Guide d'utilisation des outils de prise de notes automatisée par IA : 5 questions à se poser

Q: Serez-vous notifié rapidement en cas de fuite ?

Si le fournisseur subit une violation de confidentialité, c'est vous qui devez évaluer le risque de préjudice sérieux et potentiellement notifier la Commission d'accès à l'information (CAI) et les patients concernés. Votre contrat doit obliger le fournisseur à : vous notifier immédiatement de toute violation, fournir tous les détails nécessaires pour évaluer l'impact (nature, données affectées, nombre de patients, mesures prises), et coopérer avec vous dans la gestion de l'incident.

Dernière mise à jour : 28 janvier 2025

La promesse et le danger

Les outils de prise de notes automatisée par l’IA promettent de réduire dramatiquement le temps de rédaction de notes et de libérer du temps et de l’énergie pour les soins directs aux patients. L’attrait est indéniable.

Toutefois, ces outils soulèvent une question délicate : comment respecter vos obligations de confidentialité lorsqu’une entreprise tierce enregistre, traite et stocke les conversations les plus sensibles de vos patients ? La réponse n’est pas simple, car elle dépend de détails techniques importants, et un mauvais choix de fournisseur pourrait se retourner contre vous.

Les enjeux varient selon votre profession. Pour un psychologue, une fuite de notes psychothérapeutiques peut briser la relation thérapeutique et entraîner des sanctions professionnelles. Pour un dentiste, la divulgation de dossiers médicaux reste grave, mais le niveau de sensibilité diffère. Pourtant, la loi de base reste la même pour tous.

À qui s’adresse ce guide ?

Ce guide s’applique à tous les professionnels de la santé au Québec : psychologues, médecins, physiothérapeutes, dentistes, orthophonistes, ergothérapeutes, chiropraticiens, nutritionnistes, et autres. Vous êtes presque tous assujettis à la Loi sur la protection des renseignements personnels dans le secteur privé, qui impose des obligations strictes sur la collecte, l’utilisation et la communication des renseignements personnels de vos patients.

Même si votre ordre professionnel impose des règles de confidentialité supplémentaires, les cinq questions qui suivent constituent le cadre juridique minimal à vérifier avant d’adopter tout outil de prise de note automatisée. Ces décisions relèvent généralement de votre responsable de la protection des renseignements personnels (RPRP).

Dans ce guide :

Avez-vous réalisé une ÉFVP ?
Comment obtenir le consentement approprié ?
Le fournisseur offre-t-il des mesures de sécurité adéquates ?
Le fournisseur peut-il supprimer les données adéquatement ?
Serez-vous notifié rapidement en cas de fuite ?

Les 5 questions essentielles

1. Avez-vous réalisé une ÉFVP ?

Votre obligation : L’acquisition d’un nouvel outil technologique traitant des renseignements personnels de santé exige que vous réalisiez une évaluation des facteurs relatifs à la vie privée (ÉFVP). Consultez notre guide pratique pour réaliser une ÉFVP en 7 étapes. Cette obligation vous incombe personnellement dès que vous envisagez d’adopter un tel outil, même si les données restent au Québec. L’ÉFVP vous oblige à analyser les risques pour la vie privée de vos patients et à documenter les mesures de protection que vous mettrez en place.

Si, en plus, les renseignements quittent le Québec, votre ÉFVP doit obligatoirement mentionner ce transfert transfrontalier et documenter avec une rigueur accrue les risques spécifiques : les juridictions étrangères où transitent les données, les lois d’accès aux données applicables (comme le CLOUD Act américain), et les mesures de protection disponibles.

Exemple concret : Une psychologue utilise un outil de transcription dont les serveurs sont situés en Virginie (États-Unis). Cette psychologue doit réaliser une ÉFVP avant d’utiliser l’outil. Dans son ÉFVP, elle doit obligatoirement documenter que les notes transitent par un centre de données américain et s’assurer que les mesures de protection contractuelles offrent une sécurité équivalente à celle du Québec. Lors de la collecte des renseignements, elle doit informer le patient de ce transfert hors Québec afin d’assurer la transparence requise par la loi.

Ce que vous devez faire :

Si l’information n’est pas disponible déjà, demandez au fournisseur par écrit : « Où sont stockées physiquement les données ? Dans quel pays est situé le siège social? Les données transitent-elles par des serveurs hors Québec, même temporairement ? »
Réalisez votre ÉFVP avec ces réponses en main
Si les données quittent le Québec, documentez dans votre ÉFVP les risques engendrés.
Conservez votre ÉFVP dans vos dossiers de conformité

2. Comment obtenir le consentement approprié ?

Votre obligation : Vous devez obtenir un consentement éclairé de chaque patient avant d’enregistrer une séance clinique et de transmettre ces renseignements au fournisseur technologique. « Éclairé » signifie que le patient comprend ce qui sera enregistré, qui y aura accès, où ces données iront, et à quelle fin unique elles seront utilisées. L’outil doit servir exclusivement à la rédaction de vos notes cliniques, sans aucun usage secondaire. Un consentement vague comme « J’accepte l’utilisation d’outils technologiques » ne suffit pas.

