Loi 25 et IA : ce que votre clinique doit savoir sur les données des patients
Pourquoi ça compte
Dès qu'un outil touche au nom, au numéro de téléphone ou au motif de consultation d'un patient, il manipule des renseignements personnels. Et dans une clinique, ces renseignements sont rarement anodins : « je voudrais un rendez-vous pour une douleur au dos », c'est déjà une information de nature médicale.
Au Québec, tout ça est encadré par la Loi 25, la réforme de la protection des renseignements personnels entrée en vigueur par étapes entre 2022 et 2024. Elle s'applique à toutes les entreprises privées — y compris votre clinique, peu importe sa taille ou sa discipline.
Choisir une réceptionniste IA, c'est donc aussi choisir un sous-traitant. La bonne nouvelle : valider sa conformité n'est pas compliqué si vous savez quoi demander. Cet article vous donne la grille.
La Loi 25 en deux mots
Trois idées suffisent pour comprendre ce qui vous concerne :
- Vous êtes responsable. Par défaut, la personne ayant la plus haute autorité dans l'entreprise — souvent le ou la propriétaire de la clinique — est responsable de la protection des renseignements personnels. Cette responsabilité peut être déléguée par écrit, mais elle ne disparaît jamais.
- Il y a des obligations concrètes. Politique de confidentialité publiée, registre des incidents de confidentialité, déclaration des incidents sérieux à la Commission d'accès à l'information (CAI), réponse aux demandes d'accès et de rectification des patients.
- Les sanctions sont réelles. La loi prévoit des sanctions administratives et pénales qui peuvent être lourdes. Ce n'est plus un texte symbolique : la CAI l'applique.
Ce que ça change quand une IA répond à votre téléphone
Prenons un scénario concret. Madame Tremblay appelle votre clinique dentaire un mardi soir, après la fermeture. L'agent IA répond, note son nom et son numéro, comprend qu'elle veut un nettoyage, propose jeudi 14 h, confirme le rendez-vous et envoie un texto de rappel.
En trois minutes, l'outil a traité : une identité, des coordonnées, un motif de consultation, un enregistrement audio et une transcription de la conversation.
Les questions qui suivent coulent de source :
- Où va cet enregistrement ?
- Qui peut lire la transcription, et pendant combien de temps est-elle conservée ?
- Quels sous-traitants interviennent dans la chaîne (reconnaissance vocale, synthèse de la voix, téléphonie) ?
- Le fournisseur réutilise-t-il ces conversations pour entraîner ses modèles ?
La Loi 25 ne vous interdit pas d'utiliser une IA. Elle vous demande de savoir répondre à ces questions avant de brancher l'outil sur votre ligne.
Les principes qui vous concernent directement
- Responsable vs sous-traitant. La clinique reste responsable des données de ses patients. Le fournisseur de l'IA agit comme sous-traitant et doit s'engager par contrat — c'est l'entente de sous-traitance — à protéger ces données, à ne pas les utiliser à d'autres fins et à vous aviser en cas d'incident.
- Minimisation. On ne collecte que ce qui est nécessaire pour rendre le service : prendre un rendez-vous demande un nom, un numéro et un motif. Pas un historique médical complet.
- Transparence et consentement. Vos patients doivent pouvoir savoir comment leurs renseignements sont utilisés. Votre politique de confidentialité doit refléter les outils que vous utilisez réellement.
- Sécurité et localisation. La loi exige des mesures de sécurité raisonnables : chiffrement, contrôle d'accès strict. Et avant de communiquer des renseignements personnels à l'extérieur du Québec, elle vous demande d'évaluer si l'information recevra une protection adéquate. Concrètement : sachez où se trouve la base de données de votre fournisseur, et quels sous-traitants traitent quoi, où.
- Droits des personnes. Accès, rectification et suppression de leurs renseignements sur demande.
- Incidents de confidentialité. Tenir un registre, et déclarer à la CAI tout incident présentant un risque de préjudice sérieux.
Les 7 questions à poser à tout fournisseur d'IA
Avant de signer avec n'importe quel service — le nôtre inclus —, posez ces questions par écrit :
- Où se trouve votre base de données ? Cherchez une réponse précise, pas « dans le cloud ».
- Qui sont vos sous-traitants et où traitent-ils les données ? Le traitement vocal (transcription, synthèse) passe souvent par des services tiers. Un fournisseur sérieux les nomme.
- Signez-vous une entente de sous-traitance conforme à la Loi 25 ?
- Les données sont-elles chiffrées, en transit et au repos ?
- Combien de temps conservez-vous enregistrements et transcriptions, et la purge est-elle automatique ?
- Pouvez-vous supprimer les renseignements d'un patient sur demande, dans un délai raisonnable ?
- Utilisez-vous nos conversations pour entraîner vos modèles d'IA ?
Si un fournisseur hésite, reste vague ou répond « on va vérifier » à plus d'une de ces questions, c'est un signal d'alarme.
