Sanction CAI contre une clinique médicale : analyse complète de la décision 2026

Une clinique médicale sanctionnée : un signal clair de la CAI

Le 28 juin 2026, la Commission d'accès à l'information du Québec (CAI) a rendu publique une sanction administrative contre une clinique médicale québécoise pour des manquements à la Loi 25. C'est l'une des premières décisions visant directement le secteur de la santé privée — un secteur qui manipule pourtant les données personnelles parmi les plus sensibles qui existent : les renseignements de santé.

Cette décision n'est pas un cas isolé. Elle s'inscrit dans une stratégie d'application plus ferme de la CAI, qui a multiplié les inspections ciblées depuis le début de 2026. Pour les cliniques médicales, les GMF, les cabinets spécialisés et tous les professionnels de la santé au Québec, le message est limpide : la conformité à la Loi 25 n'est plus optionnelle, et les données de santé font l'objet d'une surveillance renforcée.

Ce que la décision de la CAI révèle

Sans entrer dans tous les détails confidentiels de l'enquête, les éléments rendus publics par la CAI permettent de dégager les manquements principaux reprochés à la clinique visée. Ils sont révélateurs de lacunes courantes dans le milieu de la santé :

• Absence de responsable de la protection des renseignements personnels (RPRP) désigné formellement — La clinique n'avait pas publié le titre et les coordonnées de la personne en charge sur son site web, ni transmis l'information à la CAI, comme l'exige l'article 3.1 de la Loi sur le privé.
• Politique de confidentialité inexistante ou largement insuffisante — Aucun document publié sur le site web ne décrivait de façon claire les pratiques de collecte, d'utilisation et de conservation des renseignements personnels des patients.
• Collecte de renseignements sans consentement valable — Des formulaires en ligne recueillaient des informations de santé (symptômes, antécédents, numéro d'assurance maladie) sans mécanisme de consentement manifeste, libre et éclairé, et sans que la finalité soit clairement expliquée.
• Mesures de sécurité inadéquates — La CAI a constaté des déficiences dans la protection technique des données, notamment l'absence de chiffrement pour des communications électroniques contenant des renseignements de santé.

La combinaison de ces manquements a amené la CAI à imposer une sanction administrative pécuniaire. Le montant exact, bien que non divulgué dans son intégralité au moment de la publication, se situe dans la fourchette prévue par la loi — soit jusqu'à 50 000 $ pour une personne physique et 10 millions de dollars ou 2 % du chiffre d'affaires mondial pour une entreprise. Pour une clinique de taille moyenne, les montants restent significatifs.

Ce que la Loi 25 exige exactement des cliniques médicales

Les cliniques médicales et les professionnels de la santé en pratique privée sont des « entreprises » au sens de la Loi sur la protection des renseignements personnels dans le secteur privé. La Loi 25 a modernisé cette loi et impose depuis septembre 2023 une série d'obligations concrètes :

1. Désigner un responsable de la protection des renseignements personnels

Par défaut, c'est la personne ayant la plus haute autorité dans la clinique (le médecin propriétaire, le directeur). Cette fonction peut être déléguée par écrit. Le titre et les coordonnées du RPRP doivent être publiés sur le site web de la clinique et transmis à la CAI.

2. Publier une politique de confidentialité complète

Cette politique doit être rédigée en termes clairs, publiée sur le site web et accessible facilement. Elle doit couvrir : les types de renseignements collectés, les fins de la collecte, les droits des patients, les moyens d'exercer ces droits, la durée de conservation et les tiers ayant accès aux données.

3. Obtenir un consentement valide

Le consentement doit être manifeste, libre, éclairé et donné à des fins spécifiques. Pour les renseignements de santé — considérés comme des renseignements sensibles — la loi exige un niveau de consentement encore plus rigoureux. Un simple formulaire papier signé sans explication ne suffit pas. Le patient doit comprendre ce qu'il consent et pourquoi.

