Politiques de confidentialité
Date de la dernière mise à jour : 21 septembre 2023
Politiques de confidentialité
POLITIQUE DE GOUVERNANCE À L’ÉGARD DES RENSEIGNEMENTS PERSONNELS (RP) DÉTENUS PAR LE GROUPE MÉDICAL LACROIX ET POLITIQUE DE CONFIDENTIALITÉ
PRÉAMBULE :
Clinique Médicale Lacroix inc., Lacroix Chirurgie Privée Montréal Inc., Lacroix Chirurgie Privée Québec Inc. et Lacroix Labo Privé Inc. sont des sociétés liées qui collectivement forment le « Groupe Médical Lacroix ».
Dans le cadre de ses activités, le Groupe Médical Lacroix recueille et utilise des renseignements personnels sur les patients et usagers qui requièrent ses services.
Le Groupe Médical Lacroix est soumis à l’application de la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi »). À cette fin, le Groupe Médical Lacroix est responsable d’assurer la protection des renseignements personnels qu’il détient et de se conformer à la Loi.
La présente politique vise à assurer la protection des renseignements personnels et à encadrer la manière dont le Groupe Médical Lacroix les collecte, les utilise, les communique, les conserve et les détruit. De plus, elle vise à informer toute personne intéressée sur la manière dont le Groupe Médical Lacroix traite leurs renseignements personnels.
Bien que les renseignements collectés automatiquement ne peuvent généralement pas être considérés comme des renseignements personnels, dans le sens où ceux-ci ne sont pas collectés de façon à nous permettre de vous identifier personnellement, l’Annexe « B » de la présente politique vise également à renseigner les personnes intéressées sur les pratiques du Groupe Médical Lacroix relativement aux renseignements collectés automatiquement.
DÉFINITIONS :
Un renseignement personnel (ci-après « RP ») est un renseignement qui concerne une personne physique et qui permet de l’identifier, de manière directe ou indirecte. À titre d’exemple, voici des RP que le Groupe Médical Lacroix peut collecter sur certains individus :
• Nom et coordonnées;
• Adresses domiciliaires et électroniques;
• Numéro de téléphone;
• Prénom et nom des parents;
• Données démographiques (Genre, date de naissance);
• Renseignements sur la facturation;
• Statut de membership.
Un renseignement personnel sensible (ci-après « RP Sensible ») est un renseignement qui, en raison de sa nature notamment médicale, biométrique ou autrement intime, suscite un haut degré d’attente raisonnable en matière de vie privée. À titre d’exemple, voici des RP Sensibles que le Groupe Médical Lacroix peut collecter sur certains individus :
• Dossier médical et notes médicales;
• Numéro d’assurance maladie;
• Antécédents judiciaires;
• État de santé; 2
• Résultats d’examens médicaux;
• Liste de médicaments
• Numéro d’assurance sociale (pour les employés seulement).
APPLICATION
La présente politique s’applique aux dirigeants, employés, consultants, fournisseurs et tous autres sous-traitants qui représentent ou œuvrent pour le compte de Groupe Médical Lacroix.
Elle vise tous les types de RP et RP Sensibles que le Groupe Médical Lacroix collecte, gère et utilise, que ce soit les RP et RP Sensibles de ses patients, de ses employés, de ses sous-traitants et de ses consultants, tels qu’ils sont décrits en Annexe « A » des présentes.
1. Consentement à la collecte des RP et RP Sensible
De manière générale, le Groupe Médical Lacroix obtient le consentement à la collecte des RP et RP Sensibles avant la collecte, en expliquant les fins de cette collecte au moment de celle-ci. Le consentement à la collecte est fait de manière explicite ou implicite, selon le cas. Dans certains cas, le Groupe Médical Lacroix utilise un formulaire de consentement à la collecte (en ligne ou en personne).
Lorsque le Groupe Médical Lacroix collecte des RP et RP Sensibles sur des personnes de moins de 14 ans, le titulaire de l’autorité parentale ou le tuteur doit consentir à la collecte, à moins que celle-ci soit manifestement au bénéfice de ce mineur, de l’opinion des intervenants du Groupe Médical Lacroix.
2. Collecte des RP et RP Sensible
Dans le cadre de ses activités, le Groupe Médical Lacroix collecte divers types de RP et de RP Sensibles, et ce, à différentes fins, tels que plus amplement décrits en Annexe « A » des présentes.
