Politique gouvernance des données
La clinique dentaire Stéphanie Tremblay est conscient(e) de ses responsabilités en matière de protection des renseignements personnels.
La présente politique prévoit les règles encadrant la gouvernance des renseignements personnels des patients détenus par la clinique.
Elle est publiée sur le site de la clinique ou rendue accessible par tout autre moyen approprié (ex. : dans la salle d’attente ou à la réception de la clinique, précisez lequel).
I/ Le responsable de la protection des renseignements personnels et son rôle
1/ Personne responsable de la protection des renseignements personnels:
Stéphanie Tremblay, en sa qualité de personne ayant la plus haute autorité au sein de l’entreprise, exerce
la fonction de responsable de la protection des renseignements personnels détenus par Clinique Dentaire Stéphanie Tremblay.
Ou Stéphanie Tremblay est désigné(e) responsable de la protection des renseignements personnels détenus par la Clinique Dentaire Stéphanie Tremblay
.
Il/elle peut être joint(e) au 418-228-1926 ou par écrit à dentosphere@cgocable.ca.
Son nom, son titre et ses coordonnées sont publiés sur le site de la clinique. En l’absence de site Internet, indiquez les moyens par lesquels ces informations sont rendues accessibles (ex. : affichage dans la salle d’attente ou à la réception de la
clinique).
1 Voir modèle de formulaire de désignation. Notez que si la fonction de personne responsable de la protection des renseignements personnels est déléguée à un tiers, c’est toujours la personne qui exploite l’entreprise qui sera responsable des obligations légales en matière de protection des renseignements personnels.
2
Ce modèle de politique est préparé par l’ACDQ à destination exclusive de ses membres.
Le responsable de la protection des renseignements personnels a suivi une formation portant sur la protection des renseignements personnels.
2/ Rôle
Le responsable de la protection des renseignements personnels, en conformité avec la loi, reçoit et traite toute demande en lien avec la protection des renseignements personnels, quelle qu’en soit la nature, notamment :
• il reçoit et traite les demandes d’accès, de rectification, de copie de dossier, de restriction ou de refus d’accès, de retrait de consentement.
• il assure la gestion des incidents de confidentialité.
il tient le registre des incidents de confidentialité.
2
• il déclare aux personnes concernées les incidents de confidentialité qui présentent un risque de préjudice sérieux.
3
• il déclare à la Commission d’accès à l’information les incidents de confidentialité qui présentent un risque de préjudice sérieux.
4
• il tient le registre des journalisations.
5
• il peut faire des recommandations en lien avec la protection des renseignements personnels.
• il peut proposer la tenue d’activités de formation sur la protection desrenseignements personnels.
II/ Les renseignements personnels collectés
La clinique ne collecte que les renseignements personnels qui sont nécessaires à la prestation de soins dentaires, et requis par les lois et règlements encadrant l’exercice de la profession de dentiste.
1/ Quels sont les renseignements collectés par la clinique dentaire?
La clinique collecte les renseignements personnels figurant aux articles 15 et 16 du
Règlement sur la tenue des cabinets et des dossiers et la cessation d’exercice des
membres de l’Ordre des dentistes du Québec :
- le nom, le sexe, la date de naissance, l’adresse et le numéro de téléphone du
patient
- les histoires médicale et dentaire du patient
2 Voir modèle de registre
3 Voir modèle de letre de déclaration d’incident de confidentialité.
4 Voir formulaire de déclaration des incidents de confidentialité sur le site Internet de la CAI
5 Voir modèle de registre des journalisations
3
Ce modèle de politique est préparé par l’ACDQ à destination exclusive de ses membres.
