R-22.1, r. 2 - Règlement sur la gouvernance des renseignements de santé et de services sociaux

Texte complet
À jour au 1er juillet 2024
Ce document a valeur officielle.
chapitre R-22.1, r. 2
Règlement sur la gouvernance des renseignements de santé et de services sociaux
Loi sur les renseignements de santé et de services sociaux
(chapitre R-22.1, a. 90, 1er al. et 2e al., par. 1, 2 et 4).
CHAPITRE I
RESPONSABILITÉS DES ORGANISMES
A.M. 2024-010, c. I.
1. Un organisme doit voir à ce que les membres de son personnel et les professionnels qui y exercent leur profession, y compris les étudiants et les stagiaires, reçoivent une formation en matière de protection des renseignements reconnue par le ministre, dès leur entrée en fonction ou le début de l’exercice de leur profession au sein de l’organisme.
L’obligation prévue au premier alinéa s’applique également à l’égard des personnes suivantes qui exercent leurs fonctions au sein de l’organisme:
1°  les bénévoles qui exercent des activités décrites aux articles 39.7 et 39.8 du Code des professions (chapitre C-26);
2°  les salariés fournis par une agence de placement de personnel tenue d’être titulaire d’un permis d’agence de placement de personnel en vertu de l’article 92.5 de la Loi sur les normes du travail (chapitre N-1.1) ou les personnes qui sont de la main-d’œuvre indépendante visée par l’article 338.2 de la Loi sur les services de santé et les services sociaux (chapitre S-4.2).
A.M. 2024-010, a. 1 et 18.
2. Un organisme doit veiller à ce que les membres de son personnel et les professionnels qui y exercent leur profession, y compris les étudiants et les stagiaires, ainsi que toutes personnes visées au deuxième alinéa de l’article 1 mettent à jour annuellement leurs connaissances en matière de protection des renseignements.
Cette mise à jour porte notamment sur les sujets suivants:
1°  les rôles et les responsabilités des membres du personnel de l’organisme et des professionnels qui y exercent leur profession, y compris les étudiants et les stagiaires, à l’égard des renseignements qu’il détient;
2°  les règles et les modalités de conservation, de destruction et d’anonymisation des renseignements;
3°  les mesures de sécurité propres à assurer la protection des renseignements que l’organisme a mises en place, notamment celles visant à minimiser les risques d’incident de confidentialité;
4°  le processus de traitement des incidents de confidentialité;
5°  l’utilisation sécuritaire des produits ou services technologiques de l’organisme.
A.M. 2024-010, a. 2.
3. Un organisme doit conserver une preuve de tout consentement qu’il reçoit conformément à l’article 6 de la Loi sur les renseignements de santé et de services sociaux (chapitre R-22.1).
A.M. 2024-010, a. 3.
4. Un organisme doit identifier, parmi les membres de son personnel et les professionnels qui y exercent leur profession, une personne responsable de s’assurer que la personne qui formule un avis de restriction en application de l’article 3 du Règlement d’application de certaines dispositions de la Loi sur les renseignements de santé et de services sociaux (chapitre R-22.1, r. 1) soit adéquatement informée, en termes simples et clairs, des conséquences potentielles et des risques associés à l’exercice du droit de restriction.
L’information visée au premier alinéa peut être donnée à la personne qui formule un avis de restriction par l’intervenant à qui cet avis a été remis. À défaut, la personne responsable ou toute personne qu’elle désigne la contacte afin de lui donner cette information.
A.M. 2024-010, a. 4.
5. Un organisme doit prendre les moyens nécessaires afin que les renseignements qu’il détient demeurent utilisables malgré tout incident affectant leur support.
A.M. 2024-010, a. 5.
