Accès à l’information et protection des renseignements personnels

Cette loi vise à moderniser l’encadrement applicable à la protection des renseignements personnels en modifiant plusieurs lois comme la Loi sur la protection des renseignements personnels dans le secteur privé (la « LPRPSP ») et la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (la « LAI »). 

Elle oblige les entreprises à mettre en place diverses mesures visant à assurer la protection des renseignements personnels. 

• Désigner un ou une responsable de la protection des renseignements personnels (RPRP) qui veillera au respect de la loi. Cette fonction devra être attribuée à la personne qui détient la plus haute autorité dans l’entreprise à moins que celle-ci ne délègue son rôle à une autre personne au sein de l’entreprise. 
• Les coordonnées du ou de la RPRP devront être publiées sur le site Web ou sur tout autre moyen approprié si le milieu ne détient pas de site Web, par exemple en affichant ces informations dans le local de la clinique. 
• Établir une procédure à suivre en cas d’incidents de confidentialité et mettre en place un plan de gestion des incidents. Ce plan devra inclure une évaluation du risque de préjudice et la transmission d’un avis d’incident à la Commission d’accès à l’information et à la personne concernée par l‘incident si le risque de préjudice s’avère sérieux. 
• Constituer un registre des incidents de confidentialité où seront inscrits tous les incidents, même ceux ne présentant pas un risque de préjudice sérieux ; 
• Se conformer aux nouvelles règles en matière de communication de renseignements personnels qui ne nécessitent pas le consentement de la personne concernée à des fins d’étude, de recherche ou de productions de statistiques, dont la réalisation préalable d’une évaluation des facteurs relatifs à la vie privée. 
• Se conformer aux nouvelles règles en matière de communication de renseignements personnels qui ne nécessitent pas le consentement de la personne concernée dans le cadre d’une transaction commerciale qui nécessite la communication de RP, dont la conclusion d’une entente prévoyant les mécanismes de protection des RP exigés par la loi. Cette obligation pourrait s’appliquer par exemple si la clinique d’hygiène dentaire est vendue, ce qui entrainerait le transfert des renseignements personnels des clients. 
• Se conformer aux obligations relatives à l’utilisation de données biométriques, si applicable. 
• Établir des politiques et des pratiques encadrant la gouvernance des renseignements personnels et publier de l’information détaillée sur celles-ci en termes simples et clairs sur le site Internet de l’entreprise ou, si elle n’a pas de site, par tout autre moyen approprié. 
• Réaliser une évaluation des facteurs relatifs à la vie privée lorsque la loi l’exige, par exemple avant de communiquer des renseignements personnels à l’extérieur du Québec. 
• Respecter les nouvelles règles entourant le consentement à la collecte, à la communication ou à l’utilisation des renseignements personnels. 
• Détruire les renseignements personnels lorsque la finalité de leur collecte est accomplie, ou les anonymiser pour les utiliser à des fins sérieuses et légitimes, sous réserve des conditions et d’un délai de conservation prévus par une loi. 
• Respecter les nouvelles obligations d’information et de transparence envers les citoyens. 
• Respecter les nouvelles règles de communication de renseignements personnels sans le consentement de la personne concernée (exercice d’un mandat ou exécution d’un contrat de service ou d’entreprise). 
• Respecter les nouvelles règles de communication des renseignements personnels à l’extérieur du Québec. 
• Respecter les nouvelles règles d’utilisation des renseignements personnels. 
• Prévoir, par défaut, les paramètres assurant le plus haut niveau de confidentialité du produit ou du service technologique offert au public. 
• Respecter les nouvelles règles entourant la collecte de renseignements personnels concernant un mineur. 
• Respecter le droit à la cessation de la diffusion, à la réindexation ou à la désindexation (ou droit à l’oubli). 
• Respecter les nouvelles règles de communication des renseignements personnels facilitant le processus de deuil. 
• À compter du 22 septembre 2024 : répondre aux demandes de portabilité des renseignements personnels, soit communiquer dans un format technologique structuré et couramment utilisé un renseignement personnel informatisé recueilli auprès d’une personne. Cette communication pourra aussi être faite à une autre personne organisme autorisé à recueillir le renseignement, à la demande de la personne visée par le renseignement.  