Le dentiste consigne au dossier dentaire du patient les éléments suivants :
- la date de consultation
- le diagnostic
- les choix de traitement et les pronostics de chacun
- le relevé des opérations et la description de toutes formes de traitement
effectuées
- les matériaux et médicaments utilisés pour effectuer le traitement
- les ordonnances écrites de médicaments ou de traitements
- les éléments significatifs de toute communication verbale ou écrite avec le
patient ou le concernant
- les résultats d’examens effectués, les éléments diagnostiques et les
rapports d’examens radiologiques, ainsi que tous les modèles
- les annotations relatives aux informations fournies au patient ayant trait à
l’acceptation du traitement et les annotations relatives à la réception du
consentement du patient à ce traitement
- le nom, la concentration et la quantité de produits utilisés dans le cas
d’anesthésie générale, régionale, locale ou de sédation consciente ou
profonde
- les informations et recommandations fournies au patient relativement à un
traitement
- la date où le patient a été dirigé à un professionnel de la santé, le nom de ce
dernier, le but de cette consultation et le rapport émis à la suite de cette
consultation
- les annotations, la correspondance et tout autre document relatif aux
services rendus par le dentiste et toute copie de document ou certificat
délivré au patient
- l’information relative aux honoraires professionnels et à toute somme
facturée au patient
- une note signée par le patient ou par son représentant, lorsqu’il a demandé le
retrait d’une pièce ou d’un document, indiquant la nature du document et la
date de son retrait.
Le dentiste collecte les renseignements figurant au questionnaire médicodentaire
confidentiel de l’Ordre des dentistes du Québec.
Aux fins de facturation, le dentiste collecte également le numéro d’assurance
maladie, la date d’expiration de la carte d’assurance maladie, le nom de la
compagnie d’assurance du patient, le statut de prestataire d’aide financière de
dernier recours, etc. (Indiquez les autres renseignements personnels nécessaires
collectés aux fins de facturation).
(Indiquez tout autre renseignement personnel nécessaire que vous collectez6
).
6 Atention vous devez avoir un intérêt sérieux et légitime à la collecte et le renseignement personnel
collecté doit être nécessaire aux fins déterminées avant la collecte.
4
Ce modèle de politique est préparé par l’ACDQ à destination exclusive de ses membres.
2/ Par quels moyens et auprès de qui sont-ils collectés?
Les renseignements personnels sont collectés auprès de la personne concernée
lors du premier épisode de soin au moyen du questionnaire médicodentaire
confidentiel.
Les renseignements personnels du mineur de moins de 14 ans sont collectés
auprès du titulaire de l’autorité parentale ou du tuteur.
Les renseignements personnels du mineur de 14 ans et plus sont recueillis auprès
du mineur lui-même ou du titulaire de l’autorité parentale ou du tuteur.
Les renseignements personnels du majeur inapte sont recueillis auprès du tuteur
ou du mandataire.
Lors de la collecte initiale des renseignements personnels, et par la suite sur
demande, le patient ou son représentant légal est informé en termes simples et
clairs au moyen du formulaire intitulé « La clinique vous informe »7 des éléments
suivants:
1° le nom de l’organisme qui recueille les renseignements
2° les fins auxquelles ces renseignements sont recueillis
3° les moyens par lesquels les renseignements sont recueillis
4° les droits d’accès et de rectification des renseignements
5° de la possibilité de restreindre ou de refuser l’accès à ce renseignement et des
modalités
6° de son droit de retirer son consentement à la communication ou à l’utilisation des
renseignements recueillis
7° de la durée de conservation de ce renseignement.
III / Mesures de protection des renseignements personnels collectés
1/ Qui, au sein de l’entreprise, a accès aux renseignements personnels collectés?
• les professionnels, employés, stagiaires, ou étudiants de la clinique n’ont
accès aux renseignements personnels des patients que dans la mesure où ils
sont nécessaires à l’exercice de leurs fonctions.
7 Voir modèle.
5
Ce modèle de politique est préparé par l’ACDQ à destination exclusive de ses membres.
• le personnel soignant traitant et le personnel qui l’assiste (dentiste,
hygiéniste dentaire, assistante dentaire) a accès aux renseignements de
santé nécessaires à la prestation de soins dentaires.
• le personnel administratif (ex. : secrétaire, réceptionniste, comptable,
coordonnateur) et le dentiste ont accès aux renseignements nécessaires à la
facturation, à la prise de rendez-vous, et aux autres renseignements de type
administratifs.
Tous les employés de la clinique y compris les stagiaires et étudiants le cas
échéant, ont signé un engagement de confidentialité.8
Tous les professionnels, employés, stagiaires et étudiants de la clinique ont pris
connaissance de la présente politique, et ont bénéficié d’activités de formation et
de sensibilisation en matière de protection des renseignements personnels
(indiquez lesquelles, ex. : webinaire, réunion, etc.).
