Marie-Claude est physiothérapeute depuis 15 ans. Sa clinique compte 3 praticiens, une réceptionniste, et environ 200 patients actifs. Un matin de janvier 2026, elle reçoit un courriel du cabinet d'avocats d'une ancienne patiente : « Madame, nous vous prions de nous fournir l'intégralité du dossier médical de notre cliente, ainsi que la preuve de votre conformité à la Loi 25... »
Marie-Claude n'avait jamais entendu parler de « registre RP ». Elle ne savait pas qu'il fallait désigner un RPRP. Son agenda des rendez-vous ? Google Agenda. Ses factures ? QuickBooks en ligne. Elle découvre brutalement que les amendes Loi 25 peuvent atteindre 25 millions de dollars.
Si vous êtes propriétaire d'une clinique de santé au Québec — médecin, dentiste, physiothérapeute, psychologue, nutritionniste — cet article est pour vous. Le secteur de la santé est celui où la Loi 25 est la plus stricte, et pour cause : les données médicales sont la catégorie la plus sensible de toutes.
Pourquoi les cliniques ont plus d'obligations que les autres PME
La Loi 25 s'applique à toutes les entreprises, mais elle traite les données de santé comme une catégorie à part. L'article 12 définit expressément les « renseignements relatifs à la santé » comme des données sensibles nécessitant des mesures de protection renforcées.
Pourquoi ? Imaginez les conséquences d'une fuite de données pour un patient :
- Ses diagnostics médicaux révélés à son employeur
- Son historique de santé mentale accessible publiquement
- Ses médicaments et traitements connus de tous
- Ses informations génétiques utilisées contre lui
Le préjudice potentiel est immédiat, grave et irréversible. C'est pourquoi la Commission d'accès à l'information surveille particulièrement les cliniques de santé, et pourquoi les sanctions peuvent être sévères en cas de négligence.
🚨 À retenir : Une fuite de dossiers médicaux est automatiquement considérée comme un incident grave par la CAI. La notification dans les 72 heures est quasi-certaine.
Vos actifs RP à documenter (c'est plus que vous ne pensez)
Quand je demande à un propriétaire de clinique « où sont vos données patients ? », la réponse est souvent : « Bah, dans mon logiciel de facturation... » Sauf que c'est rarement aussi simple. Voici l'inventaire complet que vous devez établir pour votre registre RP :
📋 Dossiers patients (TRÈS SENSIBLE)
- • Diagnostics, médicaments, allergies, antécédents
- • Radiographies, imageries, résultats de laboratoire
- • Notes de consultation, observations cliniques
- • Correspondance avec d'autres professionnels de santé
- • Durée de conservation : 10 ans recommandée après le dernier traitement
📅 Agenda et rendez-vous
Même si vous ne stockez que nom + téléphone + type de traitement, c'est du renseignement personnel. Attention particulière si vous utilisez Google Agenda ou Calendly — ces données vont aux États-Unis.
💳 Réclamations d'assurances
Numéros d'assurance maladie, codes diagnostic, montants réclamés — ces données circulent entre votre clinique et les assureurs (Sunlife, Desjardins, Industrielle Alliance...).
👥 Dossiers employés (médecins, techniciens, réception)
NAS, permis d'exercice, diplômes, formations continues — vos employés sont aussi des personnes dont vous détenez des données sensibles.
📹 Caméras de surveillance (si applicable)
Si vous avez des caméras dans votre clinique, même pour la sécurité, les images qui identifient des patients sont des données personnelles à documenter.
Conseil pratique : Commencez par les actifs les plus sensibles (dossiers patients), puis complétez progressivement. Un registre partiel mais documenté vaut mieux qu'aucun registre.