La Loi 25 s’applique à toute entreprise opérant au Québec, quels que soient leur taille ou leur secteur d’activité à partir du moment où elle : recueille, détient, utilise, ou communique des renseignements personnels (les « RP ») à des tiers.  Elle vise à protéger tous les RP, que la nature de leur support ou de leur forme soit : écrite, graphique, sonore, visuelle ou informatisée. La Loi 25 s’applique aussi aux ordres professionnels, aux congrégations religieuses et aux partis politiques, députés indépendants ou candidats indépendants.  

C’est un ensemble composé d’informations ou soutenant celles-ci, y compris toute information obtenue, détenue ou communiquée par l’Ordre ou lui appartenant mais détenu par un tiers, ainsi que les supports tangibles ou intangibles (p. ex. : papier, matériel, logiciel, réseau, etc.) permettant son traitement, sa communication ou sa conservation aux fins de l’utilisation pour laquelle il a été obtenu. L’actif informationnel comprend les renseignements personnels. 

L’Ordre et ses employé.e.s reconnaissent l’importance et la valeur de tout actif informationnel en sa possession et comprennent l’importance de le protéger pour en assurer sa sécurité, sa disponibilité, son intégrité et sa confidentialité.  

Pour assurer une saine gestion et une protection adéquate de l’actif informationnel, il importe de le prendre en considération dans tous les aspects organisationnels de l’Ordre par une approche globale et intégrée principalement à :  

• La gestion des risques ;  
• La gestion des accès ;  
• La gestion des renseignements personnels et  
• La gestion des incidents de sécurité. 

Il s’agit d’un renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier. Il est confidentiel, à moins que la loi ne lui octroie un caractère public (certains renseignements ont un caractère public en vertu des articles 108.6 à 108.8 du Code des professions, comme les renseignements contenus à l’article 46.1 du Code des professions lorsqu’ils concernent une personne identifiée). 

Ce sont des informations personnelles qui sont considérées comme particulièrement confidentielles ou délicates en raison de leur nature. Ces types de données peuvent être plus sensibles que les renseignements personnels généraux en raison des risques accrus qu’ils présentent en cas de collecte, de traitement ou de divulgation non autorisés. Un renseignement est considéré comme sensible s’il est de nature : 

• Médicale ; 
• Biométrique ; 
• Autrement intime. 

Définition : 

La personne responsable de la protection des RP (la «RPRP ») est la plus haute autorité de l’entreprise, soit le ou la présidente de l’Ordre. La personne qui occupe ce poste peut toutefois déléguer en tout ou en partie cette fonction. Au sein de l’Ordre, cette fonction est déléguée à la personne occupant le poste de directeur ou directrice des affaires juridiques et secrétaire adjoint.e. Le ou la syndique remplit la fonction de RPRP à l’égard des documents et renseignements qu’il ou elle obtient ou détient de même que ceux qu’il ou elle communique au sein de l’Ordre. 

Le ou la présidente de l’Ordre désigne à titre de responsable substitut le ou la directrice générale et le ou la syndique désigne à titre de responsable substitut le ou la syndique adjointe. 

Rôle et mission : 

La personne RPRP a pour mandat d’exercer les fonctions que la LAI et la LPRPSP lui confèrent. Elle veille ainsi à assurer le respect et la mise en œuvre des politiques et pratiques encadrant la gouvernance de l’Ordre à l’égard des RP qu’elle détient, et ce, afin de répondre aux exigences découlant du cadre juridique applicable en la matière. Elle est, avec le Comité d’accès à l’information et à la protection des renseignements personnels (le « CAIPRP »), principalement responsable de :  

