Loi concernant le partage de certains renseignements de santé (Québec)

Présentation

La loi concernant le partage de certains renseignements de santé, RLRQ, c P-9.0001 (« la loi québécoise ») représente la législation la plus importante du Québec concernant la collecte, l'utilisation et la divulgation de renseignements de santé liés à la prestation des soins de santé dans la Province de Québec. Cette loi québécoise a pour objet la mise en place d'actifs informationnels permettant le partage de renseignements de santé jugés essentiels aux services de première ligne et au continuum de soins, afin d'améliorer la qualité et la sécurité des services de santé et des services sociaux ainsi que l'accès à ces services. Cette loi a également pour objet d'améliorer la qualité, l'efficience et la performance du système québécois de santé en permettant une gestion et une utilisation maîtrisée de l'information sociosanitaire. Bien que cette page se concentre sur la loi québécoise pour les besoins des informations qui s'y trouvent, la loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels du Québec, RLRQ, c. A-2.1 s'applique également aux institutions sociales et de santé et à la loi sur la protection des renseignements personnels dans le secteur privé du Québec, RLRQ, c. P-39.1, qui établit des règles pour la collecte, l'utilisation et la divulgation des renseignements personnels dans le secteur privé.

Les clients gardent en permanence le contrôle sur la gestion de leur contenu stocké sur AWS et sur leur accès. Étant donné qu'AWS n'a pas la possibilité de savoir quelles données sont chargées par les clients sur son réseau, notamment si ces données sont considérées ou non comme étant soumises à la loi québécoise, les clients sont responsables de leur conformité à cette loi. Les clients AWS peuvent concevoir et mettre en service un environnement AWS et utiliser les services AWS de manière à respecter leurs obligations dans le cadre de la loi québécoise.

La région AWS Canada (Centre)est actuellement disponible pour plusieurs services, notamment Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) et Amazon Relational Database Service (Amazon RDS). Pour obtenir la liste complète des régions et services AWS, consultez la page relative à l'infrastructure mondiale. La tarification de la région Canada est disponible sur la page de présentation de chaque service, accessible via la page relative aux produits et services.

• En quoi consistent la LPRPDE et la loi québecoise ? Quelle est la relation entre ces lois ?

  La loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est une loi fédérale canadienne régissant la collecte, l'utilisation et la divulgation des renseignements personnels dans le cadre d'activités commerciales dans l'ensemble des provinces canadiennes. Cependant, certaines provinces canadiennes ont également adopté leurs propres lois de portée générale relatives à la confidentialité des données, applicables tant au secteur public qu'au secteur privé, ainsi que des lois relatives à la confidentialité des données propres aux renseignements de santé personnels. La loi concernant le partage de certains renseignements de santé du Québec, RLRQ, c. P-9.0001 (loi québécoise) est une loi relative à la confidentialité des données qui a pour objet la mise en place d'actifs informationnels permettant le partage de renseignements de santé jugés essentiels aux services de première ligne et au continuum de soins, afin d'améliorer la qualité et la sécurité des services de santé et des services sociaux ainsi que l'accès à ces services. Cette loi a également pour objet d'améliorer la qualité, l'efficience et la performance du système québécois de santé en permettant une gestion et une utilisation maîtrisée de l'information sociosanitaire. Cette loi québécoise s'applique à tout individu ou partenariat qui héberge, exploite ou utilise un actif informationnel (tel que défini ici) incluant, sans s'y limiter, les cabinets médicaux privés, les pharmacies, les centres médicaux spécialisés, les prestataires de services sociaux et de santé, etc., tel que précisé dans la section 4 de la loi. Un « actif informationnel » est défini dans la loi québécoise comme « toute base de données, système d'informations ou de télécommunication, infrastructure technologique ou combinaison de ces derniers, ou tout composant informatique d'un équipement médical spécialisé ou ultra-spécialisé ».

  La loi à laquelle est soumis un client AWS, et la mesure dans laquelle il l'est, qu'il s'agisse de la LPRPDE, de la loi québécoise ou de toute autre exigence d'une province canadienne relative à la confidentialité des données, peuvent varier en fonction de l'activité du client.

  D'autres organisations peuvent également être assujetties à la LPRPDE ou à des lois provinciales sur la confidentialité des données. Pour plus d'informations sur la LPRPDE, veuillez consulter le site Web d'AWS ici.

  Pour savoir à quelles lois ils sont assujettis en matière de confidentialité des données, les clients doivent s'adresser à leurs propres conseillers juridiques.
  

• Comment les clients peuvent-ils se conformer à la loi québécoise sur AWS ?

  Les clients AWS peuvent concevoir et mettre en service un environnement AWS et utiliser les services AWS de manière à respecter leurs obligations dans le cadre de la loi québécoise.

  Les clients assujettis à la loi québécoise peuvent être tenus de se conformer aux exigences encadrant la gestion, la collecte, l'accès à, l'utilisation, la divulgation et la protection des renseignements de santé. AWS donne aux clients le contrôle sur la manière dont leur contenu est stocké ou traité lorsqu'ils utilisent les services AWS, et notamment la manière dont ce contenu est sécurisé, ainsi que les personnes qui peuvent y accéder. AWS fournit des services que les clients peuvent configurer et utiliser de façon à garantir facilement la sécurité des renseignements de santé stockés sur AWS. Toutefois, il incombe au client d'élaborer une solution qui respecte les exigences applicables en matière de confidentialité des données.