2/ Lieu de conservation et mesures de sécurité propres à assurer la protection
des renseignements personnels
Les renseignements personnels des patients sont consignés dans le dossier
dentaire.
Le dossier dentaire est conservé dans le bureau de la clinique auquel le public n’a pas accès / ou fermé à clé.
Les dossiers sur support numérique bénéficient de mesures de protection
permettant de restreindre l’accès aux seules personnes autorisées (avec l’aide de la
personne en charge de la maintenance de vos équipements informatiques ou de
votre fournisseur de logiciel, précisez les mesures permettant d’assurer le plus haut
niveau de confidentialité, ex. : chiffrement, contrôle des accès, fréquence de
changement des codes d’accès, archivage, calendrier de mise à jour des postes de
travail et produits et services technologiques utilisés, sauvegarde et fréquence,
maintenance de sécurité, etc.).
Les dossiers dentaires archivés sont conservés dans le bureau de la clintique auquel le public n’a pas accès / ou fermé à clé.
8 Voir document Engagement de confidentialité à l’intention des personnes à l’emploi d’un dentiste proposé
par l’Ordre des dentistes du Québec
6
Ce modèle de politique est préparé par l’ACDQ à destination exclusive de ses membres.
3/ Journalisation des utilisations des renseignements de personnels
Le responsable de la protection des renseignements personnels s’assure que le
registre des journalisations des utilisations des renseignements de santé9
soit
complété quotidiennement par tout membre du personnel ou tout professionnel
ayant consulté, utilisé, communiqué ou reçu communication d’un renseignement de
santé.
ou
Le responsable de la protection des renseignements personnels imprime
quotidiennement le rapport des consultations et utilisations des renseignements
de santé à partir du logiciel dentaire.
4/ Évaluation des facteurs relatifs à la vie privée
Une évaluation des facteurs relatifs à la vie privée (EFVP)10 est réalisée lors de tout
projet d’acquisition, de développement et de refonte de système d’information ou de
prestation électronique de services impliquant la collecte, l’utilisation, la
communication, la conservation ou la destruction de renseignements personnels.
La loi définit le « produit ou service technologique » comme étant un équipement,
une application ou un service requis afin de recueillir, de conserver, d’utiliser ou de
communiquer un renseignement, tels une banque ou un système d’information, un
réseau de télécommunication, une infrastructure technologique, un logiciel ou une
composante informatique d’un équipement médical.
Une EFVP est également réalisée lorsqu’un renseignement personnel doit être
communiqué à un partenaire/fournisseur à l’extérieur du Québec et ce n’est que si
l’évaluation démontre que le renseignement bénéficierait d’une protection
adéquate, notamment au regard des principes de protection des renseignements
personnels généralement reconnus, qu’il sera transmis, et après en avoir informé la
ou les personnes concernées.
5/ Communication à des tiers
Les renseignements personnels des patients ne peuvent être communiqués à des
tiers sans leur consentement, sauf lorsque la Loi le prévoit11.
9 Voir modèle
10 Voir guide d’accompagnement de La Commission d’accès à l’information au lien suivant :
htps://www.cai.gouv.qc.ca/documents/CAI_Guide_EFVP_FR.pdf
11 Voir modèles de formulaires de transfert à un assureur ou à un tiers disponible sur demande au service
juridique.
7
Ce modèle de politique est préparé par l’ACDQ à destination exclusive de ses membres.
IV / Les droits des patients
1/ Droit d’accès et procédure
Si le patient souhaite consulter son dossier dentaire, il doit en faire la demande à
Stéphanie Tremblay), responsable de la protection des
renseignements personnels, par écrit à dentosphere@cgocable.ca.
Dès la réception de sa demande d’accès, il recevra un accusé de réception. Le
responsable de la protection des renseignements personnels lui donnera accès
gratuitement à son dossier dentaire au plus tard dans les 30 jours de la réception de
sa demande, et dans les heures d’ouverture habituelles de la clinique.