• Voir à la conformité des consentements recueillis par l’Ordre et assister la personne concernée pour assurer sa compréhension de la portée du consentement qui est demandé (art. 53.1 LAI/14 LPRPSP) ;  
• Enregistrer la communication de RP à toute personne ou tout organisme susceptible de diminuer le risque de préjudice sérieux causé par un incident de confidentialité (art. 63.6 LAI/3.5 LPRPSP) ;  
• Être consultée et participer à l’évaluation du risque qu’un préjudice soit causé à une personne dont un RP est concerné par un incident de confidentialité (art. 63.9 LAI/3.7 LPRPSP) ;  
• Recevoir les demandes d’accès et de rectification des RP et y répondre, prêter assistance au demandeur afin d’identifier les renseignements recherchés et l’aider à comprendre la décision rendue à cet égard (art. 94 et Ss. LAI/30 et 34 LPRPSP) ;  
• Recevoir et traiter toute plainte relative à la protection des RP ;  
• Participer, avec le CAIPRP, à l’établissement et à la mise en œuvre des politiques et des pratiques encadrant la gouvernance de l’Ordre à l’égard des RP et propres à assurer la protection de ces derniers (art. 63.3 LAI/3.2 LPRPSP) ;  
• Participer, avec le CAIPRP, aux évaluations des facteurs relatifs à la vie privée requise par la Loi (art. 63.5 LAI/3.3 et 3.4 LPRPSP) ;  
• Répondre aux demandes de cessation de diffusion d’un RP, de désindexation et de ré indexation d’hyperliens (art. 28.1 LPRPSP) ;  
• Siéger sur le CAIPRP ;  
• Être membre de l’équipe de gestion des incidents de confidentialité ;  
• Recevoir l’avis sur une violation ou une tentative de violation par une personne de l’une ou l’autre des obligations relatives à la confidentialité d’un renseignement communiqué, et effectuer toute vérification relative à cette confidentialité dans le cadre de l’exécution d’un mandat ou contrat de services ou d’entreprise ;  
• Tenir les registres de communications de RP, incluant en cas d’incident de confidentialité ;  
• Mettre en place, avec le CAIPRP, des formations, des mécanismes de sensibilisation à la protection des RP au sein de l’Ordre ;  
• Répondre aux demandes de la Commission d’accès à l’information.  

• Incident de confidentialité (IC) : Accès, utilisation ou communication non autorisés par la loi d’un RP ou la perte d’un RP ou toute autre atteinte à la protection d’un tel renseignement.  
• Incident de sécurité (IS) : Incident affectant la disponibilité, l’intégrité ou la confidentialité d’un actif informationnel de l’Ordre. Tout incident de confidentialité est considéré comme un incident de sécurité, mais pas nécessairement l’inverse. Un incident de sécurité peut impliquer un actif informationnel de l’Ordre (p. ex. : un énoncé de position confidentiel), sans toutefois que cet actif ne contienne des RP. Dans un tel cas, il ne s’agit pas d’un incident de confidentialité au sens de la LAI ou de la LPRPSP. 

Tout intervenant a l’obligation de signaler immédiatement au RPRP tout incident de sécurité avéré ou présumé. Il appartiendra au RPRP et l’équipe de gestion d’un incident de confidentialité de déterminer si l’incident de sécurité constitue un incident de confidentialité et si des mesures sont à prendre.  

Un incident de sécurité signalé est traité selon la procédure de gestion d’un incident de sécurité et de confidentialité de l’Ordre. Tout incident de confidentialité impliquant des RP doit être colligé dans un registre tenu par l’Ordre.   

Dans le cas où un incident de confidentialité doit être dénoncé, le RPRP avise la Commission d’accès à l’information et les personnes dont les RP ont été compromis selon les modalités prévues au Règlement sur les incidents de confidentialité. 

Pourquoi et comment l’Ordre recueille les RP ? 

Nous recueillons les RP de nos membres pour atteindre les objectifs décrits ci-dessous :  

• Surveiller et contrôler l’exercice de la profession :  
• Assurer la conformité des membres de l’Ordre avec les normes de formation continue, ainsi que leur inscription annuelle;  
• Gérer l’admission des candidats à la profession, y compris le paiement des frais afférents;  
• Mener des enquêtes disciplinaires, de la conciliation, de l’arbitrage de comptes d’honoraires et des audiences;  
• Inspecter les membres afin de vérifier leurs compétences professionnelles;  
• Répondre à une demande, fournir un bien ou un service :  
• Évaluer et administrer les demandes de délivrance de permis d’exercice et d’inscription (ou de réinscription) au Tableau de l’Ordre, incluant l’évaluation des diplômes et de la formation à des fins d’équivalence;  
• Recevoir, gérer et traiter les demandes d’information, les demandes d’accès ou les plaintes; 
• Produire des statistiques, des études et des recherches;  
• Transmettre des communications, notamment à des fins réglementaires, en conformité avec la loi applicable.  

L’Ordre recueille les RP de ses membres par le biais de :  

• Sites Internet, incluant des formulaires interactifs,  
• Courriels,  
• Témoins de connexion,  
• Plateformes de nos fournisseurs externes (Campus HD, Portail des membres, Brio Éducation),  
• Formulaires (transmission par courriel ou courrier postal).  