Obligations spécifiques au secteur santé
Au-delà des obligations générales de la Loi 25 (RPRP, registre RP, politique de confidentialité), les cliniques de santé ont des exigences supplémentaires :
1. Consentement éclairé obligatoire
Avant de collecter des données de santé, vous devez obtenir le consentement éclairé de la personne. Ce n'est pas juste « signer un papier » — c'est expliquer pourquoi vous collectez ces données, comment elles seront utilisées, et qui y aura accès.
2. Politique de confidentialité médicale renforcée
Votre politique doit être plus détaillée qu'une PME ordinaire. Elle doit couvrir les procédures d'accès aux dossiers, les mesures de sécurité physiques et informatiques, et les protocoles en cas d'incident.
3. Procédure de demande d'accès aux dossiers
Un patient peut demander à voir son dossier médical. Vous avez 30 jours pour répondre. Avoir une procédure documentée évite les oublis et les erreurs.
4. Formation du personnel
Tout votre personnel — médecins, techniciens, réceptionnistes, même les stagiaires — doit être formé aux principes de base de la Loi 25 et aux procédures de confidentialité de votre clinique.
5. Sécurité physique des dossiers papier
Si vous avez encore des dossiers papier (et beaucoup de cliniques en ont), ils doivent être dans un classeur barré, dans une zone à accès restreint. Pas sur le bureau de la réceptionniste, pas dans la salle d'attente.
Consentement et dossiers patients : le guide pratique
Le consentement en santé n'est pas un simple formulaire à faire signer en 5 secondes. C'est un processus qui garantit que le patient comprend et accepte ce qui arrive à ses données médicales.
Votre formulaire de consentement doit couvrir :
- Finalité : Pourquoi vous collectez ces données (diagnostic, traitement, suivi)
- Portée : Quelles données exactement (données de santé, coordonnées, historique)
- Destinataires : Qui y accédera (praticiens, réception, assureurs)
- Durée : Combien de temps vous les gardez (10 ans typiquement)
- Droits : Droit d'accès, de rectification, de retrait du consentement
⚠️ Piège fréquent : Le partage de dossiers avec d'autres professionnels de santé (médecin de famille, spécialiste, autre clinique) nécessite généralement un consentement spécifique. Votre formulaire doit couvrir ces situations ou vous devez demander une autorisation supplémentaire.
Quand un patient demande l'accès à son dossier, vous devez pouvoir le fournir dans un format compréhensible. Cela signifie pas de jargon médical incompréhensible, et l'organisation logique des informations. Encore une fois, un processus documenté vous sauve la vie.
Les logiciels et les transferts hors Québec
C'est souvent là que les cliniques découvrent leurs plus grandes vulnérabilités. Beaucoup d'outils « pratiques » stockent les données aux États-Unis ou ailleurs, ce qui crée des obligations supplémentaires.
✅ Logiciels canadiens (recommandés)
- • Jane App — Logiciel complet pour cliniques (Canada)
- • Medesync — Dossiers médicaux électroniques (Québec)
- • Omnimed — EMR québécois
- • Profam — Gestion de cliniques (Québec)
⚠️ Logiciels avec données hors Canada
- • Google Agenda — Serveurs aux USA
- • Calendly — Données aux USA
- • QuickBooks Online — Certains serveurs aux USA
- • Mailchimp — Email marketing (USA)
Pour les logiciels qui transfèrent des données hors Québec (surtout aux États-Unis), vous devez réaliser une Évaluation des facteurs relatifs à la vie privée (EFVP) si les données sont sensibles — ce qui est automatiquement le cas pour les données médicales.
Partage de données avec des tiers :
- Assureurs (Sunlife, Desjardins, etc.) : Nécessite un contrat de traitement qui précise les obligations de protection des données
- Laboratoires externes : Documentez quel laboratoire reçoit quelles données et pourquoi
- Autres professionnels de santé : Assurez-vous d'avoir le consentement du patient ou une base légale solide
Incidents de confidentialité en santé : obligations renforcées
En santé, un incident de confidentialité n'est pas « juste une erreur » — c'est potentiellement la révélation d'informations extrêmement sensibles qui peuvent ruiner la vie d'un patient. La Loi 25 reconnaît cette réalité.
