Lancement

Founding 100 Voir les conditions

Grace App, AI practice management for Canadian mental health professionals
Confidentialite en sante

Confidentialite en sante au Canada. LPRPS. LPRPDE. Loi 25. Et au-dela.

Les professionnels de la sante mentale au Canada sont tenus par des lois strictes sur la protection des renseignements personnels sur la sante, au niveau federal et provincial. Grace est concue pour supporter ces obligations des le depart, dans toutes les provinces.

De la collecte du consentement a la retention des donnees, chaque flux de travail dans Grace est informe par les exigences de la LPRPS (Ontario), de la LPRPDE (federale), de la Loi 25 (Quebec) et d'autres cadres provinciaux.

Renseignements personnels sur la sante. Proteges par conception.

Retour au Centre de confiance

Legislation provinciale

Qu'est-ce que la LPRPS?

La Loi sur la protection des renseignements personnels sur la sante (LPRPS) est la loi de l'Ontario qui regit la collecte, l'utilisation, la divulgation et la conservation des renseignements personnels sur la sante (RPS) par les depositaires de renseignements sur la sante.

Pour les professionnels de la sante mentale, psychotherapeutes, psychologues, travailleurs sociaux et conseillers, la LPRPS definit les obligations specifiques concernant les notes cliniques, les dossiers de traitement et toute information liee a la sante d'un individu.

Elements cles de la LPRPS :

  • Consentement requis pour la collecte, l'utilisation et la divulgation des RPS
  • Droit des individus d'acceder a leurs propres renseignements de sante
  • Obligation de proteger les RPS avec des mesures de securite adequates
  • Notification obligatoire en cas de vol, de perte ou d'acces non autorise
  • Politiques de retention et de destruction securisee des dossiers
  • Exigence de stockage des RPS au Canada, sauf conditions specifiques de transfert transfrontalier

Amendements recents :

Le projet de loi 11 (Loi de 2025 pour des soins plus pratiques) a introduit les identifiants de sante numeriques (ISN) et elargi les obligations relatives aux dossiers de sante electroniques. De plus, les renseignements de sante mentale sont traites comme des RPS particulierement sensibles en vertu de la LPRPS, necessitant des protections renforcees et un consentement explicite pour la divulgation.

Legislation federale

Qu'est-ce que la LPRPDE?

La Loi sur la protection des renseignements personnels et les documents electroniques (LPRPDE) est la loi federale du Canada sur la protection des donnees dans le secteur prive. Elle s'applique aux organisations qui recueillent, utilisent ou communiquent des renseignements personnels dans le cadre d'activites commerciales.

Dans les provinces sans legislation substantiellement similaire, la LPRPDE s'applique directement. Meme en Ontario, ou la LPRPS regit les renseignements de sante, la LPRPDE peut s'appliquer aux renseignements personnels non lies a la sante.

Principes cles de la LPRPDE :

  • Responsabilite : designation d'un responsable de la conformite
  • Consentement : obtenir un consentement eclaire pour la collecte
  • Limitation de la collecte : ne recueillir que ce qui est necessaire
  • Mesures de securite : proteger les renseignements de facon appropriee
  • Transparence : rendre les politiques et pratiques accessibles
  • Determination des fins : identifier les raisons de la collecte au moment ou avant la collecte
  • Limitation de l'utilisation, de la communication et de la conservation : utiliser et conserver uniquement aux fins identifiees
  • Exactitude : maintenir les renseignements personnels a jour et exacts
  • Acces individuel : permettre aux individus d'acceder a leurs renseignements personnels
  • Contestation de la conformite : permettre de contester la conformite d'une organisation

Amendement de mars 2025 :

La LPRPDE a ete amendee pour etablir un cadre de mobilite des donnees, ajoutant un droit de portabilite des donnees aux droits d'acces existants. Les organisations doivent fournir les renseignements personnels specifies dans un format structure et couramment utilise sur demande.

Comment Grace repond aux exigences

Concue pour supporter la legislation canadienne sur la confidentialite en sante

Voici comment les fonctionnalites de Grace correspondent aux principales exigences de la legislation canadienne sur la confidentialite des donnees de sante, de la LPRPS et de la LPRPDE a la Loi 25 du Quebec et au-dela.

01

Consentement et autorisation

Exigence

La LPRPS exige un consentement eclaire avant la collecte, l'utilisation ou la divulgation des renseignements personnels sur la sante, sauf exceptions specifiques.

Comment Grace le supporte

Grace inclut des flux de consentement integres dans le portail client, le systeme de telehealth et la documentation clinique. Les enregistrements de consentement sont horodates et immutables.

02

Limitation de l'acces

Exigence

Seules les personnes autorisees doivent pouvoir acceder aux RPS, et uniquement dans la mesure necessaire pour remplir leurs fonctions.

Comment Grace le supporte

Grace utilise un controle d'acces base sur les roles (RBAC) avec le principe du moindre privilege. Les cliniciens ne voient que leurs propres clients, sauf si un acces plus large est explicitement accorde par l'administrateur.

03

Mesures de securite

Exigence

Les depositaires doivent prendre des mesures raisonnables pour proteger les RPS contre le vol, la perte, l'acces non autorise, la copie, la modification ou l'elimination.

Comment Grace le supporte

Chiffrement complet au repos et en transit, journaux d'audit immutables, authentification multifacteur (MFA) disponible et hebergement dans des centres de donnees canadiens certifies.

04

Piste d'audit et responsabilite

Exigence

Les depositaires doivent etre en mesure de demontrer la conformite et de suivre qui a accede aux RPS, quand et dans quel but.

