Alors que le Dossier santé numérique s’apprête à centraliser les renseignements médicaux de millions de Québécois, un simple courriel suffit encore pour obtenir copie d’un dossier au CISSS de la Montérégie-Est — y compris ceux de vos enfants. Dans un État qui n’a toujours pas digéré le fiasco SAAQclic, la question mérite d’être posée : sommes-nous prêts?
Tout a commencé par une demande banale. Souhaitant consulter la journalisation de mon dossier au CISSS de la Montérégie-Est — c’est-à-dire le registre de qui a accédé à mes renseignements et quand — j’ai également demandé les dossiers de mes deux enfants. Le processus a été d’une simplicité qui m’a laissé perplexe : un formulaire à remplir, une signature, et c’était tout. Aucune pièce d’identité avec photo. Aucune photocopie de carte d’assurance maladie. Aucun code de vérification. J’ai obtenu l’intégralité de mon dossier ainsi que les dossiers complets de mes deux enfants — renseignements médicaux, notes d’intervenants, données personnelles — le tout sur la base d’un formulaire que personne n’avait les moyens d’authentifier. Car le CISSS de la Montérégie-Est, comme la très grande majorité des établissements du réseau, ne détient pas de spécimen de ma signature dans ses dossiers. Contrairement à une banque, qui conserve une signature de référence et peut la comparer, l’établissement qui a traité ma demande n’avait strictement aucun moyen de vérifier que le formulaire avait été signé par la bonne personne. N’importe qui, muni de mon nom et de nos dates de naissance, aurait pu signer ce formulaire à ma place.
L’expérience m’a amené à me poser une question : si c’est aussi simple au CISSS, qu’en est-il de la Direction de la protection de la jeunesse (DPJ), qui détient des renseignements encore plus sensibles — signalements, évaluations psychosociales, décisions judiciaires concernant des enfants?
C’était pire.
En contactant la DPJ de la Montérégie-Est par téléphone, on m’a confirmé la procédure : il suffit d’envoyer un courriel contenant les noms et dates de naissance des personnes concernées. Pas de pièce d’identité. Pas de signature. Pas de formulaire. Un courriel. C’est tout ce qui sépare les renseignements les plus confidentiels du réseau québécois d’un inconnu qui connaît votre date de naissance.
Et c’est dans ce contexte que le Québec s’apprête à centraliser les données médicales de l’ensemble de sa population.
Le Dossier santé numérique : l’heure de vérité
Le 9 mai prochain, le Québec franchira une étape déterminante dans la numérisation de son réseau de santé. Le Dossier santé numérique (DSN), un projet évalué à plus de 1,5 milliard de dollars sur 15 ans et confié à la firme américaine Epic Systems, sera déployé en projet pilote dans deux établissements — le CIUSSS du Nord-de-l’Île-de-Montréal et celui de la Mauricie-et-du-Centre-du-Québec. L’ambition est colossale : regrouper l’ensemble des données médicales des patients québécois en un seul endroit, accessible à travers tout le réseau.
Mais à moins d’un mois du lancement, c’est le chaos. Le ministre de la Cybersécurité et du Numérique, Éric Caire, devenu depuis le ministre Bélanger, craint ouvertement que le projet ne soit pas prêt. Les médecins spécialistes ont mis le DSN sur pause en raison d’une impasse avec Québec. Le personnel soignant des établissements pilotes est en panique, les lits seront fermés pour atténuer les impacts et les départements fonctionneront à capacité réduite. Geneviève Biron, présidente de Santé Québec, admet qu’il faut « s’attendre à de petits problèmes techniques » — un euphémisme qui résonne douloureusement après le fiasco SAAQclic. Le Parti québécois demande carrément la suspension du projet.
Et pour cause : un des artisans du désastre SAAQclic, Alain Généreux, se retrouve affecté au Dossier santé numérique. Le gouvernement caquiste le défend. L’opposition s’indigne. Le contribuable, lui, se souvient.