🚨 Une fuite de dossier médical = incident grave automatique
Quand des données médicales sont compromises, la CAI considère presque systématiquement qu'il s'agit d'un incident présentant un risque sérieux. Résultat : notification obligatoire dans les 72 heures et souvent obligation de prévenir les patients concernés.
Exemples d'incidents courants en clinique :
Courriel envoyé à la mauvaise adresse
Le résumé de la consultation du patient A est parti à l'adresse du patient B. Une erreur humaine classique avec des conséquences énormes.
Ordinateur de la clinique volé
Si l'ordinateur n'était pas chiffré et contenait des dossiers patients, c'est une fuite massive. Les dossiers papier volés comptent aussi.
Accès non autorisé d'un employé
La réceptionniste consulte le dossier d'un ex-petit ami. C'est une violation de la confidentialité professionnelle grave.
Votre bouclier : La documentation. Si vous pouvez prouver que vous aviez des procédures de sécurité, que vous aviez formé votre personnel, et que vous avez réagi rapidement à l'incident, la CAI prend cela en compte. Sans documentation, vous êtes vulnérable.
Par où commencer cette semaine
Si vous êtes submergé par toutes ces obligations, concentrez-vous sur ces 3 actions prioritaires. Elles vous mettront dans la catégorie « clinique qui fait des efforts sérieux » — ce qui compte énormément pour la CAI.
1Désignez votre RPRP et publiez ses coordonnées
C'est l'obligation la plus simple et la plus visible. 15 minutes max. Voir notre guide sur le RPRP.
2Inventoriez vos actifs les plus sensibles
Commencez par votre dossier patients et votre agenda. Où sont ces données ? Qui y a accès ? Utilisez notre guide pour créer votre registre RP.
3Vérifiez vos logiciels avec données aux USA
Si vous utilisez Google Agenda, Calendly, ou d'autres outils américains pour des données patients, planifiez leur remplacement ou réalisez une EFVP. C'est souvent la plus grosse vulnérabilité cachée.
Ces 3 actions prennent environ 3-4 heures au total. Elles ne vous rendront pas 100 % conformes, mais elles réduiront drastiquement votre risque d'amende et vous placeront dans la bonne catégorie aux yeux de la CAI.
Questions fréquentes sur la Loi 25 en clinique de santé
Les données de santé sont-elles plus protégées par la Loi 25 ?
Oui. Les données de santé sont considérées comme des données sensibles par la Loi 25 (article 12) et nécessitent des mesures de protection renforcées. La CAI surveille particulièrement les cliniques de santé en raison du caractère sensible de ces données.
Combien de temps garder les dossiers patients ?
La recommandation générale est de 10 ans après le dernier traitement pour les dossiers de santé. Cependant, vérifiez les exigences spécifiques à votre profession (ordre professionnel) car certaines ont des exigences plus strictes ou différentes.
Peut-on utiliser Google Agenda pour les rendez-vous patients ?
Avec précaution. Google Agenda stocke des données aux États-Unis, ce qui nécessite une Évaluation des facteurs relatifs à la vie privée (EFVP) pour les données sensibles. Pour les données médicales, un logiciel canadien comme Jane App ou Medesync est fortement préférable.
Dois-je informer mes patients de mes pratiques de données ?
Oui. Vous devez obtenir leur consentement éclairé pour la collecte de leurs données de santé et les informer de leurs droits via votre politique de confidentialité. Ce consentement doit être documenté et facilement accessible.
Clause de non-responsabilité : Ce guide est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Les obligations spécifiques varient selon votre profession de santé et votre ordre professionnel. Consultez un avocat spécialisé en protection des données et votre ordre professionnel pour des conseils adaptés à votre situation. Nexconform ne garantit pas une conformité à 100 %.