Anonymisation des renseignements personnels en vertu du droit québécois
Anonymisation des renseignements personnels en vertu du droit québécois
Au Canada, la législation sur la protection des renseignements personnels régit l’utilisation des renseignements personnels, et les organisations envisagent souvent de réutiliser ces données ou de recourir à l’anonymisation pour se soustraire à des exigences juridiques rigoureuses. Toutefois, les organismes de réglementation maintiennent des normes rigoureuses quant à ce qui constitue des renseignements anonymisés, en établissant une distinction avec les renseignements dépersonnalisés qui demeurent, pour leur part, assujettis aux lois sur la protection des renseignements personnels. Le 15 mai 2024, le Québec a précisé ces exigences en publiant la version finale de son règlement sur l’anonymisation des renseignements personnels qui établit des lignes directrices précises sur la façon d’effectuer l’anonymisation de manière appropriée. L’adoption de ce règlement découle de la « Loi 25 », anciennement connue sous le nom de Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. La Loi 25 a modifié la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après désignée la « Loi ») par le fait d’offrir la possibilité aux organisations d’utiliser des renseignements anonymisés.
Par le biais de la modification introduite par la Loi 25, l’article 23 de la Loi prévoit que les renseignements personnels doivent être anonymisés selon les meilleures pratiques généralement reconnues et selon les critères et modalités déterminés par règlement. Toutefois, au moment de l’entrée en vigueur de la Loi 25, ce règlement n’avait pas encore été adopté, de sorte que la Commission d’accès à l’information (l’organisme québécois de réglementation en matière de vie privée, ci-après désignée la « CAI ») a adopté la position selon laquelle il n’était pas possible d’anonymiser les renseignements personnels.
Cette époque est désormais révolue, car le règlement tant attendu est entré en vigueur à la date de publication du présent bulletin et il est maintenant possible pour les organisations d’anonymiser les renseignements personnels si les critères détaillés ci-dessous sont respectés. Les organisations qui traitent des renseignements personnels au Québec doivent garder à l’esprit que les renseignements personnels ne peuvent être anonymisés que lorsque les fins pour lesquelles ils ont été recueillis ou utilisés ont été accomplies, car la Loi n’autorise l’anonymisation des renseignements personnels qu’à titre de solution de rechange à leur destruction. Actuellement, la CAI estime que les renseignements personnels ne peuvent pas être anonymisés tant qu’ils n’ont pas atteint ce stade. De plus, les renseignements anonymisés ne peuvent être utilisés qu’à des fins sérieuses et légitimes.
Exigences relatives à l’anonymisation des renseignements personnels
Le règlement prévoit un processus d’anonymisation en trois étapes :
Étape 1 : Avant le processus d’anonymisation
Avant de commencer le processus d’anonymisation, les organisations doivent établir les fins pour lesquelles elles entendent utiliser les renseignements anonymisés et s’assurer qu’elles sont conformes à l’article 23 de la Loi qui exige que ces fins soient sérieuses et légitimes. Une fois que les renseignements ont été anonymisés, les organisations peuvent également utiliser ces renseignements anonymisés à des fins qui n’avaient pas été prévues au début du processus d’anonymisation si ces nouvelles fins sont aussi sérieuses et légitimes.
Étape 2 : Pendant le processus d’anonymisation
Au début du processus, tous les éléments pouvant permettre d’identifier personnellement la personne concernée des renseignements personnels (p. ex., noms, numéros d’assurance sociale, adresses électroniques) doivent être retirés. Une analyse préliminaire des risques doit être effectuée pour évaluer les risques de réidentification, en tenant compte des renseignements disponibles dans l’espace public et des critères suivants :
- Individualisation: S’assurer qu’il n’est pas possible d’isoler ou de distinguer une personne dans un ensemble de données.
- Corrélation: S’assurer qu’il n’est pas possible de relier entre eux des ensembles de données qui concernent une même personne.
- Inférence: S’assurer qu’il n’est pas possible de déduire des renseignements personnels à partir d’autres renseignements disponibles.
À la lumière de cette analyse, les organisations doivent mettre en œuvre des techniques d’anonymisation fondées sur les meilleures pratiques et établir des mesures de protection et de sécurité raisonnables pour diminuer le risque de réidentification. Le règlement exige également que tout le processus d’anonymisation soit réalisé sous la supervision d’une personne compétente en la matière.
Étape 3 : Après le processus d’anonymisation
Après avoir mis en œuvre les techniques d’anonymisation et les mesures de protection et de sécurité, les organisations doivent analyser les risques de réidentification. Les résultats de cette analyse doivent démontrer que les renseignements anonymisés ne peuvent plus raisonnablement servir à identifier une personne. Bien qu’il ne soit pas nécessaire de démontrer un risque nul, les résultats de l’analyse doivent néanmoins démontrer que le risque résiduel de réidentification est très faible, en tenant compte des éléments suivants :
- les fins pour lesquelles les renseignements anonymisés vont être utilisés;
- la nature des renseignements;
- les critères d’individualisation, de corrélation et d’inférence;
- le risque que des renseignements disponibles dans l’espace public soient utilisés pour identifier à nouveau une personne;
- Les efforts, les ressources et l’expertise qu’il faudrait pour réidentifier les personnes.