4. Tenir un registre des incidents de confidentialité

Toute atteinte aux renseignements personnels (perte, accès non autorisé, vol de données) doit être consignée dans un registre. Si l'incident présente un risque sérieux de préjudice, la clinique doit aviser la CAI et les personnes concernées.

5. Réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP)

Avant tout nouveau projet impliquant des renseignements personnels — nouveau logiciel de prise de rendez-vous en ligne, dossier médical électronique, outil d'intelligence artificielle — une ÉFVP doit être réalisée.

6. Mettre en place des mesures de sécurité proportionnelles à la sensibilité

Les données de santé sont parmi les plus sensibles. La Loi 25 exige que les mesures de protection soient proportionnelles à cette sensibilité : chiffrement, contrôle d'accès, journalisation, formation du personnel, sécurité physique des dossiers.

Les risques si vous ne faites rien

La décision de juin 2026 contre cette clinique médicale n'est pas un avertissement théorique. C'est une réalité concrète avec des conséquences mesurables :

Amendes significatives

Les sanctions administratives pécuniaires prévues par la Loi 25 peuvent atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial. En pratique, pour une clinique médicale de petite ou moyenne taille, les amendes imposées sont proportionnelles, mais elles restent suffisamment élevées pour représenter un choc financier sérieux — surtout lorsqu'elles s'accompagnent de frais juridiques et de mise en conformité urgente.

Atteinte à la réputation

La CAI publie ses décisions. Quand le nom d'une clinique apparaît dans une sanction pour mauvaise gestion de données de santé, la confiance des patients — bâtie sur des années de pratique — peut s'effondrer en quelques jours. Dans le domaine médical, la relation de confiance est le fondement même de la relation patient-praticien.

Plaintes en cascade

Une décision publique de la CAI encourage souvent d'autres patients à vérifier comment leurs propres données ont été traitées. Une seule sanction peut déclencher des demandes d'accès, des plaintes additionnelles et un effet boule de neige administratif.

Interdiction ou restriction de certaines pratiques

Au-delà de l'amende, la CAI peut ordonner à une clinique de cesser certaines pratiques de collecte ou d'utilisation de données. Pour une clinique qui dépend de la prise de rendez-vous en ligne ou de la communication électronique avec ses patients, cela peut paralyser les opérations.

Comment se conformer : étapes pratiques pour votre clinique

Si vous êtes propriétaire ou gestionnaire d'une clinique médicale au Québec, voici les actions concrètes à poser dès maintenant pour éviter de vous retrouver dans la même situation :

1. Désignez officiellement votre RPRP — Publiez son titre et ses coordonnées sur votre site web. Transmettez l'information à la CAI via leur formulaire en ligne.
2. Rédigez ou mettez à jour votre politique de confidentialité — Elle doit être en langage clair, adaptée à votre réalité clinique, et couvrir tous les éléments requis par la loi. Une politique générique copiée d'internet ne suffit pas.
3. Auditez vos formulaires de collecte — Chaque formulaire (papier ou en ligne) doit identifier clairement les renseignements collectés, la raison de la collecte et obtenir un consentement conforme. Portez une attention particulière aux formulaires de prise de rendez-vous en ligne et aux questionnaires de santé préremplis.
4. Vérifiez vos outils technologiques — Votre site web utilise-t-il Google Analytics, Meta Pixel ou d'autres traceurs ? Vos courriels contenant des renseignements de santé sont-ils chiffrés ? Votre logiciel de gestion de dossiers patients est-il conforme ? Chaque outil qui touche aux données personnelles doit être évalué.
5. Formez votre équipe — Secrétaires médicales, infirmières, techniciens : chaque personne qui manipule des données de patients doit comprendre ses obligations. Un incident de confidentialité causé par un employé non formé engage la responsabilité de la clinique.
6. Mettez en place votre registre d'incidents — Même si aucun incident ne s'est encore produit, le registre doit exister et une procédure de gestion d'incidents doit être documentée.
7. Faites un audit externe — Un regard extérieur identifie les angles morts que vous ne voyez plus. C'est précisément ce que la clinique sanctionnée n'avait pas fait.