Généralement, la collecte des RP et RP Sensibles se fait directement auprès de la personne qui sollicite des services ou devient employé(e) du Groupe Médical Lacroix. Dans certains cas, des RP et RP Sensibles peuvent être reçus par le Groupe Médical Lacroix via des tiers, notamment lorsqu’il s’agit de résultats d’examens complémentaires faits à l’externe.
Au moment de la collecte, le Groupe Médical Lacroix informe les personnes contactées des informations suivantes :
• Les fins auxquelles sont recueillis les RP et RP Sensibles;
• Les moyens par lesquels sont recueillis les RP et RP Sensibles;
• Les droits d’accès et de rectification des RP et RP Sensibles prévus à la Loi; et
• Leur droit de retirer son consentement à l’utilisation et la communication des RP et RP Sensibles recueillis.
Toute personne a l’occasion de consentir ou non à la collecte des RP et RP Sensibles nécessaires au Groupe Médical Lacroix, comme mentionné en section 1.
3. Accès aux RP et RP Sensibles et mesures de sécurité
Patients
Les RP et RP Sensibles que le Groupe Médical Lacroix détient concernant les patients sont conservés sur un logiciel infonuagique de type Dossier Médical Électronique, dont les données sont encryptées (ci-après le « DME »).
Le DME lui-même est hébergé dans le centre de données de Telus Health (Canada) Ltd. situé au Canada1 . La solution est homologuée par le Ministère de la Santé et des Services Sociaux (MSSS) et détient une certification de type TGV (Trousse Globale de vérification) relativement aux exigences du secteur sociosanitaire du Québec en matière de sécurité, de protection des renseignements personnels (PRP), de performance et de technologie (2).
Le Groupe Médical Lacroix limite l’accès aux RP et RP Sensibles contenus dans le DME aux personnes qui en ont besoin dans l’exercice de leurs fonctions. Elle crée autant de type d’accès au DME que nécessaire pour s’assurer de personnaliser et limiter les accès des différents intervenants aux RP et RP Sensibles.
À cette fin, les accès au DME sont protégés par mot de passe unique, propre à chaque utilisateur. Toute personne qui n’est plus employé(e), sous-traitant(e) ou n’a plus à avoir accès aux RP et RP Sensibles détenus par le Groupe Médical Lacroix voit son accès au DME révoqué en temps opportun.
La gestion des accès DME est administrée par les différentes équipes de direction et supervisée par le Responsable de la protection des RP.
Certains RP de Patients recueillis via des formulaires en ligne peuvent être conservés sur le serveur du site web, jusqu’à ce que les patients ayant sollicité des services aient pu être rappelés par l’équipe de Groupe Médical Lacroix.
Certains RP des Patients peuvent être conservés sur la plateforme de type TPV permettant de prélever les paiements nommée Netbanx opérée par Paysafe Group Limited. Le Groupe Médical Lacroix limite l’accès à Netbanx aux personnes qui en ont besoin dans l’exercice de leurs fonctions et le mot de passe Netbanx change automatiquement une (1) fois par mois. Pour en connaître davantage sur la gestion des RP faite par Netbank, veuillez consulter le https://www.paysafe.com/caen/paysafegroup/comprehensive-privacy-notice/.
Employés, sous-traitants et consultants :
Les RP et RP Sensibles des employés, sous-traitants et consultants, et dans de rares cas d’exceptions, certains RP et RP Sensibles de patients sont conservés sur un serveur infonuagique hébergé par Microsoft (le « SharePoint GML »).
Le Groupe Médical Lacroix limite l’accès aux RP et RP Sensibles contenus dans le Sharepoint GML aux personnes qui en ont besoin dans l’exercice de leurs fonctions. Elle crée autant d’accès et de sites dans le SharePoint GML que nécessaires pour s’assurer de personnaliser et limiter les accès des différents employés aux RP et RP Sensibles.
À cette fin, chaque utilisateur se voit octroyé un accès Microsoft 365 avec mot de passe unique et double authentification pour l’accès au SharePoint GML. Toute personne qui n’est plus employé(e), sous-traitant(e) ou n’a plus à avoir accès aux RP et RP Sensibles contenus dans le SharePoint GML voit son accès Microsoft 365 révoqué en temps opportun.