SAAQclic : les leçons qu’on refuse d’apprendre
Il est impossible de parler du Dossier santé numérique sans évoquer le spectre de SAAQclic, le virage numérique de la Société de l’assurance automobile du Québec qui a tourné au cauchemar national. Le rapport de la Commission Gallant, déposé le 16 février 2026, est accablant : la SAAQ a menti pendant des années sur l’état du projet. Le cabinet de François Legault savait dès 2023 que le projet dérapait. La facture, initialement estimée à quelques centaines de millions, a explosé au-delà de 1,1 milliard de dollars. L’UPAC a ouvert une enquête criminelle sur les conditions d’attribution des contrats.
Plus troublant encore : un ex-fonctionnaire de la SAAQ a été arrêté pour avoir consulté illégalement des dossiers et modifié les renseignements personnels d’automobilistes dans le système. François Dagenais, 54 ans, fait face à des accusations d’abus de confiance, d’utilisation non autorisée d’un ordinateur et de méfait à l’égard de données informatiques. Ce cas illustre une vérité fondamentale en sécurité informationnelle : la plus grande menace ne vient pas toujours de l’extérieur.
Parmi les 26 recommandations du rapport Gallant figure la nécessité d’une « base solide en gestion de données — structuration, provenance, appartenance — avant d’avancer ». Le commissaire plaide pour la création d’une entité centralisée spécialisée en projets de transformation numérique, afin de réduire la dépendance de l’État aux consultants privés. Ces recommandations sont sages. Mais elles arrivent alors que le Québec s’apprête à reproduire, dans le domaine de la santé, une opération d’une envergure sans précédent — avec des données infiniment plus sensibles.
Centraliser sans sécuriser?
Le DSN promet de « renforcer la confidentialité et la sécurité des données ». Or, plusieurs questions demeurent sans réponse satisfaisante.
La première concerne la souveraineté des données. Epic Systems est une entreprise américaine, assujettie au Cloud Act — une loi fédérale qui permet au gouvernement des États-Unis d’obtenir un mandat pour accéder aux données d’entreprises de nuage informatique américaines, même lorsque ces données sont hébergées hors du territoire américain. Les données du DSN seront logées à Toronto et à Montréal, mais le parapluie juridique américain s’étend bien au-delà des frontières physiques des serveurs. Dans le contexte géopolitique actuel, où les données sont devenues un levier de négociation commerciale entre États, la question n’est pas abstraite.
La seconde concerne l’accès au système lui-même. Le DSN centralisera les dossiers médicaux, les notes cliniques, les résultats de laboratoire, les prescriptions et les données psychosociales de millions de patients. Qui y aura accès? Selon quels protocoles d’authentification? Avec quels mécanismes de traçabilité? L’affaire Dagenais à la SAAQ démontre qu’un employé disposant d’accès légitimes peut détourner le système à des fins personnelles. À l’échelle du réseau de la santé québécois — des dizaines de milliers d’employés, de professionnels, de sous-traitants — le risque est d’un tout autre ordre de grandeur.
L’illusion de la vérification
Ce que j’ai vécu au CISSS de la Montérégie-Est et ce que la DPJ m’a confirmé au téléphone ne sont pas des anomalies locales. Une revue des pratiques en vigueur dans le réseau de la santé et des services sociaux révèle une mosaïque de procédures dont le niveau de rigueur varie considérablement d’un établissement à l’autre — mais dont aucune n’offre de véritable garantie.
Certains établissements affichent des exigences plus strictes, du moins en apparence. Le CISSS de Chaudière-Appalaches requiert une pièce d’identité avec photo pour la récupération de documents en personne. Le CISSS de l’Abitibi-Témiscamingue refuse toute demande par courriel non accompagnée d’une photocopie de la carte d’assurance maladie. Le Dossier santé Québec utilise une clé d’authentification numérique délivrée par la RAMQ, avec vérification en personne auprès d’un agent. Mais au CISSS de la Montérégie-Est, un simple formulaire signé a suffi pour trois dossiers complets. Et à la DPJ de la même région, on exige encore moins : un courriel avec noms et dates de naissance — sans signature, sans pièce d’identité, sans rien.
