auditloi25.ca
Pour les cliniques et professionnels de santé

Loi 25 et cliniques de santé : êtes-vous vraiment conformes ?

Les données de santé sont parmi les plus sensibles qui soient. Pourtant, beaucoup de cliniques québécoises collectent des informations sur leurs patients via leur site web sans respecter les exigences de la Loi 25 — souvent sans le savoir.

5 min de lecture

« On a un formulaire de prise de rendez-vous en ligne — c'est tout. »

Une clinique de physiothérapie de Longueuil. Site refait en 2024, formulaire de prise de RDV en ligne, quelques photos de l'équipe. Rien de compliqué. Mais ce formulaire demande le nom, le numéro de téléphone, l'adresse courriel — et la raison de la consultation.

La raison de la consultation, c'est une donnée de santé. Stocker une donnée de santé sans politique de confidentialité claire, sans mention d'usage, sans consentement explicite : c'est une non-conformité directe à la Loi 25.

Chaque formulaire de contact, chaque prise de RDV en ligne, chaque infolettre patients — ce sont des points d'entrée de données personnelles qui tombent sous la Loi 25.

Ce que la Loi 25 implique pour une clinique de santé

Les données de santé (motif de consultation, condition médicale, historique de traitement) sont des renseignements personnels sensibles — elles bénéficient d'une protection renforcée.

Tout formulaire en ligne collectant ces données doit informer clairement le patient : pourquoi, comment, combien de temps ces données sont conservées, et par qui.

Si vous utilisez un logiciel tiers (Jane App, Cliniko, Calendly, Google Forms...), vous êtes responsable de la conformité de ce sous-traitant — même si c'est lui qui héberge les données.

Vos patients ont le droit de demander à consulter, corriger ou supprimer leurs données. Votre site doit indiquer comment exercer ce droit.

Les 4 situations à risque dans une clinique de santé

Prise de rendez-vous en ligne

Votre formulaire de RDV collecte nom, courriel, téléphone, et souvent la raison de la visite. Ces données sont-elles envoyées directement dans votre boîte courriel ? Stockées dans un Google Sheet ? Transmises à un logiciel tiers ? Chaque maillon doit être déclaré.

À vérifier : votre formulaire de RDV mentionne-t-il comment les données seront utilisées et par qui ?

Logiciels de gestion de clinique (Jane, Cliniko, etc.)

Ces outils hébergent des dossiers patients complets — antécédents, notes de traitement, coordonnées. En tant que clinique, vous êtes le responsable du traitement. Votre contrat avec le logiciel doit prévoir des garanties de conformité. Sont-ils hébergés au Canada ?

À vérifier : avez-vous signé un accord de traitement des données avec votre logiciel de gestion ?

Infolettre et rappels de rendez-vous

Vos patients reçoivent-ils des rappels par courriel ou SMS ? Ont-ils consenti explicitement à recevoir ces communications — séparément du consentement aux soins ? Le consentement aux soins ne vaut pas consentement aux communications marketing.

À vérifier : le consentement à l'infolettre est-il distinct et révocable facilement ?

Google Analytics et outils de suivi sur votre site

Si votre site utilise Google Analytics, Meta Pixel ou tout autre outil de suivi, vos visiteurs doivent pouvoir refuser ces cookies aussi facilement qu'ils peuvent les accepter. Un bandeau qui cache le bouton « refuser » ou qui demande plusieurs clics pour décliner n'est pas conforme.

À vérifier : votre bannière de cookies permet-elle de refuser en un seul clic ?

Ce que votre clinique doit vérifier en priorité

Vos formulaires de RDV expliquent pourquoi les données sont collectées et comment elles sont utilisées

Votre politique de confidentialité est accessible depuis toutes les pages du site

Votre bannière de cookies permet de refuser aussi facilement qu'accepter

Vos patients savent comment exercer leur droit d'accès, de correction et de suppression

Vous avez vérifié où sont hébergées les données de votre logiciel de gestion (Canada ou hors Canada ?)

Le consentement à l'infolettre est distinct du formulaire de prise de RDV

Pour aller plus loin : Checklist Loi 25 complète pour votre site

Un audit pensé pour les cliniques sans équipe juridique

La plupart des cliniques de santé au Québec n'ont pas de juriste ni de responsable conformité en interne. Le pré-audit gratuit d'auditloi25.ca a été conçu pour ça.

On analyse les pages critiques de votre site — formulaire de RDV, page de contact, pied de page — et on vous remet un rapport clair sur ce qui est conforme, ce qui ne l'est pas, et dans quel ordre corriger. Sans jargon légal. Sans facturation à l'heure.

Votre clinique collecte des données de santé. Vérifiez que c'est fait dans les règles.

Pré-audit gratuit · Rapport instantané · Aucun engagement, aucune carte requise

Obtenir mon pré‑audit gratuit
Voir l'offre d'audit Loi 25 pour cliniques →
Retour à l'accueilChecklist Loi 25 pour votre site →
Obtenir mon pré-audit gratuit →