Les RP qui n’ont pas de caractère public sont uniquement accessibles aux membres du personnel, aux membres des comités, ainsi qu’au Bureau de la présidence et au secrétariat du Conseil de discipline pour lesquels ces renseignements sont nécessaires à leurs fonctions. À cet effet, nous disposons d’une matrice d’accès. Ainsi, pour plus de détails sur les services susceptibles d’accéder à vos RP selon leur nécessité, veuillez consulter les pages « Équipe » et « Comités de l’Ordre » du site Web de l’Ordre. 

Les RP sont conservés selon un calendrier de conservation. Ainsi, un RP est conservé pour la période nécessaire à la réalisation de la finalité pour laquelle il est recueilli. Pour certains RP, la loi prescrit la durée de conservation. 

L’Ordre détruit les RP lorsque la finalité pour laquelle il a été recueilli est réalisée. La destruction s’effectue selon une méthode adaptée selon le support et le niveau de confidentialité des documents. 

L’Ordre prend les mesures raisonnables pour s’assurer de l’exactitude des RP qu’il détient, c’est-à-dire qu’il s’assure qu’ils sont conformes et maintenus à jour selon les finalités pour lesquelles ils ont été recueillis. 

En visitant notre site Internet ou encore en nous fournissant des RP (par courriel, en remplissant un de nos formulaires en ligne, par téléphone, par nos réseaux sociaux), l’Ordre considère que vous consentez à la cueillette de ceux-ci, mais aussi à leur utilisation et à leur communication aux fins mentionnées ci-dessus. Dans certains cas, l’Ordre peut toutefois recueillir des RP sur une personne sans son consentement conformément aux lois ou aux règlements le permettant.  

Votre consentement vous sera toutefois expressément demandé lorsque les RP demandés par l’Ordre sont de nature facultative ou que les RP demandés sont sensibles. 

Vous pouvez en tout temps retirer votre consentement à l’utilisation et à la communication des RP déjà collectés par l’Ordre. Vous pouvez exercer votre droit soit en accédant à votre dossier membre sur le Portail, soit en communiquant avec nous à l’adresse suivante : secretaire@ohdq.com. Le retrait de votre consentement pourrait nous empêcher de vous fournir ou de continuer à vous fournir certains de nos services. Toutefois, quant à certains RP obligatoires à fournir, le refus d’un membre ou candidat à la profession de répondre peut entrainer des conséquences quant à son statut ou sur le plan disciplinaire (p. ex. : suspension de la demande de réinscription, radiation, plainte disciplinaire pour défaut de collaborer, etc.).  

Concernant la gestion de vos témoins, il vous est possible de reconfigurer en tout temps vos préférences en cliquant sur « GÉRER MES COOKIES » au bas de la page d’accueil du site de l’Ordre (www.ohdq.com) et en cliquant sur l’icône « choix de consentement » au bas à gauche de la page d’accueil du site masantemonsourire. 

Un fichier témoin est un petit fichier texte sauvegardé sur le disque dur de l’ordinateur de l’utilisateur. Il permet notamment d’exploiter, maintenir, améliorer et offrir toutes les fonctionnalités du site Web et, sous réserve de votre consentement, il permet de comprendre et analyser les tendances d’utilisation et les préférences des utilisateurs quant à notre site Web.  

À cet effet, certains renseignements d’identité et techniques ou numériques vous concernant peuvent être recueillis, comme votre navigateur Web, votre adresse IP, les pages visitées et requêtes effectuées sur nos sites, ainsi que l’heure et le jour de votre connexion.  

Six types de fichiers témoins peuvent se retrouver sur nos sites. Lors de votre visite sur l’un de nos sites, il vous est possible de gérer les fichiers témoins dont vous consentez l’utilisation et ceux dont vous refusez l’utilisation. Une description détaillée des fichiers et des renseignements recueillis selon le type de fichier est présentée lors de la collecte de vos consentements.  

• Fichiers témoins nécessaires : 

Ils sont cruciaux pour les fonctions de base du site Web et celui-ci ne fonctionnera pas comme prévu sans eux. Ces cookies ne stockent aucune donnée personnellement identifiable. Ils vous sont requis pour naviguer sur notre site Web.  

• Fichiers témoins fonctionnels  

Les cookies fonctionnels permettent d’exécuter certaines fonctionnalités telles que le partage du contenu du site Web sur des plateformes de médias sociaux, la collecte de commentaires et d’autres fonctionnalités tierces.  

• Fichiers témoins analytiques  

Les cookies analytiques sont utilisés pour comprendre comment les visiteurs interagissent avec le site Web. Ces cookies aident à fournir des informations sur le nombre de visiteurs, le taux de rebond, la source de trafic, etc.  