Même dans les établissements qui exigent un formulaire signé, la signature ne constitue pas un véritable mécanisme de sécurité. Aucun CISSS, CIUSSS ou direction de la DPJ ne conserve de spécimen de signature permettant de comparer celui reçu sur un formulaire. Un organisme du réseau de la santé qui reçoit un formulaire signé n’a strictement aucun moyen de vérifier que la signature est authentique. C’est un rituel bureaucratique qui donne l’apparence d’un contrôle sans en offrir la substance.
La chaîne de « vérification » dans le réseau se résume donc, au mieux, à trois éléments : un nom (information publique), une date de naissance (information publique ou compromise à grande échelle) et une signature (invérifiable). Au pire — comme à la DPJ de la Montérégie-Est — elle se résume à deux : un nom et une date de naissance, transmis par courriel. On vous enverra ensuite les documents sans encryption à cette même adresse courriel! En sécurité informationnelle, on parlerait d’un processus d’authentification reposant uniquement sur des informations que la personne déclare, sans aucun facteur indépendant confirmant ce qu’elle possède (pièce d’identité physique, téléphone pour un code de vérification) ou ce qu’elle est (donnée biométrique). C’est la forme la plus faible d’authentification qui existe — et elle protège les dossiers les plus sensibles du réseau! Tout les ordres professionnels au Québec ont émis des directives claires et strictes sur les demandes d’accès aux dossier sociaux et médicaux et déconseille l’envoi des données par courriel sans processus d’encryption.
Des scénarios qui n’ont rien de théorique
Les conséquences d’une vérification d’identité déficiente ne se mesurent pas en abstractions. Elles se mesurent en vies.
Prenons le scénario le plus immédiat. Une femme fuit un conjoint violent avec ses enfants. Elle se réfugie dans une maison d’hébergement. La DPJ est impliquée, un dossier est ouvert. Ce dossier contient, entre autres, l’adresse où se trouvent la mère et les enfants, les évaluations psychosociales, les mesures de protection ordonnées par le tribunal. Le conjoint violent connaît le nom complet de son ex-conjointe, sa date de naissance et celles de leurs enfants — ce sont des informations familiales élémentaires. Rien ne l’empêche d’envoyer un courriel à la DPJ en se faisant passer pour elle, en utilisant une adresse courriel similaire, et de demander copie du dossier. Si l’établissement se contente des mêmes vérifications sommaires — nom et date de naissance — le conjoint violent obtient l’adresse du refuge. Les conséquences peuvent être fatales. Ce n’est pas un scénario hypothétique : au Québec, selon les données du ministère de la Sécurité publique, les homicides liés à la violence conjugale représentent une proportion significative des homicides commis chaque année. Le système judiciaire impose le huis clos précisément pour empêcher ce type de situation. Mais le huis clos ne vaut rien si les mêmes renseignements peuvent être obtenus par un courriel de trois lignes.
À plus grande échelle, la centralisation des données de santé dans le DSN ouvre la porte à des menaces géopolitiques que le Québec n’a jamais eu à considérer auparavant. Aux États-Unis, les agences de renseignement tirent la sonnette d’alarme depuis des années. Le FBI et le département de la Justice ont documenté comment des États étrangers — la Chine en tête — exploitent les données médicales volées à des fins d’espionnage et de chantage. En combinant les données de la fuite d’Anthem (assureur santé, 2015), du piratage de l’Office of Personnel Management (dossiers de fonctionnaires fédéraux, 2015) et de la brèche d’Equifax (2017), les services de renseignement chinois ont constitué ce que les documents de contre-espionnage américains décrivent comme de « vastes opportunités pour cibler avec précision des individus dans les gouvernements étrangers ». L’ancien procureur général Merrick Garland a été sans ambiguïté : « Nos adversaires exploitent les données personnelles sensibles des Américains pour menacer notre sécurité nationale. Ils achètent ces données pour les utiliser à des fins de chantage et de surveillance. »
Le Québec n’est pas à l’abri de cette logique. Imaginons un haut fonctionnaire québécois, un juge, un élu, dont le dossier médical — ou celui de ses enfants suivis par la DPJ — tombe entre les mains d’un”state actor” hostile. Des antécédents psychiatriques, un diagnostic de dépendance, un signalement à la DPJ : autant de leviers de chantage potentiels qui pourraient être utilisés pour influencer des décisions politiques ou obtenir des renseignements stratégiques. Le Cloud Act, auquel est soumise Epic Systems, ajoute une couche de vulnérabilité : le gouvernement américain pourrait légalement exiger l’accès aux données hébergées par la firme, même sur des serveurs situés à Montréal ou à Toronto.