  Il convient de relever qu'il n'existe pas de « certification » en matière de conformité à la loi québécoise officiellement reconnue, comme il existe des certifications ou des autorisations SOC, PCI ou FedRAMP. En revanche, AWS fournit à ses clients un volume considérable d'informations concernant les politiques, les processus et les contrôles établis et gérés par ses services. AWS fournit des manuels, des livres blancs et des guides de bonnes pratiques disponibles sur la page Ressources de conformité d'AWS. Par ailleurs, les clients bénéficient d'un accès à la demande aux rapports d'audit tiers sur AWS dans AWS Artifact.
  

• Est-ce qu'AWS accède aux renseignements de santé que les clients placent sur ses services ?

  Les clients gardent en permanence le contrôle sur la gestion de leur contenu stocké sur AWS et sur leur accès. AWS fournit un ensemble avancé de fonctionnalités d'accès, de chiffrement et de journalisation afin d'aider les clients à gérer leur accès et leur contenu. AWS n'accède pas au contenu du client et ne le diffuse pas, sauf à la demande expresse du client, en cas d'obligation légale, ou sur ordre légal valide et contraignant d'un organisme gouvernemental ou réglementaire compétent. À moins qu'il existe une interdiction légale ou une indication claire d'illégalité d'un tel procédé en lien avec l'utilisation des services AWS, AWS informe les clients préalablement à la divulgation de leur contenu, afin de leur permettre de prendre des mesures pour se protéger contre ce type d'opération. Pour plus d'informations, consultez notre FAQ sur la confidentialité des données.
  

• La loi québécoise interdit-elle à un client AWS de disposer de données en transit ou au repos en dehors du Québec ou du Canada ?

  Pour savoir comment se conformer aux lois sur la confidentialité des données, les clients doivent s'adresser à leurs propres conseillers juridiques. Par mesure de protection des renseignements de santé dont les dépositaires ont la garde ou le contrôle, la loi québécoise peut leur demander de mettre en place certaines mesures d'ordre administratif, technique et physique, par exemple. Les renseignements de santé devant être stockés, utilisés, divulgués ou accessibles hors du Québec ou du Canada peuvent être soumis à certaines obligations au titre de la loi québécoise préalablement auxdits stockage, utilisation, divulgation et accès hors du Québec ou du Canada. Il relève de la responsabilité de chaque client de déterminer si le transfert et le stockage de ses données hors du Québec ou du Canada satisfont à ses exigences de sécurité et de confidentialité des données au titre de la loi québécoise.

  Les clients AWS doivent déterminer si la LPRPDE ou les lois d'autres provinces du Canada sont applicables et, le cas échéant, les consulter pour connaître les restrictions en matière de résidence des données. Les clients AWS choisissent la ou les régions AWS dans lesquelles leur contenu sera stocké. Nous ne déplacerons ni ne répliquerons pas le contenu du client en dehors de la ou des régions choisies par le client sans son consentement.
  
  

• La loi québécoise requiert-elle le chiffrement des renseignements de santé ?

  Au titre de la loi québécoise, il n'existe aucune exigence spécifique demandant de chiffrer les renseignements de santé. Cependant, les entités assujetties à cette loi doivent suivre certaines étapes pour garantir la protection des renseignements de santé, et il relève de la responsabilité de chaque client de déterminer si le chiffrement est approprié pour satisfaire à ses obligations en matière de sécurité. Conformément aux bonnes pratiques, AWS recommande de toujours chiffrer les renseignements de santé au repos et en transit.
  

• Comment les clients peuvent-ils obtenir des informations en vue d'effectuer une évaluation de l'impact de la confidentialité des données en lien avec l'utilisation d'AWS ?

  AWS met à disposition une large gamme de ressources pour aider les clients à comprendre l'environnement et les contrôles de sécurité d'AWS. AWS fournit aux clients un accès à la demande aux rapports d'audit tiers (tels que nos rapports SOC 1 et SOC 2) dans AWS Artifact. AWS met également à disposition des manuels, des livres blancs et des guides de bonnes pratiques sur la page Ressources de conformité d'AWS, expliquant comment exécuter des charges de travail en toute sécurité dans AWS.

• Comment les clients peuvent-ils mettre en œuvre les audits de leur environnement sur AWS ?

  Dans le cadre du modèle de responsabilité partagée, les clients doivent envisager de mettre en place des audits et une journalisation dans leur environnement AWS, d'une manière suffisante pour satisfaire à leurs obligations en matière de conformité. AWS propose des services qui simplifient la mise en œuvre d'architectures d'analyse de fichiers journaux et de journalisation évolutive. AWS travaille également avec une large variété de partenaires dans AWS Marketplace, qui proposent des solutions de journalisation sécurisée. Pour plus d'informations sur la manière de mettre en œuvre la journalisation sur AWS, consultez la page consacrée aux fonctionnalités de journalisation sécurisée AWS.
  

• Pouvez-vous fournir des exemples d'autres organisations du secteur de la santé qui utilisent AWS au Canada ?

  Vous pouvez lire nos derniers articles de blog à propos des tendances dans les soins de santé au Canada. Si vous souhaitez obtenir des informations sur la conformité pour le secteur de la santé dans le Cloud AWS, consultez cette page.