Exemple concret : Un physiothérapeute explique à son patient : « J’utilise un outil de prise de note automatisée pour rédiger mes notes de traitement. L’enregistrement sera envoyé à un serveur au Canada, transcrit par intelligence artificielle exclusivement pour mes notes cliniques, puis supprimé automatiquement après 30 jours. L’outil n’enregistre que notre conversation clinique, pas l’ensemble de votre dossier. Vous pouvez refuser, et je prendrai mes notes manuellement. Êtes-vous d’accord ? » Le patient signe un formulaire distinct qui documente ce consentement spécifique.

Ce que vous devez faire :

Créez un processus de consentement qui inclut : la finalité précise et limitée (transcription de notes cliniques uniquement), l’identité du fournisseur technologique, la localisation des données, la durée de conservation, et le droit de retirer son consentement
Assurez-vous que seules les informations nécessaires sont capturées par l’outil (principe de minimisation)
Vérifiez vos obligations professionnelles supplémentaires. Par exemple, pour les psychologues, l’article 15(5) du Code de déontologie exige un consentement explicite pour tout enregistrement, même temporaire
Documentez le consentement par écrit pour chaque patient

3. Le fournisseur offre-t-il des mesures de sécurité adéquates ?

Votre obligation : Vous devez choisir un fournisseur dont les mesures de sécurité sont propres à assurer la protection des renseignements personnels de vos patients. Même si c’est le fournisseur qui implémente techniquement ces mesures, vous demeurez responsable envers vos patients du choix de ce fournisseur. En cas de fuite causée par des mesures de sécurité inadéquates, vous pourriez être tenu responsable d’avoir choisi un fournisseur qui ne respectait pas les standards requis.

Exemple concret : Un dentiste évalue deux outils de transcription. Le premier chiffre les enregistrements en transit (HTTPS) mais les stocke sans chiffrement sur ses serveurs. Le second utilise un chiffrement de bout en bout (à la fois en transit et en stockage) et limite l’accès aux données via une authentification multifacteur pour ses employés. Le dentiste choisit le second, car il offre des mesures de sécurité proportionnelles à la sensibilité des dossiers dentaires.

Plutôt que de négocier un contrat sur mesure (souvent impossible avec les grandes plateformes), vérifiez que les conditions de service (Terms of Service) ou l’addenda sur le traitement des données (DPA) garantissent ceci :

Ce que votre contrat doit obliger le fournisseur à faire :

Le maintien du chiffrement de bout en bout en tout temps.
L’accès aux données limité au strict minimum nécessaire pour le support technique.
L’engagement de vous informer de tout changement aux mesures de sécurité.

Des certifications de sécurité reconnues (SOC 2, ISO 27001, HIPAA) peuvent également être utiles afin d’assurer la confiance en l’entreprise.

Ces informations doivent être disponibles par écrit. Un fournisseur sérieux publie généralement ces informations sur son site web.

4. Le fournisseur peut-il supprimer les données adéquatement ?

Votre obligation : Vos patients ont le droit d’exiger la suppression de leurs renseignements personnels, sous réserve de vos obligations légales de conservation des dossiers. Bien que ce soit le fournisseur qui effectue techniquement la suppression, vous devez être en mesure de répondre aux demandes de vos patients et d’obtenir confirmation que leurs données ont été détruites. Vous demeurez responsable envers vos patients même si c’est le fournisseur qui exécute la suppression.

Exemple concret : Une orthophoniste traite un enfant dont les parents se séparent. L’un des parents demande que toutes les données concernant leur enfant soient retirées de l’outil de transcription. L’orthophoniste contacte le fournisseur (ou utilise le tableau de bord administrateur) et supprime les enregistrements audio et les brouillons de transcription. L’orthophoniste explique toutefois aux parents que la note clinique finale, une fois validée et versée au dossier permanent de l’enfant, ne peut pas être effacée.

Ce que votre contrat doit obliger le fournisseur à faire :

Interdire explicitement toute utilisation des données pour entraîner l’IA, améliorer le produit, ou toute analyse interne. Cette clause doit être écrite noir sur blanc
Supprimer automatiquement les enregistrements audio une fois la transcription terminée.
Supprimer les données d’un patient spécifique à votre demande, avec un délai précis (idéalement sous 30 jours)
Vous fournir une confirmation écrite de suppression
Détruire toutes les données à la fin du contrat, sans exception pour « archivage » ou « sauvegarde »

Ce que vous devez vérifier avant de signer :

Le contrat prévoit-il un mécanisme clair de suppression à la demande ?
Le fournisseur s’engage-t-il à fournir une preuve écrite de suppression ?
La politique de conservation post-contrat est-elle acceptable ? (Si le fournisseur conserve les données après la fin du contrat, c’est incompatible avec vos obligations)

5. Serez-vous notifié rapidement en cas de fuite ?

Votre obligation : Si le fournisseur subit une violation de confidentialité affectant les renseignements de vos patients, c’est vous qui devez évaluer le risque de préjudice sérieux et potentiellement notifier la Commission d’accès à l’information (CAI) et les patients concernés. Pour pouvoir remplir cette obligation, vous devez être informé rapidement de toute violation par le fournisseur.