Le paradoxe du huis clos
L’incohérence est d’autant plus frappante que le législateur québécois a pris soin d’entourer les dossiers de protection de la jeunesse des protections les plus strictes. La Loi sur la protection de la jeunesse impose la confidentialité par défaut de tous les renseignements recueillis sur un enfant et ses parents. Les audiences à la Chambre de la jeunesse de la Cour du Québec se tiennent à huis clos — sans la présence du public. Les conférences de règlement ne sont pas enregistrées. Les notes du juge sont détruites à la fin de chaque séance. Les procès en Cour du Québec ou en Cour supérieure concernant des enfants font l’objet d’ordonnances de non-publication rigoureuses.
Tout ce dispositif juridique repose sur une prémisse : que les renseignements protégés le demeurent. Mais cette prémisse s’effondre lorsque le processus administratif qui en contrôle l’accès repose sur des informations publiques et des signatures invérifiables. Le huis clos judiciaire et le formulaire par courriel ne peuvent pas coexister. L’un ou l’autre est de trop — et ce n’est certainement pas le huis clos.
La Loi 25 : un cadre ambitieux, une application inégale
Le Québec ne manque pas de lois. La Loi 25, pleinement en vigueur depuis septembre 2024, a considérablement rehaussé les exigences en matière de protection des renseignements personnels. Elle impose des politiques de gouvernance claires, un registre des incidents de confidentialité, l’obligation de signaler à la Commission d’accès à l’information (CAI) tout incident présentant un risque de préjudice sérieux. Pour les enfants de moins de 14 ans, elle exige le consentement du titulaire de l’autorité parentale. Mais encore faut-il s’assurer que la personne qui formule une demande d’accès est véritablement ce titulaire — et non quelqu’un qui se fait passer pour tel.
La CAI elle-même recommande que le demandeur établisse son identité de manière fiable. La Sûreté du Québec exige systématiquement une pièce d’identité gouvernementale avec photo et signature. Pourquoi la DPJ, qui détient des renseignements parmi les plus sensibles de l’appareil étatique, se contenterait-elle de moins?
La Commission Laurent : un angle mort
En 2021, la Commission spéciale sur les droits des enfants et la protection de la jeunesse, présidée par Régine Laurent, a déposé ses 65 recommandations. Elles ont mené à une révision importante de la Loi sur la protection de la jeunesse en avril 2022, assouplissant les règles de confidentialité pour permettre un meilleur partage d’information entre professionnels — un objectif légitime et nécessaire.
Mais ni la Commission Laurent, ni les modifications législatives subséquentes n’ont abordé la sécurité des processus d’accès aux dossiers par les citoyens. Le verrou d’entrée — la vérification de l’identité du demandeur — est resté dans un angle mort. C’est comme si l’on avait rénové l’intérieur de la maison en oubliant de verrouiller la porte d’entrée.
Un État numérique bâti sur des fondations de papier
Le portrait d’ensemble est préoccupant. D’un côté, le Québec investit des milliards pour centraliser les données de santé les plus intimes de ses citoyens dans un système numérique développé par une firme américaine soumise au Cloud Act, déployé dans l’urgence malgré les avertissements du ministre responsable, du personnel soignant et de l’opposition, et confié en partie aux mêmes gestionnaires qui ont présidé au fiasco SAAQclic.
De l’autre, les processus existants pour accéder aux dossiers les plus sensibles — ceux des enfants, des familles, des patients — reposent encore sur des courriels, des dates de naissance et des signatures que personne ne peut vérifier. J’en ai fait l’expérience directe : trois dossiers complets obtenus au CISSS de la Montérégie-Est avec un formulaire signé que l’établissement n’avait aucun moyen d’authentifier. Et la DPJ de la même région m’a confirmé qu’elle exige encore moins.