6. Au moins une fois par année, un organisme doit:
1°  analyser la pertinence des catégories de personnes identifiées à sa politique de gouvernance des renseignements adoptée en vertu de l’article 105 de la Loi sur les renseignements de santé et de services sociaux (chapitre R-22.1) et, le cas échéant, réviser celles-ci;
2°  évaluer la conformité des mécanismes de journalisation, le cas échéant, et du registre des communications de renseignements visé à l’article 265 de cette loi et évaluer l’efficacité des mesures de sécurité propres à assurer la protection des renseignements qu’il détient mis en place ainsi que, s’il y a lieu, revoir ces mécanismes, ce registre et ces mesures.
A.M. 2024-010, a. 6 et 19.
7. Un organisme doit analyser mensuellement les accès aux renseignements qu’il détient et toutes autres utilisations et communications de ceux-ci, notamment afin de détecter les situations qui ne sont pas conformes aux normes applicables et, le cas échéant, afin de prendre les mesures appropriées.
Malgré le premier alinéa, un organisme visé à l’annexe II de la Loi sur les renseignements de santé et de services sociaux (chapitre R-22.1) a l’obligation d’effectuer une telle analyse au moins une fois par année.
A.M. 2024-010, a. 7.
8. Un organisme, autre qu’un organisme visé à l’annexe II de la Loi sur les renseignements de santé et de services sociaux (chapitre R-22.1), doit mettre en place un comité sur la gouvernance des renseignements ayant pour fonction de soutenir la personne ayant la plus haute autorité au sein de l’organisme dans l’exercice de ses responsabilités prévues par la Loi sur les renseignements de santé et de services sociaux.
Le comité relève de la personne ayant la plus haute autorité au sein de l’organisme. Il est composé du responsable de la protection des renseignements, de la personne désignée en application de l’article 16 et de toute autre personne dont l’expertise est requise, incluant, le cas échéant, la personne responsable de la gestion documentaire.
A.M. 2024-010, a. 8.
9. Un organisme doit s’assurer que les dossiers contenant des renseignements qu’il détient soient tenus d’une manière à en assurer l’intégrité.
De plus, les renseignements consignés ou enregistrés sur un même support doivent l’être de façon uniforme afin de faciliter leur utilisation et leur communication.
A.M. 2024-010, a. 9.
CHAPITRE II
MODALITÉS DE CONSERVATION ET DE DESTRUCTION DES RENSEIGNEMENTS
A.M. 2024-010, c. II.
10. Un organisme doit conserver les renseignements qu’il détient d’une manière à assurer en tout temps leur protection, notamment en prenant les moyens nécessaires afin que soit contrôlé l’accès aux lieux où sont conservés ces renseignements.
A.M. 2024-010, a. 10.
11. Un organisme doit s’assurer que les renseignements qu’il détient et qui font l’objet d’une restriction à l’accès en vertu de l’article 7 de la Loi sur les renseignements de santé et de services sociaux (chapitre R-22.1) ou d’un refus à l’accès en vertu de l’article 8 de cette loi soient conservés d’une manière à respecter cette restriction ou ce refus.
A.M. 2024-010, a. 11.
12. La destruction de tout renseignement détenu par un organisme doit se faire d’une manière sécuritaire et adaptée à la sensibilité et au support du renseignement, dans le respect des meilleures pratiques généralement reconnues. Elle doit également être irréversible afin d’empêcher la reconstitution du renseignement.
A.M. 2024-010, a. 12.
13. Lorsque la destruction de renseignements détenus par un organisme est confiée à un tiers, l’organisme doit conclure par écrit avec celui-ci un contrat à cette fin.
En outre des éléments visés au deuxième alinéa de l’article 77 de la Loi sur les renseignements de santé et de services sociaux (chapitre R-22.1), le contrat doit prévoir:
1°  les procédés à utiliser pour la destruction des renseignements;
2°  le cas échéant, l’obligation pour le tiers de régulièrement rendre compte à l’organisme de la destruction des renseignements;
3°  l’obligation pour le tiers qui s’adjoint une personne ou un groupement pour l’exécution du contrat d’en aviser l’organisme et de s’assurer du respect, par cette personne ou ce groupement, des autres obligations prévues au contrat qui incombent au tiers.