La gestion des accès au SharePoint GML est administrée par le contrôleur de Groupe Médical Lacroix et supervisée par Responsable des renseignements personnels.
(1) Cadre du programme de gestion de la protection de la vie privée de TELUS (ctfassets.net)
Entente de confidentialité
Tous les employés, prestataires de services et sous-traitants du Groupe Médical Lacroix qui peuvent avoir accès aux RP et RP Sensibles qu’il détient ont signé des ententes de confidentialité en faveur du Groupe Médical Lacroix.
Ils s’engagent également à respecter la présente politique et s’assurer du traitement des RP et RP Sensibles durant tout leur cycle de vie de la façon la plus sécuritaire possible.
4. Utilisation des RP et RP Sensibles
Le Groupe Médical Lacroix limite l’utilisation des RP et RP Sensibles aux fins pour lesquelles ils ont été collectés, telles que décrites dans la présente politique (précisément en Annexe A) ou au moment de la collecte.
Toutefois, dans certains cas d’exception prévus par la Loi, le Groupe Médical Lacroix pourra utiliser les RP et RP Sensibles détenus sans le consentement de la personne :
• Si le Groupe Médical Lacroix juge que les fins d’utilisation des RP et RP Sensibles sont compatibles avec les fins pour lesquelles les RP et RP Sensibles avaient été recueillis;
• Si le Groupe Médical Lacroix juge que les fins d’utilisation des RP et RP Sensibles sont manifestement au bénéfice de la personne (exemple : à des fins médicales ou à des fins d’aide);
• Si le Groupe Médical Lacroix juge que l’utilisation des RP et RP Sensibles est nécessaire afin d’éviter une situation de fraude (exemple : pour valider l’identité de quelqu’un en cas de doute sur son identité);
• Si le Groupe Médical Lacroix juge que l’utilisation est en accord avec les lois en matière de déontologie et selon les recommandations du Collège des Médecins du Québec, de l’Ordre des Infirmières et Infirmiers du Québec ou de tout autre ordre professionnel régissant les professionnels œuvrant au sein du Groupe Médical Lacroix, notamment dans des processus d’enquête et d’inspection, telles que ces lois pourraient être amendées de temps à autre;
• Si le Groupe Médical Lacroix juge que l’utilisation des RP et RP Sensibles est nécessaire pour fournir un service demandé par la personne concernée; et
• Si le Groupe Médical Lacroix juge que l’utilisation des RP et RP Sensibles est nécessaire à des fins d’étude, de recherche ou de production de statistiques (et que les RP et RP Sensibles sont traités de façon dépersonnalisée ou anonymisée).
Si le Groupe Médical Lacroix entend utiliser les RP et RP Sensibles à d’autres fins qui ne sont pas prévues dans l’une des exceptions ci-dessus, la personne concernée devra donner son consentement à une telle utilisation. S’il s’agit d’un RP Sensible, ce renseignement devra être express.
5. Communication des renseignements
Règle générale, le Groupe Médical Lacroix ne communiquera pas les RP et RP Sensibles qu’il détient à quiconque sans l’autorisation de la personne concernée, à moins d’une exception prévue aux présentes ou dans la Loi. Ce consentement devra être donné de manière explicite dès lors qu’il s’agit d’un RP Sensible.
Si le Groupe Médical Lacroix devait sous-traiter en tout ou en partie l’organisation, le déroulement ou l’exécution de certaines communications ou services, il devrait communiquer les RP nécessaires à ces 5 fins à ses sous-traitants. Le cas échéant, le Groupe Médical Lacroix souscrira toujours à des ententes de confidentialité rigoureuses avec ces tiers, sous-traitants ou organisations.
Dans certains autres cas prévus par la Loi, le Groupe Médical Lacroix peut communiquer des RP et RP Sensibles sans le consentement des personnes concernées.
Le Groupe Médical Lacroix pourrait être amené à communiquer des RP et RP Sensibles à l’extérieur du Québec, par exemple, lorsque ses prestataires de services, sous-traitants ou employés sont situés à l’extérieur du Québec ou lorsque les serveurs de certains services informatiques sont situés à l’extérieur du Québec.
6. Conservation et destruction des RP et RP Sensibles
Le Groupe Médical Lacroix conserve les RP et RP Sensibles qu’elle détient sur un individu pendant la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé. Cette durée peut varier selon le type d’individu et les raisons pour lesquelles il a été en contact avec le Groupe Médical Lacroix.
