Loi 25 et cliniques de santé au Québec : obligations spécifiques avant d'être contrôlé
Les cliniques de santé — physiothérapie, psychologie, ergothérapie, médecine générale, chiropraxie — collectent quotidiennement des données parmi les plus sensibles qui soient. La Loi 25 impose à ce type de données un régime de protection renforcé, avec des obligations qui vont au-delà de ce que la plupart des cliniques appliquent aujourd'hui.
8 min de lecture
Pourquoi les cliniques sont une cible prioritaire de la CAI
La Commission d'accès à l'information a défini des secteurs prioritaires pour ses contrôles. Les professionnels de santé en font partie pour deux raisons :
La nature des données. Les données de santé sont considérées comme des renseignements personnels sensibles au sens de la Loi 25. Leur collecte, utilisation et divulgation sont soumises à des règles plus strictes que pour des données ordinaires.
La surface d'exposition numérique.La majorité des cliniques utilisent des formulaires en ligne, des outils d'analyse web, et des plateformes de messagerie — autant de points de collecte qui tombent sous le champ d'application de la loi.
Données de santé = données sensibles : un régime renforcé
Le consentement doit être exprès (une case à cocher explicite, pas une mention en pied de page) pour toute collecte de données de santé.
La finalité doit être déclarée de façon encore plus précise que pour des données ordinaires.
Tout incident de sécurité impliquant des données de santé doit être signalé à la CAI et aux personnes concernées.
L'évaluation des facteurs relatifs à la vie privée (EFVP) est obligatoire avant de déployer tout nouvel outil qui traite ces données.
Les 5 non-conformités les plus fréquentes dans les cliniques québécoises
Prise de rendez-vous en ligne non conforme
Les formulaires de prise de RDV collectent systématiquement des données sensibles : nom, date de naissance, motif de consultation, parfois des renseignements sur l'état de santé. La quasi-totalité de ces formulaires ne respectent pas les exigences de la Loi 25 : pas de mention de finalité, pas d'indication de durée de conservation, pas de consentement explicite pour les données de santé.
✓ Ajouter une mention de consentement explicite sous chaque formulaire, avec lien vers votre politique. Pour les plateformes tierces (Calendly, Janeapp, etc.), vérifier leurs certifications de conformité et les documenter dans votre registre.
Formulaires de contact sans politique annexée
Un patient qui vous contacte via votre site pour une question de santé partage potentiellement des données sensibles. Votre formulaire de contact doit comporter une mention claire renvoyant à votre politique de confidentialité, et si le contenu peut être de nature médicale, un consentement explicite.
Google Analytics actif sans consentement préalable
Google Analytics dépose des cookies de traçage dès l'arrivée sur votre site, avant que le visiteur ait consenti à quoi que ce soit. Cette pratique est non conforme depuis septembre 2023. La solution : une bannière de consentement qui bloque le chargement des scripts analytics jusqu'à l'acceptation explicite. Le refus doit être aussi facile que l'acceptation.
Absence de Responsable de la Protection des Renseignements Personnels (RPRP)
L'article 3.1 de la Loi 25 oblige toute organisation à désigner un RPRP et à rendre son identité accessible au public. Dans les cliniques, c'est souvent le propriétaire ou le directeur administratif qui joue ce rôle. Ce qui manque, c'est la mention publique. Un simple ajout dans la politique de confidentialité suffit.
Hébergement de données hors Québec non déclaré
Des outils comme Google Workspace, Microsoft 365, ou les logiciels de gestion de clinique hébergés aux États-Unis ou en Europe transfèrent des données hors du Québec. La Loi 25 exige que vous identifiiez tous ces transferts, évaluiez le niveau de protection offert par le pays de destination, documentiez cette évaluation dans une EFVP, et informiez les personnes concernées dans votre politique de confidentialité.
Ce que risque concrètement une clinique non conforme
La CAI peut initier une enquête sur plainte (d'un patient, d'un concurrent) ou de sa propre initiative dans le cadre de ses contrôles sectoriels.
En cas de non-conformité constatée, la CAI peut émettre :
- Un avis de non-conformité (obligation de corriger)
- Une ordonnance de cesser une pratique
- Des sanctions administratives pécuniaires jusqu'à 25 000 000 $ ou 4 % du chiffre d'affaires mondial (art. 90)
Au-delà des sanctions financières, un incident rendu public peut affecter significativement la réputation d'une clinique et la confiance des patients.
Comment se mettre en conformité rapidement
La bonne nouvelle : la mise en conformité de base d'une clinique de taille moyenne prend généralement moins d'une semaine si le travail est bien guidé. Les priorités dans l'ordre :
Scanner votre site pour identifier les non-conformités visibles
Désigner un RPRP et l'inscrire dans votre politique
Mettre en place une bannière de consentement aux cookies
Mettre à jour votre politique de confidentialité avec les 7 éléments obligatoires
Ajouter les mentions de consentement sur vos formulaires
Constituer votre registre des activités de traitement
FAQ cliniques de santé — Loi 25
Mon logiciel de gestion de clinique (Janeapp, Medesync, etc.) est-il conforme ?
Ces plateformes peuvent être conformes de leur côté, mais elles ne couvrent pas votre site web ni vos formulaires de contact externes. Votre conformité est votre responsabilité, indépendamment des certifications de vos fournisseurs.
En tant que kinésithérapeute ou psychologue, suis-je aussi soumis à d'autres lois sur la confidentialité ?
Oui — les codes de déontologie professionnels imposent des obligations de confidentialité qui s'appliquent à la relation clinique. La Loi 25 s'applique à votre site web et à vos outils numériques, en complément de ces obligations.
Un patient peut-il porter plainte contre ma clinique à la CAI ?
Oui. Tout résident du Québec peut déposer une plainte à la CAI s'il estime que ses renseignements personnels ont été collectés, utilisés ou divulgués sans respecter la Loi 25.
Votre clinique collecte des données de santé. Vérifiez que c'est fait dans les règles.
Pré-audit gratuit · Résultats instantanés · Aucun engagement, aucune carte requise
Notre audit à 99 $ CAD couvre les 5 non-conformités listées ci-dessus. Rapport livré sous 48h.