Bonnes réponses vs signaux d'alarme
| Question | Réponse rassurante | Signal d'alarme |
|---|---|---|
| Base de données | Emplacement précis nommé (ex. « au Canada, région de Montréal ») | « Dans le cloud », sans précision |
| Sous-traitants | Liste nommée et tenue à jour dans la politique de confidentialité | « C'est confidentiel » |
| Entente de sous-traitance | Document prêt à signer, fourni sur demande | « Nos conditions générales suffisent » |
| Conservation | Durée précise, purge automatique | « Indéfiniment » ou pas de réponse |
| Suppression sur demande | Procédure claire avec délai | « Écrivez au support », sans engagement |
| Entraînement des modèles | Non, ou consentement explicite requis | Silence ou réponse évasive |
Objections fréquentes
« On est une petite clinique, la Loi 25 ne s'applique pas à nous. » Faux. La loi s'applique à toute entreprise privée qui recueille des renseignements personnels, sans seuil de taille. Les moyens exigés sont proportionnels à vos activités, mais les obligations de base — responsable désigné, politique, registre des incidents — valent pour un cabinet solo comme pour un réseau.
« C'est le fournisseur qui est responsable, pas nous. » Non. Le fournisseur est sous-traitant ; vous restez responsable devant vos patients et devant la CAI. C'est exactement pour ça que l'entente de sous-traitance existe : elle encadre par écrit ce que le fournisseur fait en votre nom.
« Notre boîte vocale actuelle ne pose aucun problème, on ne changera rien. » Votre boîte vocale enregistre elle aussi des renseignements personnels, souvent sans durée de conservation définie ni contrôle d'accès. La vraie question n'est pas « IA ou pas IA », c'est : savez-vous où vont les données ? Un fournisseur d'IA sérieux documente tout ça noir sur blanc — souvent mieux qu'un répondeur ou qu'un centre d'appels générique. Pour comparer les options, voyez réceptionniste IA ou secrétaire.
« La conformité, ça va coûter cher. » Poser les sept questions ci-dessus coûte un courriel. Ce qui coûte cher, c'est un incident de confidentialité mal géré, ou un outil choisi à l'aveugle qu'il faut débrancher six mois plus tard.
Comment Allô Clinique aborde la question
Allô Clinique a été conçu au Québec, pour des cliniques québécoises. Voici, sans détour, comment nous répondons à notre propre grille :
- Base de données hébergée à Montréal (AWS ca-central-1).
- Chiffrement des données, en transit et au repos.
- Sous-traitants du traitement vocal documentés. La reconnaissance et la synthèse de la voix font appel à des services spécialisés ; ils sont nommés dans notre politique de confidentialité. Nous préférons le dire clairement plutôt que de prétendre que rien ne sort jamais du pays.
- Purge des transcriptions après 12 mois.
- Entente de sous-traitance disponible pour votre dossier de conformité.
- Minimisation. L'agent recueille ce qu'il faut pour prendre le rendez-vous — nom, numéro, motif, disponibilités — rien de plus.
Faites-nous passer le test des sept questions, comme à tout autre fournisseur.
Mini-FAQ
La Loi 25 s'applique-t-elle à ma clinique même si on est trois employés ?
Oui. Elle s'applique à toute entreprise privée, peu importe la taille. Seuls les moyens sont proportionnels ; les obligations de base demeurent.
Une réceptionniste IA peut-elle être utilisée en conformité avec la Loi 25 ?
Oui, à condition de choisir un fournisseur transparent : localisation précise de la base de données, sous-traitants documentés, entente de sous-traitance signée, durées de conservation claires. C'est un exercice de vérification, pas un obstacle.
Dois-je dire à mes patients qu'une IA répond au téléphone ?
La transparence est la voie sûre. Mettez votre politique de confidentialité à jour pour refléter l'outil, et privilégiez un agent qui se présente comme un assistant virtuel plutôt que de se faire passer pour un humain.
Que deviennent les transcriptions d'appels chez Allô Clinique ?
Elles servent à vous montrer le détail de chaque appel dans votre tableau de bord, puis elles sont purgées après 12 mois. Le détail complet est dans notre politique de confidentialité.
Qui est responsable si un incident survient chez le fournisseur ?
La clinique demeure responsable envers ses patients ; le fournisseur doit l'aviser et collaborer. D'où l'importance d'une entente de sous-traitance qui prévoit noir sur blanc la notification des incidents.
Vérifiez par vous-même
La meilleure façon de juger un outil, c'est de l'essayer et de lire sa documentation — pas ses slogans. Appelez notre agent de démonstration au 438 815 6477, prenez un rendez-vous fictif, puis comparez notre politique de confidentialité avec celle de n'importe quel autre fournisseur.
Et si votre clinique cherche à répondre aux appels 24/7 sans embaucher tout en gardant le contrôle de ses données, notre programme design partner offre 3 mois gratuits à 3 cliniques pilotes : devenir clinique pilote.