Exemple concret : Un ergothérapeute utilise un outil de transcription qui subit une cyberattaque. Le fournisseur notifie l’ergothérapeute 2 jours après la découverte de la fuite, conformément à son obligation contractuelle. Le fournisseur révèle que 3 000 enregistrements ont été exposés, incluant 20 dossiers de cet ergothérapeute. L’ergothérapeute doit alors immédiatement évaluer si ces 20 dossiers contiennent des informations sensibles (diagnostics, limitations fonctionnelles), notifier la CAI si un préjudice sérieux est probable, et informer directement les 20 patients concernés.

Ce que votre contrat doit obliger le fournisseur à faire :

Vous notifier immédiatement de toute violation de confidentialité
Vous fournir tous les détails nécessaires pour évaluer l’impact : nature de la violation, données affectées, nombre de patients concernés, mesures prises.
Coopérer avec vous dans la gestion de l’incident

Ce que vous devez vérifier avant de signer :

Le contrat précise-t-il clairement l’obligation du fournisseur de vous notifier sans délai ?
Le contrat limite-t-il la responsabilité du fournisseur à un montant dérisoire ? (Refusez ces clauses)
Le contrat vous interdit-il de divulguer publiquement une fuite ? (Refusez ces clauses, vous pourriez avoir l’obligation légale d’informer vos patients)

Rappel important : La notification à la CAI et aux patients concernés demeure votre responsabilité. Le fournisseur doit vous informer, mais c’est vous qui devez agir.

Quand faut-il une ÉFVP ?

Une évaluation des facteurs relatifs à la vie privée (ÉFVP) est obligatoire dans ces trois situations : (1) lorsque vous acquérez ou développez un nouveau système technologique pour traiter des renseignements personnels, (2) lorsque vous transférez des renseignements hors Québec, ou (3) lorsque vous communiquez des renseignements sans consentement à des fins de recherche.

Pour les outils de prise de notes par IA, l’ÉFVP est presque toujours obligatoire. L’acquisition d’un tel outil constitue l’implantation d’un nouveau système technologique au sens de la loi. Vous devez donc réaliser une ÉFVP avant le premier enregistrement, quelle que soit la localisation des serveurs. Si, en plus, l’outil utilise des serveurs hors Québec, l’ÉFVP doit analyser avec une rigueur accrue les risques transfrontaliers : lois étrangères d’accès aux données (comme le CLOUD Act américain), juridictions des serveurs et de l’entreprise mère, et mesures de protection supplémentaires requises.

Exemple concret : L’Ordre des psychologues du Québec impose des obligations spécifiques sur la conservation et la destruction des dossiers. Une ÉFVP vous permet de documenter comment l’outil de transcription respecte ces exigences spécifiques, notamment le délai de conservation après la fin du suivi et la destruction automatique des enregistrements temporaires.

Pour en savoir plus sur l’obligation légale et comment réaliser une ÉFVP, consultez notre guide complet sur l’ÉFVP.

En résumé : Peut-on utiliser ces outils ?

Oui, mais sous conditions strictes. Les outils de prise de notes par IA ne sont pas interdits pour les professionnels de la santé au Québec, mais leur utilisation légale exige une diligence rigoureuse. Avant d’adopter un outil, vous devez pouvoir répondre « oui » à ces cinq questions :

Vous avez réalisé une ÉFVP documentant les risques de ce nouveau système technologique, et si les données quittent le Québec, vous avez analysé en détail les risques transfrontaliers.
Vous obtenez un consentement éclairé et spécifique de chaque patient, en confirmant que l’outil sert exclusivement à rédiger vos notes cliniques et que seules les informations nécessaires sont enregistrées.
Vous avez choisi un fournisseur offrant des mesures de sécurité robustes et documentées (chiffrement de bout en bout, authentification multifacteur, certifications reconnues).
Votre contrat avec le fournisseur interdit formellement l’utilisation des données pour entraîner l’IA, oblige la destruction automatique des enregistrements temporaires, et vous permet de faire supprimer les données d’un patient à sa demande avec confirmation écrite.
Votre contrat oblige le fournisseur à vous notifier immédiatement en cas de fuite, et vous savez que c’est vous qui devrez ensuite notifier la CAI et vos patients si nécessaire.

Si vous ne pouvez pas répondre « oui » à l’une de ces questions, n’utilisez pas l’outil. Le gain de temps ne justifie pas le risque juridique et déontologique.

Restez informé

Soyez informés quand de nouveaux articles sont publiés et recevez les mises à jour de Conforme.ca.

Nous respectons votre vie privée. Politique de confidentialité.

Ressources connexes

Cet article constitue de l’information juridique générale et ne remplace pas un avis juridique adapté à votre situation. En cas de doute, consultez un avocat ou votre ordre professionnel.