Une fois la réalisation des fins pour lesquelles les RP et RP Sensibles avaient été demandés, le Groupe Médical Lacroix s’assure de détruire les RP et RP Sensibles ou de les anonymiser de façon irréversible et sécuritaire.
7. Droits d’accès, de rectification et de retrait du consentement
Les personnes sur lesquelles le Groupe Médical Lacroix détient des RP et RP Sensibles ont le droit, en tout temps, via la procédure décrite ci-après de contacter le Groupe Médical Lacroix pour :
• Connaître les RP et RP Sensibles que le Groupe Médical Lacroix détient sur elles;
• Connaître les catégories de personnes au sein du Groupe Médical Lacroix qui ont accès aux RP et RP Sensibles détenus sur elles;
• Connaître la durée de conservation des RP et RP Sensibles détenues sur elles;
• Demander l’accès aux RP et RP Sensibles détenus sur elles;
• Demander une correction aux RP et RP Sensibles si ceux-ci sont incomplets, inexacts ou équivoques;
• Demander que le Groupe Médical Lacroix cesse d’utiliser les RP et RP Sensibles qui les concernent; et
• Demander à ce que les RP et RP Sensibles qui les concernent soient anonymisés.
Le Groupe Médical Lacroix donnera suite à ces demandes dans un délai maximal de TRENTE (30) jours à moins que la Loi prévoie une exception ou une interdiction de ce faire.
Pour ce faire, la personne concernée doit faire une demande écrite (par courriel ou par la poste) adressée à la Responsable de la protection des renseignements personnels du Groupe Médical Lacroix à l’adresse décrite en section 9 ci-dessous. La Responsable de la protection des renseignements personnels aura TRENTE (30) jours à compter de la date de réception de la demande pour y donner suite. En cas de refus, celui-ci sera motivé par une disposition légale et indiquera les recours possibles en vertu de la Loi et le délai pour les exercer.
8. Processus de traitement des plaintes en lien avec la présente politique
Tout individu qui souhaite déposer une plainte en lien avec la gouvernance du Groupe Médical Lacroix eu égard à la gestion des RP et RP Sensibles doit le faire par écrit et envoyer sa plainte à la Responsable de la protection des RP et RP Sensibles du Groupe Médical Lacroix dont l’adresse est décrite en section 9 ci-dessous.
Dépôt et réception d’une plainte :
La plainte doit inclure les éléments suivants, sans quoi elle ne pourra être considérée comme recevable :
• Le nom du plaignant;
• Son adresse domiciliaire;
• Son numéro de téléphone;
• Son courriel; et
• Les motifs de la plainte.
La Responsable de la protection des RP du Groupe Médical Lacroix accusera réception de la plainte auprès du plaignant dès que possible. L’accusé de réception devra contenir les informations suivantes :
• Une description de la plainte reçue, précisant le reproche fait au Groupe Médical Lacroix, le préjudice ou la mesure correctrice demandée;
• Le nom et les coordonnées du responsable du traitement de la plainte;
• Dans le cas d’une plainte incomplète, un avis comportant une demande de complément d’information à laquelle le plaignant doit répondre dans un délai fixé, soit 5 jours ouvrables, à défaut de quoi la plainte sera réputée abandonnée;
• Une copie de la politique de traitement des plaintes.
Traitement de la plainte :
Toute plainte reçue sera traitée de manière confidentielle.
Dans les TRENTE (30) jours de la réception de la plainte complète, la Responsable de la protection des RP et RP Sensibles devra la traiter, puis envoyer une réponse finale, écrite et motivée au plaignant.
Si le Groupe Médical Lacroix ne peut pas traiter la plainte dans ce délai de TRENTE (30) jours, le plaignant devra être informé par écrit des motifs du retard et du délai dans lequel sa plainte sera traitée.