• Fichiers témoins de performance ou de « résultats »  

Les cookies de performance sont utilisés pour comprendre et analyser les indices de performance clés du site Web, ce qui permet de fournir une meilleure expérience utilisateur aux visiteurs.  

• Fichiers témoins de publicité  

Les cookies de publicité sont utilisés pour fournir aux visiteurs des publicités personnalisées basées sur les pages visitées précédemment et analyser l’efficacité de la campagne publicitaire.  

• Fichiers témoins autres ou non classés  

Les autres cookies non classés sont ceux qui sont en cours d’analyse et qui n’ont pas encore été classés dans une catégorie. 

En aucun cas, l’Ordre n’utilise ni ne communique les RP recueillis sans le consentement de la personne concernée, à moins que la loi l’y autorise. En effet, la loi prévoit certaines situations pour lesquelles l’Ordre peut communiquer des RP à un tiers sans le consentement de la personne concernée.  

À cet effet et selon votre statut auprès de nous (membres de l’Ordre), nous partageons vos RP avec les tiers suivants et aux fins mentionnées :  

• Auprès de Brio Éducation, une branche de l’Université Laval, aux fins de pouvoir accéder aux offres de formation et de compléter l’épreuve de validation des compétences; 
• Auprès de l’entreprise SVI Solutions, fournisseur de la plateforme Campus HD, aux fins de pouvoir accéder aux offres de formation et de vous conformer aux exigences du Règlement sur la formation continue obligatoire des hygiénistes dentaires;  
• Auprès des entreprises responsables des services technologiques de l’Ordre, aux fins d’assurer la maintenance et le développement des environnements technologiques, informatiques et infonuagiques de l’Ordre, dont la base de données soutenant notamment le Tableau des membres.  
• Auprès de la Régie de l’assurance maladie du Québec aux fins de permettre les accès aux hygiénistes dentaires au Dossier Santé Québec et aux fins de vérifier l’admissibilité d’un ou d’une hygiéniste dentaire au programme de services assurés par la RAMQ.  

En pareille situation, l’Ordre s’assure contractuellement que les tiers respectent la confidentialité de vos RP, ne les utilisent pas à d’autres fins que celles pour lesquelles ils leur ont été communiqués et les gèrent conformément au cadre juridique applicable en la matière.  

De plus, sous réserve d’obtenir votre consentement, certains renseignements d’identité des membres peuvent être communiqués à notre partenaire La Personnelle, à des fins commerciales ou publicitaires, ainsi qu’à d’autres membres de l’Ordre aux fins de faire partie du bottin des membres.  

Finalement, vos RP ne sont pas communiqués ou autrement conservés à l’extérieur du Québec, sous réserve de l’emplacement de nos serveurs d’hébergement et de l’administration du vote électronique en cas d’élection par un moyen technologique. Dans ces cas, des mesures de sécurité et de confidentialité adéquates sont prises. 

Nous protégeons vos RP par des mesures de sécurité (physiques, technologiques et administratives) appropriées à la nature de ceux-ci, et ce, afin d’éviter qu’une personne puisse y avoir accès, les utiliser, les communiquer à des tiers alors qu’elle n’y était pas autorisée ou encore afin de prévenir les pertes ou toute autre atteinte à la protection de ceux-ci.  

Nous avons pris des mesures pour faire en sorte que seuls les membres de notre personnel qui doivent avoir accès à vos RP dans le cadre de leurs fonctions soient autorisés à y accéder. Nous nous assurons également que les tiers à qui nous communiquons vos RP prennent les mesures pour assurer le caractère confidentiel des renseignements que nous leur confions et qu’ils ne les utilisent que pour les fins prévues à l’entente conclue avec eux. D’autres mesures sont détaillées à notre Politique de gestion et protection de l’actif informationnel. 

Il est important que les RP que nous détenons à votre sujet soient à jour. Veuillez nous informer de tout changement quant à ceux-ci.  

De plus, vous pouvez soumettre une demande :  

• d’accès à vos RP ;  
• de rectification de vos RP ;  
• de retrait de votre consentement à l’utilisation ou à la communication de vos RP ;  
• de cessation de la diffusion de vos RP, de désindexation, à moins qu’il s’agisse d’un renseignement à caractère public ou pour lequel l’Ordre est tenu de le diffuser ;  

en vous adressant au responsable de l’accès et de la protection des renseignements personnels, en transmettant un courriel à l’adresse suivante : secretaire@ohdq.com.