Pourquoi cette décision concerne toutes les cliniques du Québec

Certains professionnels de la santé pensent encore que la Loi 25 vise surtout les grandes entreprises technologiques ou les géants du commerce en ligne. La décision de la CAI du 28 juin 2026 démontre le contraire. Les cliniques médicales sont des cibles naturelles pour les inspections de la CAI, précisément parce qu'elles collectent des renseignements sensibles en grande quantité : diagnostics, historiques médicaux, numéros d'assurance maladie, résultats de laboratoire.

La CAI a d'ailleurs indiqué publiquement que le secteur de la santé privée fait partie de ses priorités d'inspection. Cela inclut les cliniques médicales, les cabinets dentaires, les cliniques de physiothérapie, les pharmacies et les praticiens en médecines douces. Aucun professionnel de la santé n'est à l'abri.

Le fait que les renseignements de santé soient considérés comme « sensibles » par la Loi 25 signifie que les obligations sont plus strictes et que les conséquences d'un manquement sont potentiellement plus graves. La CAI n'hésite plus à sévir, et la tendance est à l'accélération des enquêtes.

Questions fréquentes

Quel montant d'amende la CAI peut-elle imposer à une clinique médicale ?

Les sanctions administratives pécuniaires peuvent atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial pour une entreprise. Pour une personne physique, le maximum est de 50 000 $. Le montant réel est déterminé en fonction de la gravité des manquements, de la taille de l'organisation et de sa capacité de payer.

Les données de santé sont-elles traitées différemment par la Loi 25 ?

Oui. La Loi 25 qualifie les renseignements de santé de « renseignements sensibles ». Cela implique un consentement plus rigoureux, des mesures de sécurité proportionnelles à cette sensibilité et une vigilance accrue de la CAI lors de ses inspections dans le milieu de la santé.

Ma clinique est petite, suis-je vraiment visée par la CAI ?

La Loi 25 s'applique à toute entreprise qui recueille des renseignements personnels au Québec, peu importe sa taille. Une clinique d'un seul médecin avec une secrétaire est soumise aux mêmes obligations qu'un grand groupe médical. La CAI a démontré qu'elle inspecte aussi les petites structures.

Quels sont les manquements les plus courants dans les cliniques médicales ?

Les manquements les plus fréquents incluent : l'absence de politique de confidentialité sur le site web, le défaut de désignation d'un RPRP, des formulaires de collecte sans consentement valide, l'envoi de courriels non chiffrés contenant des données de santé, et l'absence de registre d'incidents de confidentialité.

Comment savoir si ma clinique est conforme à la Loi 25 ?

La meilleure façon est de réaliser un audit de conformité qui évalue votre site web, vos formulaires, votre politique de confidentialité, vos pratiques de collecte et vos mesures de sécurité. Un audit externe vous donne un portrait clair de votre situation et des correctifs à apporter en priorité.

La CAI prévient-elle avant d'inspecter une clinique médicale ?

La CAI peut mener des inspections avec ou sans préavis. Elle peut agir de sa propre initiative ou à la suite d'une plainte d'un patient. Dans les deux cas, la clinique doit être en mesure de démontrer sa conformité au moment de l'inspection — il est trop tard pour se préparer une fois l'avis reçu.

Agir avant la prochaine sanction

Cette décision de la CAI est un signal d'alarme pour l'ensemble du secteur de la santé privée au Québec. Si votre clinique médicale n'a pas encore vérifié sa conformité à la Loi 25, le temps joue contre vous. Chaque jour sans audit est un jour d'exposition au risque de sanction, de plainte ou d'incident de confidentialité.

La bonne nouvelle, c'est que la conformité est accessible. Vous pouvez passer un audit Loi 25 à 99 $ pour obtenir un portrait clair de votre situation et savoir exactement quoi corriger — avant que la CAI ne le fasse pour vous.