Le ministre québécois de l’Économie a causé tout un émoi le 20 août dernier, en suggérant d’utiliser les informations colligées dans les dossiers des utilisateurs par la RAMQ dans le but d’attirer des compagnies pharmaceutiques sur le territoire du Québec [1]. Si la relance économique est l’objectif principal du moment au sein du gouvernement, cette proposition laisse la critique pantoise. Les lois et principes directeurs liés à la protection des données personnelles ne peuvent pas être contournés aussi facilement et une réflexion s’impose rapidement.
Protéger les données personnelles
Tout organisme qui collige et conserve des données, public ou privé, est soumis à des règles de protection des données personnelles. Il ne peut colliger que des données en lien avec sa mission et a la responsabilité de protéger les données personnelles qu’il détient. Aussi, il doit s’assurer de mettre en place des systèmes qui permettent l’accès sécuritaire aux données détenues par les individus et organismes autorisés uniquement.
Les objectifs derrière la collecte de données personnelles varient d’un secteur à l’autre : les dossiers médicaux renferment des données nominales sur l’état de santé; les dossiers des assureurs renferment des dossiers médicaux, des opinions d’experts et des rapports d’enquêtes sur des assurés; les registres d’une entreprise commerciale rassemblent des informations sur les choix individuels de consommation et sur la participation de consommateurs à des sondages; les entreprises de sondage colligent des informations qui portent sur les choix des consommateurs de façon anonyme, et ainsi de suite.
Qui est autorisé à accéder aux données?
Les préposés aux bénéficiaires n’ont pas un droit d’accès aux dossiers médicaux, mais les infirmières auxiliaires peuvent y accéder pour avoir connaissance d’informations personnelles qui se rattachent à la vie familiale, sociale, professionnelle, par exemple de la personne. Il en va de même pour les personnes qui reçoivent des dossiers médicaux se rattachant à la clientèle qu’ils desservent : secrétaires, parajuristes, avocats, et ainsi de suite.
De façon générale, nous consentons à communiquer des données personnelles relatives à notre santé, mais ignorons la plupart du temps qui peut y avoir accès. En raison de la présence de règles claires concernant la protection des données, nous faisons confiance à l’organisation qui détient un dossier à notre nom.
Ainsi, la réglementation prévoit des règles strictes pour régir l’accès aux données. Seule la personne au nom de laquelle le dossier est constitué peut consentir à l’accès à son dossier par un tiers, comme un médecin, un assureur, son conjoint, ses enfants, ses avocats, les avocats d’une partie adverse, son liquidateur, ses héritiers, etc. À défaut de consentement manifeste, libre, éclairé et donné à des fins spécifiques, l’accès doit être refusé. En d’autres termes, le droit d’accès doit être clair, complet et fixé pour une durée déterminée pour être valide.
La RAMQ gère nos données personnelles
La Régie de l’assurance maladie a pour fonction d’administrer et d’appliquer le programme d’assurance maladie au Québec, mais elle est également dépositaire de données en matière de santé et de services sociaux que lui confient le ministre de la Santé, un établissement de santé, le directeur de la santé publique ou tout autre organisme affilié. Au nombre de ses fonctions, elle assume aussi la responsabilité de la gestion de ces données.
Nos données personnelles détenues par la Régie sont enregistrées sans intervention de notre part et sont mises à jour au fur et à mesure de nos consultations médicales et des soins de santé que nous recevons. Ainsi, les visites, les examens, les consultations, les interventions chirurgicales, les anesthésies, les examens radiologiques, les diagnostics, les avortements, les inséminations artificielles, les rapports d’évaluations psychiatrique ou psychosociale sont accessibles par les services administratifs et tous les services connexes.
Aussi, pour chaque utilisateur du régime d’assurance maladie, la RAMQ conserve un historique des services médicaux assurés au nom de chaque personne. On retrouve le nom du professionnel de la santé, l’adresse de pratique du professionnel, la date du service fourni, le montant payé par la Régie à ce professionnel, la description du service selon l’acte posé et parfois une précision sur ce service. Cet historique s’étale sur toutes les années de l’utilisation du système de santé par un utilisateur et l’accès à cet historique est gratuit pour les personnes autorisées.
Mais l’accès au dossier de la Régie n’est possible que sur autorisation écrite de la personne assurée, de son représentant légal (mandataire, tuteur) ou d’un tribunal. Les normes en cette matière sont strictes. Elles ont été élaborées sur la base des lignes directrices régissant la protection de la vie privée et les flux transfrontières de données à caractère personnel adoptées par l’Organisation de Coopération et de Développement Économique (O.C.D.E.), émises le 23 septembre 1980 et le Canada y a adhéré en 1984.
[1] Privilégier l’industrie pharmaceutique au détriment de la recherche publique?, Marc-André Gagnon et Louise Vandelac, Le Devoir, 3 septembre 2020.