Pour l’application du paragraphe 3 du deuxième alinéa, l’engagement de confidentialité prévu au sous-paragraphe a du paragraphe 3 du deuxième alinéa de l’article 77 de la Loi sur les renseignements de santé et de services sociaux et l’avis prévu au sous-paragraphe c de ce paragraphe doivent être transmis par la personne ou le groupement au tiers.
A.M. 2024-010, a. 13.
14. Un organisme doit conserver une preuve de toute destruction de renseignements.
A.M. 2024-010, a. 14.
CHAPITRE III
MAINTIEN ET ÉVALUATION DES PRODUITS OU SERVICES TECHNOLOGIQUES
A.M. 2024-010, c. III.
15. Un organisme doit prendre les mesures nécessaires afin d’éviter ou de mitiger les impacts possibles sur l’exercice de ses fonctions ou de ses activités dus au fait qu’un produit technologique qu’il utilise cesse d’être conforme à l’usage auquel il est destiné ou que cesse la prestation d’un service technologique qu’il utilise.
À cette fin, il doit notamment tenir un calendrier des dates connues ou appréhendées de telles cessations afin d’analyser, en temps utile, la pertinence de maintenir ou de remplacer ou non un tel produit ou un tel service.
A.M. 2024-010, a. 15.
16. Un organisme doit désigner, parmi les membres de son personnel et les professionnels qui y exercent leur profession, une personne responsable de veiller à l’application des normes applicables aux produits ou services technologiques qu’il utilise, notamment les règles particulières définies par le dirigeant réseau de l’information en vertu de l’article 97 de la Loi sur les renseignements de santé et de services sociaux (chapitre R-22.1).
Cette personne est également responsable de superviser la mise en place et le maintien des mesures de sécurité propres à assurer la protection des renseignements contenus dans ces produits ou services.
A.M. 2024-010, a. 16.
17. Au moins une fois tous les 2 ans, un organisme doit voir à ce que les produits ou services technologiques qu’il utilise fassent l’objet d’une évaluation portant sur les normes visées au premier alinéa de l’article 16.
Toutefois, une telle évaluation doit être faite à chaque fois qu’est modifiée une règle particulière visée à cet alinéa qui porte sur un tel produit ou service.
A.M. 2024-010, a. 17.
CHAPITRE IV
DISPOSITIONS TRANSITOIRES ET FINALE
A.M. 2024-010, c. IV.
18. Jusqu’au 1er décembre 2024, l’article 1 du présent règlement doit se lire en remplaçant le paragraphe 2 du deuxième alinéa par le paragraphe suivant :
«2° les salariés fournis par une agence de placement de personnel tenue d’être titulaire d’un permis d’agence de placement de personnel en vertu de l’article 92.5 de la Loi sur les normes du travail (chapitre N-1.1) ou les personnes qui sont de la main-d’œuvre indépendante visée par l’article 338.2 de la Loi sur les services de santé et les services sociaux (chapitre S-4.2).».
A.M. 2024-010, a. 18.
19. Jusqu’à la date de l’entrée en vigueur de l’article 103 de la Loi sur les renseignements de santé et de services sociaux (chapitre R-22.1), l’article 6 du présent règlement doit se lire en remplaçant le paragraphe 2 par le suivant:
«2° évaluer la conformité des mécanismes de journalisation, le cas échéant, et du registre des communications de renseignements visé à l’article 265 de cette loi et évaluer l’efficacité des mesures de sécurité propres à assurer la protection des renseignements qu’il détient mis en place ainsi que, s’il y a lieu, revoir ces mécanismes, ce registre et ces mesures.».
A.M. 2024-010, a. 19.
20. (Omis).
A.M. 2024-010, a. 20.
RÉFÉRENCES
A.M. 2024-010, 2024 G.O. 2, 3414