Comment Grace le supporte

Grace genere des journaux d'audit immutables pour chaque operation sur les RPS : consultation, modification, exportation. Les administrateurs peuvent consulter l'historique complet des acces.

05

Notification de violation

Exigence

La LPRPS exige la notification au CIPVP en cas de vol, de perte ou d'acces non autorise aux RPS. La LPRPDE exige la notification « des que possible » aux individus concernes et au CPVP lorsqu'une violation presente un risque reel de prejudice grave, avec conservation obligatoire des registres de violation pendant 24 mois. La Loi 25 du Quebec exige la notification a la CAI dans les 72 heures.

Comment Grace le supporte

Grace dispose de protocoles de reponse aux incidents documentes. En cas de violation, nous nous engageons a notifier les pratiques concernees rapidement pour leur permettre de remplir leurs propres obligations de notification. Les registres de violation sont conserves pendant au moins 24 mois conformement a la LPRPDE.

06

Retention et destruction

Exigence

Les RPS ne doivent etre conserves que le temps necessaire aux fins pour lesquelles ils ont ete recueillis, puis detruits de maniere securisee.

Comment Grace le supporte

Grace est concue pour supporter des politiques de retention configurables et une suppression securisee des dossiers. Les pratiques peuvent definir des periodes de retention conformes aux exigences de leur college professionnel (generalement 7 a 10 ans apres le dernier service pour les dossiers de sante mentale). Les registres de violation sont conserves pendant au moins 24 mois conformement a la LPRPDE.

Legislation du Quebec

Loi 25 du Quebec

La Loi 25 (Loi modernisant des dispositions legislatives en matiere de protection des renseignements personnels) est la reforme complete de la confidentialite du Quebec, pleinement en vigueur depuis septembre 2023. Inspiree des normes du RGPD, elle impose des exigences strictes aux organisations qui traitent des renseignements personnels au Quebec.

Les renseignements de sante mentale sont definis comme des renseignements concernant l'etat de sante mentale ou physique d'une personne et sont traites comme des renseignements de sante et de services sociaux sensibles en vertu de la loi.

Exigences cles de la Loi 25 :

  • Designation obligatoire d'un responsable de la protection des renseignements personnels
  • Evaluations des facteurs relatifs a la vie privee obligatoires pour les activites a risque eleve
  • Consentement explicite requis pour les renseignements personnels sensibles
  • Notification des violations a la CAI dans les 72 heures lorsqu'il y a risque de prejudice serieux
  • Evaluations des risques de transfert obligatoires pour toute donnee quittant le Quebec
  • Droits a la portabilite des donnees et droit a l'effacement
  • Penalites pouvant atteindre 25 M$ CAD ou 4 % du chiffre d'affaires mondial

Comment Grace supporte la Loi 25 :

Grace est concue pour supporter les exigences de la Loi 25 grace a des flux de consentement configurables, des pistes d'audit, la residence des donnees au Canada (evitant les evaluations de transfert transfrontalier), et des fonctionnalites d'exportation de donnees structurees pour les demandes de portabilite.

Paysage provincial

D'autres cadres provinciaux

Grace est concue pour servir les professionnels de la sante mentale dans toutes les provinces canadiennes. Voici d'autres cadres provinciaux cles que la plateforme est concue pour supporter.

HIA de l'Alberta

La Health Information Act (HIA) de l'Alberta regit la collecte, l'utilisation et la divulgation des renseignements sur la sante par les depositaires de renseignements sur la sante dans la province, avec des exigences en matiere de consentement, de securite et de notification des violations.

PIPA de la Colombie-Britannique

La Personal Information Protection Act (PIPA) de la Colombie-Britannique est consideree comme substantiellement similaire a la LPRPDE et regit la protection des renseignements personnels dans le secteur prive de la province.

Autres provinces

Le Nouveau-Brunswick, Terre-Neuve-et-Labrador et la Nouvelle-Ecosse ont des lois sur les renseignements personnels sur la sante substantiellement similaires a la LPRPS. Les autres provinces sont assujetties a la LPRPDE federale et a leurs lois provinciales respectives.

Reforme federale a venir

Un nouveau cadre federal de confidentialite du secteur prive est attendu, avec des penalites renforcees pouvant atteindre 25 M$ CAD ou 5 % du chiffre d'affaires mondial brut. Grace surveille ces developpements et est concue pour s'adapter a mesure que le paysage reglementaire evolue.

IA et confidentialite

L'IA sous le controle du clinicien

Les fonctionnalites d'IA de Grace sont concues avec les principes de confidentialite de la LPRPS et de la LPRPDE au coeur. Tous les resultats de l'IA sont marques comme brouillons ou generes par l'IA et necessitent l'approbation du clinicien avant d'integrer le dossier clinique.

Pas de decisions autonomes

L'IA ne prend jamais de decisions cliniques, n'envoie pas de factures et n'enregistre pas sans consentement (GAL-4).

Resultats etiquetes

Chaque resultat d'IA est clairement identifie comme brouillon ou genere par l'IA pour la transparence.

Consentement explicite

Les fonctionnalites comme la transcription audio exigent un consentement explicite avant activation.

Concue pour les exigences canadiennes.

Decouvrez comment Grace aide les professionnels de la sante mentale a gerer leur pratique tout en respectant les lois sur la confidentialite des donnees de sante.

Reserver une demo Rejoindre les Fondateurs 100
Réserver une démo Rejoindre les 100 fondateurs

Rejoignez les 100 Fondateurs

3 mois entièrement gratuits. Sans engagement. Sans carte de crédit.

3 mois gratuitsSans engagementSans carte de créditPuis 99 $/mois, tarif garanti

Limité aux 100 premiers partenaires fondateurs.