Loi 25 pour les cliniques de santé au Québec : guide pratique pour les praticiens indépendants

Physiothérapeute, psychologue, ostéopathe, acupuncteur, ergothérapeute — vous exercez dans un domaine où la confidentialité est au cœur même de votre pratique professionnelle. Pourtant, la Loi 25 ajoute une couche d'obligations légales spécifiques qui vont bien au-delà des règles déontologiques de votre ordre professionnel.

Les praticiens indépendants et les petites cliniques multidisciplinaires sont souvent les moins bien préparés à cette réalité : trop petits pour avoir un service juridique interne, mais tout aussi exposés aux sanctions que les grandes organisations. Ce guide vous donne une feuille de route claire pour comprendre vos obligations et agir en priorité sur les points les plus à risque.

Pourquoi les cliniques de santé sont particulièrement ciblées

Des données parmi les plus sensibles de la Loi 25

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (L.Q. 2021, c. 25) classe les données de santé dans la catégorie des renseignements personnels sensibles — le niveau le plus élevé de protection prévu par la loi. Ce classement entraîne des obligations renforcées :

• Consentement explicite, éclairé et spécifique pour toute collecte
• Mesures de sécurité proportionnelles à la sensibilité des données (chiffrement, contrôles d'accès stricts)
• Obligation de déclarer tout incident à la CAI dans les 72 heures suivant sa connaissance
• Conservation limitée à ce qui est strictement nécessaire — avec destruction sécurisée en fin de période

Pour votre clinique, chaque note de séance, chaque formulaire d'anamnèse, chaque échange par courriel avec un patient tombe dans cette catégorie. L'ensemble de votre dossier clinique numérique est soumis à la Loi 25.

La confusion entre consentement au traitement et consentement aux données

C'est l'erreur conceptuelle la plus fréquente chez les praticiens de santé. Votre patient signe un formulaire de consentement à l'intervention ou au traitement thérapeutique — ce consentement couvre votre pratique professionnelle au sens de votre ordre. Mais il ne couvre pas automatiquement la façon dont vous collectez, stockez, partagez ou utilisez ses données personnelles numériques.

En pratique, cela signifie qu'un patient qui a consenti à sa psychothérapie n'a pas nécessairement consenti à :

• Ce que ses coordonnées soient utilisées pour des rappels de rendez-vous par SMS via une application tierce
• Ce que ses données soient stockées sur des serveurs américains par votre logiciel de gestion de clinique
• Ce que son adresse courriel soit ajoutée à votre liste de diffusion pour votre infolettre mensuelle
• Ce que son image apparaisse dans un témoignage sur votre site web

Chacun de ces usages nécessite un consentement distinct, explicite, et révocable à tout moment.

La téléconsultation : un angle mort fréquent

La pandémie a normalisé les consultations en ligne. Beaucoup de praticiens utilisent encore Zoom, Google Meet ou Teams pour leurs séances à distance — des plateformes qui ne sont pas conçues pour les échanges de données de santé.

Zoom, en particulier, pose plusieurs problèmes dans le contexte de la Loi 25 :

• Les données de session sont transmises et stockées sur des serveurs américains soumis à des lois de surveillance étatique incompatibles avec les exigences de confidentialité québécoises
• Zoom ne propose pas de Business Associate Agreement adapté aux exigences de la Loi 25
• Les fonctions d'enregistrement automatique, si activées par défaut, peuvent stocker des séances sans consentement explicite du patient

Pour les consultations en ligne légalement défendables, vous devriez utiliser des plateformes spécialisées dans la santé, hébergées sur des serveurs canadiens, avec chiffrement de bout en bout et accord de traitement conforme à la Loi 25.

Notes de séance en cloud : serveurs Canada vs États-Unis — l'impact réel

La question de la localisation des serveurs n'est pas anodine. La Loi 25 encadre les transferts de renseignements personnels à l'extérieur du Québec dans son article 17. Si vos données sont hébergées aux États-Unis, le Cloud Act américain permet au gouvernement fédéral américain d'accéder à ces données sur simple requête — sans votre consentement ni celui de vos patients. Cette réalité est incompatible avec les attentes raisonnables de confidentialité de vos patients québécois.