Le responsable de la protection des renseignements personnels doit motiver tout
refus d’acquiescer à une demande d’accès en spécifiant les motifs de son refus, la
disposition de la Loi sur laquelle ce refus s’appuie, les recours qui s’offrent au
requérant, et le délai dans lequel ils peuvent être exercés.
2/ Droit de rectification et procédure
Le patient a le droit de :
1° de faire corriger, dans un document qui le concerne et qui est inclus dans tout
dossier constitué à son sujet, des renseignements inexacts, incomplets ou
équivoques en regard des fins pour lesquelles ils sont recueillis;
2° de faire supprimer tout renseignement périmé ou non justifié par l’objet du
dossier constitué à son sujet;
3° de verser au dossier constitué à son sujet les commentaires qu’il a formulés par
écrit.
Sa demande doit être adressée à Stéphanie Tremblay, responsable de la
protection des renseignements personnels, par écrit àdentosphere@cgocable.ca
Le responsable de la protection des renseignements personnels y donnera suite au
plus tard dans les 30 jours de sa réception, et selon le cas délivrera au patient une
copie du document ou de la partie du document attestant que les renseignements y
8
Ce modèle de politique est préparé par l’ACDQ à destination exclusive de ses membres.
ont été corrigés ou supprimés ou, une attestation que ses commentaires écrits ont
été versés au dossier.
Le responsable de la protection des renseignements personnels doit motiver tout
refus d’acquiescer à une demande et indiquer la disposition de la loi sur laquelle ce
refus s’appuie, les recours, et le délai dans lequel ils peuvent être exercés.
3/ Droit d’obtenir copie et procédure
Le patient a le droit d’obtenir une copie de son dossier dentaire.
Sa demande doit être adressée à Stéphanie Tremblay, responsable de la
protection des renseignements personnels par écrit à dentosphere@cgocable.ca.
La personne responsable de la protection des renseignements personnels y
donnera suite au plus tard dans les 30 jours de sa réception, et pourrait exiger des
frais de reproduction ou de transmission, le cas échéant le patient sera avisé du
montant approximatif.
La copie de dossier papier sera remise en main propre ou envoyée par courrier
recommandé. Lorsque le dossier est sur support numérique, il sera communiqué au
requérant dans un format technologique structuré et couramment utilisé, via un
mode de transmission sécurisé.
4/ Possibilité de restreindre ou de refuser l’accès à un renseignement personnel
Le patient a le droit de restreindre l’accès à ses renseignements de santé ou de
refuser qu’un renseignement le concernant soit accessible à certaines personnes
déterminées, dans certaines circonstances.
Sa demande doit être adressée à Stéphanie Tremblay, responsable de la
protection des renseignements personnels par écrit à dentosphere@cgocable.ca.
5/ Droit de porter plainte et procédure
Le patient a le droit de faire une plainte en lien avec la collecte, l’utilisation, la
communication à un tiers de ses renseignements personnels, ou tout autre motif en
lien avec la protection de ses renseignements personnels.
9
Ce modèle de politique est préparé par l’ACDQ à destination exclusive de ses membres.
Sa demande doit être adressée à Stéphanie Tremblay, responsable de la
protection des renseignements personnels par écrit à dentosphere@cgocable.ca.
La plainte du requérant doit contenir les détails nécessaires à la compréhension de
la situation, la personne mise en cause, son poste, la date des événements
reprochés, la présence de témoins et leurs noms, le cas échéant.
Dès la réception de sa plainte, il recevra un accusé de réception.
La personne responsable de la protection des renseignements personnels fera
enquête, et rencontrera toutes les personnes impliquées.
Toute personne employée ou tout travailleur autonome de la clinique dentaire est
tenu de collaborer au processus d’enquête et de le faire en préservant le caractère
confidentiel des informations dont elle dispose, sauf dans la mesure nécessaire
pour analyser la plainte.
À l’issue de l’enquête, un rapport sera produit par la personne responsable de la
protection des renseignements personnels. Il établira le bien-fondé des allégations
et, le cas échéant, proposera des recommandations pouvant comporter des
mesures administratives ou disciplinaires, la mise en place de mesures permettant
d’éviter que de nouveaux incidents de même nature se reproduisent, une
déclaration à la Commission d’accès à l’information selon la nature de l’incident, ou
toute autre mesure jugée pertinente.