La question qui se pose est simple : si le Québec n’arrive pas à sécuriser adéquatement l’accès à des dossiers papier ou à des fichiers transmis par courriel, comment peut-il prétendre protéger une base de données centralisée contenant les renseignements médicaux de l’ensemble de sa population?
Le rapport Gallant recommandait une « base solide en gestion de données » avant d’avancer dans la transformation numérique de l’État. Les pratiques actuelles de la DPJ et du CISSS de la Montérégie-Est — et vraisemblablement de plusieurs autres établissements du réseau — démontrent que cette base solide reste à construire. On ne résout pas un problème de fondation en ajoutant des étages.
Des solutions à portée de main
La modernisation des processus de vérification d’identité ne relève pas de la science-fiction. Le réseau de la santé québécois dispose déjà de mécanismes plus robustes dans d’autres contextes : le Dossier santé Québec utilise une clé d’authentification numérique délivrée par la RAMQ, avec vérification en personne auprès d’un agent; Carnet santé Québec emploie l’authentification multifacteur.
Plusieurs mesures pourraient être mises en oeuvre rapidement : l’exigence systématique d’une pièce d’identité gouvernementale avec photo pour toute demande d’accès, quelle que soit la modalité de transmission; l’authentification à deux facteurs pour les demandes à distance; la création d’un portail sécurisé intégré à l’infrastructure d’authentification gouvernementale; l’adoption d’un protocole uniforme à l’échelle provinciale, éliminant les disparités entre établissements. Ces mesures devraient être déployées avant la centralisation des données, pas après.
Le vrai test de la transformation numérique
Le Québec se trouve à un carrefour. Le Dossier santé numérique pourrait effectivement révolutionner la prestation des soins de santé dans la province, réduire les erreurs médicales et sauver des vies. Mais le fiasco SAAQclic a démontré ce qui arrive lorsqu’on précipite un virage numérique sans les assises nécessaires. Le rapport Gallant a documenté les mensonges, les dépassements de coûts et l’absence de reddition de comptes. L’affaire Dagenais a illustré la vulnérabilité des systèmes face aux menaces internes.
Pendant ce temps, au CISSS de la Montérégie-Est, j’ai obtenu trois dossiers complets — le mien et ceux de mes deux enfants — sans jamais avoir à prouver mon identité autrement que par un formulaire portant une signature que personne ne pouvait vérifier. Et à la DPJ de la même région, on m’a confirmé qu’un simple courriel avec des dates de naissance aurait suffi.
Les enfants protégés par la DPJ méritent que la sécurité de leurs renseignements personnels soit à la hauteur de la confidentialité que les tribunaux leur accordent. Les patients dont les données seront bientôt centralisées dans le DSN méritent l’assurance que les erreurs de SAAQclic ne seront pas répétées à une échelle encore plus dommageable. Et les citoyens québécois, dont les données personnelles ont déjà été massivement compromises, méritent un État qui apprend de ses erreurs avant d’en commettre de nouvelles.
Préparez-vous, comme le titrait le Journal de Montréal. L’enjeu n’est plus seulement technique. Il est fondamentalement démocratique.
L’auteur de cet article n’est pas juriste. Les références aux lois québécoises, notamment la Loi sur la protection de la jeunesse (P-34.1), la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (A-2.1) et la Loi 25, sont fondées sur les informations publiquement disponibles au moment de la rédaction et ne constituent pas une analyse juridique. Pour obtenir un avis sur la portée exacte de ces lois et sur vos droits en matière d’accès aux dossiers, consultez un avocat spécialisé en droit de la vie privée ou en droit de la jeunesse. Les constats relatifs aux processus de vérification d’identité reposent sur l’expérience directe de l’auteur auprès du CISSS et de la DPJ de la Montérégie-Est ainsi que sur les informations rendues publiques par divers établissements du réseau de la santé et des services sociaux.