Concrètement, si vos notes de séance sont stockées sur des serveurs américains :

• Vous devez en informer vos patients dans votre politique de confidentialité
• Vous devez avoir évalué les risques liés à ce transfert et adopté des mesures compensatoires
• Votre accord avec le fournisseur de logiciel doit prévoir des clauses de protection adaptées

Des solutions comme OsloHR (hébergement canadien) ou des configurations locales (serveur dans votre clinique) vous évitent cette complexité — mais elles ont aussi leurs contraintes propres.

Jane App, Cliniko, Meditag : lequel est conforme à la Loi 25 ?

Ces trois logiciels sont parmi les plus utilisés dans les cliniques de santé québécoises. Voici un comparatif basé sur les informations disponibles publiquement sur leurs pages de sécurité et conditions d'utilisation au moment de la rédaction de cet article.

Logiciel	Localisation serveurs	Chiffrement	Accord de traitement disponible	Mentions Loi 25 dans CGU
Jane App	Canada (AWS Canada)	TLS + chiffrement au repos	Oui — guide Loi 25 publié	Oui — mention explicite
Cliniko	Australie / USA	TLS en transit	DPA disponible sur demande	Non spécifique à la Loi 25
Meditag	Canada (Québec)	TLS + chiffrement	À vérifier directement	Conforme au cadre québécois

Jane App a pris une longueur d'avance en publiant un guide de conformité Loi 25 spécifiquement destiné aux cliniques québécoises, disponible sur leur site. Leurs serveurs sont hébergés en région canadienne via Amazon Web Services, ce qui simplifie considérablement les démarches de transfert transfrontalier. Si vous utilisez déjà Jane App, demandez leur document de conformité Loi 25 pour vos dossiers.

Cliniko, d'origine australienne, stocke des données sur des serveurs en Australie et en partie aux États-Unis selon les régions. Pour les cliniques québécoises, cela implique de documenter le transfert transfrontalier, de demander un Data Processing Agreement explicite, et d'évaluer si les mesures compensatoires sont suffisantes au regard de la Loi 25.

Note : ces informations sont basées sur les pages publiques de chaque fournisseur et peuvent évoluer. Vérifiez directement avec votre fournisseur avant toute décision.

Les obligations concrètes pour votre site web de clinique

Votre site web est souvent le premier point de contact entre votre clinique et de futurs patients. Il est également le premier point d'inspection pour la CAI. Voici les vérifications prioritaires à effectuer.

Votre site Wix ou Squarespace est-il vraiment conforme ?

Beaucoup de cliniques de santé ont un site web sur Wix, Squarespace ou une plateforme similaire. Ces plateformes offrent des outils pratiques, mais leur configuration par défaut n'est pas conforme à la Loi 25 :

• Les cookies d'analyse et de marketing de Wix et Squarespace sont actifs par défaut et transmis à des serveurs américains
• Les formulaires de contact intégrés stockent les données sur les serveurs de la plateforme, hors Québec
• Les bannières de consentement aux cookies disponibles sur ces plateformes sont souvent insuffisantes selon les critères de la CAI

Il est possible de rendre un site Wix ou Squarespace plus conforme — mais cela demande une configuration spécifique que la plupart des praticiens n'ont pas faite. Pour un aperçu des critères d'une bannière conforme, consultez notre article sur les exigences de la CAI pour les bannières cookies.

Comment vérifier la conformité de votre clinique en 30 secondes

Un premier bilan de l'état de conformité de votre site web peut être obtenu instantanément. Notre outil analyse automatiquement les points les plus critiques — bannière de cookies, politique de confidentialité, traceurs tiers, sécurité HTTPS — et vous génère un rapport avec un score de conformité et les priorités à corriger.

Pour une conformité complète — dossiers patients, logiciel de clinique, politique de confidentialité sur mesure — un audit complet reste l'étape la plus efficace avant une éventuelle inspection de la CAI. Pour comprendre comment se déroule une inspection, consultez notre guide sur comment préparer votre site à une inspection de la CAI.

