas été signalés

Vérifiez la conformité de votre site de clinique médicale

Résultat immédiat · Zones prioritaires identifiées · Gratuit

Scanner mon site →

Vous voulez vérifier la conformité de votre site ?

Pré-audit gratuit — votre rapport apparaît instantanément, sans engagement.

Obtenir mon pré-audit gratuit

Résultats instantanés · Sans engagement · Aucune carte requise

Prêt à aller plus loin avec un audit complet ?

Rapport PDF, score de risque par zone, plan d'action — 99 $. Livré sous 48h.

Voir l'offre →

Articles liés

17 avril 20269 min

Loi 25 pour les cliniques de santé au Québec : guide pratique pour les praticiens indépendants

Physiothérapie, psychologie, ostéopathie, acupuncture — découvrez les obligations Loi 25 spécifiques aux cliniques de santé québécoises, les logiciels conformes et les erreurs à éviter.

12 juin 20267 min

Loi 25 et intelligence artificielle en 2026 : votre clinique est-elle exposée sans le savoir ?

Utiliser ChatGPT ou un outil IA avec vos données patients est-il légal sous la Loi 25 ? Ce que dit la CAI, les 3 risques concrets pour les cliniques québécoises, et quoi faire maintenant.

25 avril 20266 min

Amendes Loi 25 en 2026 : premières sanctions CAI et ce que ça change pour votre entreprise

La CAI commence à imposer des sanctions réelles. Montants, processus d'enquête, facteurs aggravants : voici ce que les entreprises québécoises doivent savoir avant d'être visées.

Cet article est fourni à titre informatif. Il ne constitue pas un avis juridique.