9. Responsable de la protection des RP
Les coordonnées du responsable de la protection des RP sont les suivantes :
Me Jean-François Vachon, avocat et Directeur des affaires juridiques
Adresse : 401-1000, chemin Ste-Foy, Québec (Québec) G1L 3Z5
Téléphone :418 781-2860, poste 1103
Courriel : jfvachon@cliniqueslacroix.ca
Publiée le 21 septembre 2023. Mise à jour le 21 septembre 2023
ANNEXE « A »
L’Annexe « A » consiste en une liste exhaustive sur les types de RP et RP Sensibles que le Groupe Médical Lacroix peut collecter et utiliser.
| Type de contact avec le Groupe Médical Lacroix | Types de RP et RP Sensibles recueillis | Fins auxquelles les RP et RP Sensibles sont recueillis et utilisés | Moyens de collecte |
|---|---|---|---|
| Patients | - Nom - Date de naissance - Numéro d’assurance maladie - Adresse - Numéro de téléphone - Prénom et nom des parents - Contact en cas d’urgence - Type d’abonnement - Données de paiement - Notes des intervenants - Dossier médical - Résultats d’examens complémentaires et externes - Fichiers joints - Formulaires médicaux - Historique des rendez-vous - Factures - Abonnements | - Identification - Octroi de soins médicaux - Communication - Coordination avec le système public de santé - Gestion d’une urgence clinique - Gestion des plaintes - Gestion comptable | - Par téléphone - En personne - Par formulaire rempli par le patient (en ligne ou en personne) |
| Candidats à l’emploi et Employés | - Nom - Numéro de téléphone - Courriel - Coordonnées - Adresse - Numéro d’assurance social - Sexe à la naissance - Renseignements bancaires - Contact en cas d’urgence - Poste occupé - C.V. - Antécédents judiciaires - Salaire - Date de naissance | - Traitement et versement de la paie - Gestion des avantages sociaux - Gestion de l’emploi et de la fin d’emploi - Identification - Envoi de correspondances - Gestion de la carrière | - Par courriel envoyé par le candidat ou l’employé - Par un formulaire à remplir remis par le candidat ou l’employé |
| Prestataires de services et consultants (en général) | - Nom - Adresse - Rémunération - Renseignements bancaires | - Identification - Envoi de correspondances - Gestion des paiements | - Par courriel envoyé par le consultant - Par un formulaire à remplir remis par le consultant |
| Prestataires de services et consultants (seulement les prestataires de soins) | - Numéros de permis et de licences divers - Signature | - Gestion des prescription médicales - Octroi de soins et réalisation des tâches données par les prestataires | - Par courriel envoyé par le consultant - Par un formulaire à remplir remis par le consultant - Sites publics |
ANNEXE « B »
Les renseignements collectés automatiquement ne peuvent généralement pas être considérés comme des renseignements personnels, dans le sens où ceux-ci ne sont pas collectés de façon à nous permettre de vous identifier personnellement.
PAR QUELLES MÉTHODES RECUEILLONS-NOUS AUTOMATIQUEMENT DES RENSEIGNEMENTS ?
Lorsque vous visitez notre site Web cliniquesmedicaleslacroix.com, nous pouvons recueillir automatiquement certaines informations à l’aide de témoins (« cookies ») et les stocker dans des dossiers journaux (« log files »). Les témoins sont de petits fichiers texte que nous créons et stockons sur votre ordinateur lorsque vous naviguez sur notre site Web. Ils enregistrent vos préférences de sorte que vos visites suivantes sur le site Web se déroulent plus efficacement.
Notez que vous pouvez à tout moment paramétrer votre navigateur pour qu’il bloque les fichiers témoins. Par défaut, les navigateurs permettent l’utilisation de ces témoins. De plus, vous pouvez aussi voir les fichiers témoins qui ont été créés sur votre disque dur à l’aide de votre navigateur et les effacer manuellement quand vous le désirez.
QUELS TYPES DE RENSEIGNEMENTS PEUVENT-ÊTRE RECUEILLIS AUTOMATIQUEMENT ?
Les informations recueillies à l’aide de ces témoins peuvent inclure sans s’y limiter :
• Information sur le navigateur;
• Système d’exploitation;
• Fournisseurs de services Internet (FSI);
• Pages visitées et requêtes;
• Heure et jour de connexion;
• Fréquence et durée des visites;
• Géographie et préférence de langue.
COMMENT UTILISONS-NOUS CES RENSEIGNEMENTS COLLECTÉS AUTOMATIQUEMENT ?
Les renseignements collectés par les fichiers témoins nous permettent principalement de :
• Traiter des statistiques et des informations sur le trafic;
• Créer des listes d’audience pour faire du reciblage publicitaire;
• Faciliter la navigation et d’améliorer le service pour votre confort.