FAQ — 5 questions que posent les praticiens de santé

1. Mes notes de séance sur Jane App sont-elles protégées selon la Loi 25 ?

Jane App est l'une des rares plateformes de gestion clinique à avoir publié une documentation de conformité explicitement adaptée à la Loi 25 québécoise. Leurs serveurs sont hébergés au Canada via AWS, ce qui évite les problèmes de transfert transfrontalier. Cela dit, la protection de vos données ne dépend pas uniquement de la plateforme — elle dépend aussi de votre configuration. Vérifiez que vos paramètres de confidentialité sont correctement configurés, que les accès sont limités aux personnes qui en ont besoin, et que votre accord avec Jane App inclut les clauses de traitement requises par la Loi 25. Demandez à Jane leur Business Associate Agreement adapté au contexte québécois — ils ont un document spécifique pour cela.

2. Puis-je continuer à utiliser Zoom pour mes consultations en ligne ?

Légalement, l'utilisation de Zoom pour des consultations de santé au Québec est risquée. Les données de vos sessions sont traitées sur des serveurs américains soumis au Cloud Act, ce qui crée un conflit potentiel avec les attentes de confidentialité de vos patients. De plus, Zoom ne propose pas d'accord de traitement adapté aux exigences spécifiques de la Loi 25. Si vous souhaitez continuer à offrir des consultations en ligne, explorez des alternatives hébergées au Canada : OWL Health (anciennement OTN Ontario mais avec options canadiennes), Maple pour certains types de consultations, ou une configuration sécurisée de Microsoft Teams avec stockage en région Canada — en vous assurant d'obtenir un accord de traitement explicite. Dans tous les cas, obtenez un consentement écrit de vos patients qui couvre spécifiquement la consultation à distance et la plateforme utilisée.

3. Mon site Wix ou Squarespace est-il conforme à la Loi 25 ?

Probablement pas dans sa configuration par défaut. Les deux plateformes activent par défaut des cookies d'analyse et de marketing qui ne sont pas bloqués avant le consentement de l'utilisateur. Les formulaires de contact intégrés stockent les données hors Québec. Et les outils de bannière de consentement disponibles sur ces plateformes ne respectent pas tous les critères de la CAI. La bonne nouvelle : il est possible de configurer ces plateformes pour les rendre plus conformes. Cela demande d'installer une solution de gestion du consentement tierce (CookieYes, Axeptio), de configurer correctement le blocage des scripts, et de rédiger une politique de confidentialité qui reflète les pratiques réelles de votre site — pas un gabarit générique. Un audit de votre site vous donnera un diagnostic précis des points à corriger.

4. La Loi 25 s'applique-t-elle à mon cabinet solo, comme travailleur autonome ?

Oui, sans exception. La Loi 25 s'applique à toute organisation qui collecte des renseignements personnels dans le cadre d'une activité commerciale ou à but non lucratif — incluant les travailleurs autonomes et les pratiques solo. La seule nuance pour les très petites organisations concerne l'Évaluation des facteurs relatifs à la vie privée (EFVP), qui n'est obligatoire que pour les projets à risque élevé. Mais les obligations de base — politique de confidentialité, bannière de cookies, mentions sur les formulaires, désignation d'un responsable — s'appliquent à vous même si vous êtes seul en pratique. En tant que praticien solo, vous êtes à la fois le responsable de la protection et le dirigeant de l'organisation. Votre nom ou votre titre doit apparaître sur votre site web à ce titre.

5. Comment obtenir le consentement pour les rappels de rendez-vous par SMS ?

Les rappels de rendez-vous par SMS sont une pratique courante et très appréciée des patients — mais ils constituent une communication utilisant le numéro de téléphone de votre patient à des fins spécifiques. Pour être conforme à la Loi 25, vous devez obtenir un consentement explicite, distinct et documenté pour l'envoi de ces rappels. Ce consentement doit être recueilli au moment de la prise de rendez-vous, par écrit (formulaire d'admission, courriel de confirmation), mentionner clairement que vous utiliserez le numéro de téléphone pour des SMS de rappel, et inclure une façon simple de se désabonner (répondre STOP, par exemple). Le consentement au traitement thérapeutique que votre patient signe à la première visite ne couvre pas les communications marketing ou administratives par SMS — ce sont deux consentements distincts.