La personne responsable de la protection des renseignements personnels
informera le plaignant par écrit des conclusions de son enquête, et des mesures qui
seront mises en place.
V / Procédure en cas de survenance d’un incident de confidentialité
1/ Définition
La loi définit « l’incident de confidentialité » comme étant :
1° l’accès non autorisé par la loi à un renseignement personnel
2° l’utilisation non autorisée par la loi d’un renseignement personnel
3° la communication non autorisée par la loi d’un renseignement personnel
4° la perte d’un renseignement personnel ou tout autre atteinte à la protection d’un
tel renseignement.
10
Ce modèle de politique est préparé par l’ACDQ à destination exclusive de ses membres.
2/ Procédure
Lorsque le responsable de la protection des renseignements personnels est
informé d’un incident de confidentialité impliquant un renseignement personnel, il
doit :
- prendre les mesures raisonnables pour diminuer les risques qu’un préjudice
soit causé et éviter que de nouveaux incidents de même nature ne se
produisent
- inscrire l’incident au registre des incidents, et ce, même si l’incident ne
présente pas un risque qu’un préjudice sérieux soit causé 12
- déterminer si l’incident présente un risque qu’un préjudice sérieux soit
causé.
Lorsqu’il évalue le risque qu’un préjudice soit causé à une personne dont un
renseignement personnel est concerné par un incident de confidentialité, le
responsable de la protection des renseignements personnels doit considérer
notamment la sensibilité du renseignement concerné, les conséquences
appréhendées de son utilisation et la probabilité qu’il soit utilisé à des fins
préjudiciables.
Lorsque l’incident présente le risque qu’un préjudice sérieux soit causé, il doit, avec
diligence, aviser la Commission d’accès à l’information au moyen du formulaire
prévu par la commission à cet effet, de même que toute personne dont un
renseignement personnel est concerné par l’incident13. Il peut également aviser
toute personne ou tout organisme susceptible de diminuer ce risque, en ne lui
communiquant que les renseignements personnels nécessaires à cette fin sans le
consentement de la personne concernée.
VI / Délai de conservation et de destruction
Le dossier dentaire est conservé cinq ans suivant la dernière inscription ou
insertion à ce dossier conformément à la loi.
Les renseignements personnels relatifs aux pièces justificatives nécessaires à la
vérification des renseignements contenus dans les registres et livres de comptes
de la clinique sont conservés six ans conformément à la Loi sur l’impôt sur le
revenu.
À l’issue de ces délais, les renseignements personnels seront détruits de manière à
en préserver la confidentialité selon les méthodes suivantes :
12 Voir modèle de registre. 13 Voir modèle de letre.
11
Ce modèle de politque est préparé par l’ACDQ à destination exclusive de ses membres.
- dossier sur papier - indiquez la méthode utilisée : déchiqueteuse,
incinération, etc.
- dossier électronique - indiquez la méthode utilisée : déchiquetage
numérique, broyage, incinération, etc.
- modèles - indiquez la méthode utilisée : broyage, incinération,
anonymisation, etc.
Date 29 sept 2023
Approbation
Stéphanie Tremblay
Nom du responsable de la clinique
Stéphanie Tremblay
Nom du responsable de la protection des renseignements personnels
Stéphanie Tremblay
Signature du responsable de la protection des renseignements personnels
__________________________________________________________________________
Décharge de responsabilité
L’ACDQ n’assume aucune responsabilité pour toute action, erreur ou omission,
utilisation, mauvaise utilisation et conséquences découlant de l’utilisation totale ou
partielle du « Modèle de politique de gouvernance ».
En conséquence, l’ACDQ ne peut être tenu responsable envers tout utilisateur ou
envers toute autre personne :
• de quelque dommage-intérêt que ce soit (direct, indirect, accessoire,
spécial, exemplaire ou punitif) découlant directement ou indirectement de
l’utilisation totale ou partielle
• de toute erreur ou omission du « Modèle de politique de gouvernance ».
L’utilisateur assume seul tous les risques et périls qui découlent ou peuvent
découler de l’utilisation du « Modèle de politique de gouvernance ».