Les organisations doivent périodiquement procéder à une réévaluation des données anonymisées pour s’assurer qu’elles le demeurent, compte tenu des avancées technologiques et des nouveaux risques. Les résultats de la dernière évaluation du risque de réidentification par l’organisation doivent être mis à jour après chaque nouvelle évaluation, et les résultats doivent toujours démontrer un très faible risque de réidentification. Dans le cas contraire, les renseignements ne seront plus considérés comme anonymisés.
Nous constatons que le projet de règlement publié pour la première fois le 20 décembre 2023 a connu des modifications mineures visant principalement à alléger les obligations des organisations. Le projet de règlement prévoyait que l’évaluation des renseignements anonymisés devait être effectuée régulièrement, alors que la version finale du règlement exige maintenant que l’évaluation soit effectuée périodiquement. Nous interprétons cette reformulation comme signifiant que les évaluations ne sont nécessaires que lorsqu’il y a des changements touchant les renseignements anonymisés. Dans le cas contraire, aucune évaluation n’est requise, ce qui allège la charge des organisations. La périodicité de ces évaluations doit être déterminée en fonction des risques résiduels identifiés lors de la dernière analyse du risque de réidentification et les facteurs pris en compte doivent être les mêmes que lors de l’évaluation initiale du risque de réidentification, comme énumérés ci-dessus.
Le règlement exige également que les organismes tiennent un registre pour consigner les renseignements suivants :
- une description des renseignements qui ont été anonymisés;
- les fins pour lesquelles les données anonymisées vont être utilisées;
- les techniques d’anonymisation et les mesures de sécurité établies;
- la date de l’analyse initiale des risques de réidentification et les dates des mises à jour subséquentes des résultats de l’analyse.
Conclusion
La Loi 25 du Québec prévoit des sanctions importantes pour assurer le respect de certaines obligations prévues par la Loi. En particulier, depuis septembre 2023, les personnes qui identifient ou tentent d’identifier une personne à l’aide de renseignements dépersonnalisés ou anonymisés sans autorisation sont passibles d’amendes pouvant atteindre 25 000 000 $ ou 4 % du chiffre d’affaires mondial de l’exercice précédent, selon le montant le plus élevé.
En prévision de l’entrée en vigueur prochaine du règlement, les organisations qui entendent utiliser des renseignements personnels anonymisés devraient désigner une personne compétente en la matière, définir les fins pour lesquelles elles entendent utiliser les renseignements anonymisés, effectuer des analyses préliminaires rigoureuses à l’aune des critères d’individualisation, de corrélation et d’inférence et évaluer le risque de réidentification.
Le Règlement sur l’anonymisation des renseignements personnels du Québec est entré en vigueur le 30 mai 2024, hormis l’obligation de consigner des renseignements spécifiques dans un registre qui entrera en vigueur le 1ᵉʳ janvier 2025.
Le groupe Protection de la vie privée et des données de McMillan peut aider votre organisation à comprendre et à respecter la législation québécoise en matière de protection des renseignements personnels. Communiquez avec nous dès aujourd’hui pour savoir comment nous pouvons vous aider à vous conformer au cadre juridique qui ne cesse d’évoluer!
par Alice Ahmad
Mise en garde
Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis. Il est préférable d’obtenir un avis juridique spécifique.
© McMillan S.E.N.C.R.L., s.r.l. 2024
Perspectives (5 Posts)Voir Plus
Attention : mise à jour des lignes directrices concernant les exigences de déclaration dans les chaînes d’approvisionnement
Sécurité publique Canada a publié une mise à jour des Lignes directrices pour les entités afin de les clarifier et d’aborder des questions relatives aux exigences de déclaration sur le travail forcé et le travail des enfants en 2025.
Soyez prêts : le rajustement des frais de l’OPIC entrera en vigueur le 1er janvier 2025
Les frais gouvernementaux de l’OPIC vont augmenter en 2025. Si cela est possible, il sera souhaitable de prendre les mesures appropriées avant l’entrée en vigueur de ce rajustement.
Santé Canada a mis à jour sa liste des interdictions générales en y ajoutant les piles au lithium-ion et d’autres produits identifiés comme dangers préoccupants
Santé Canada a récemment ajouté trois catégories de produits de consommation aux dangers préoccupants à la liste des interdictions générales prévues par la Loi canadienne sur la sécurité des produits de consommation.
Droit de l’environnement et réaménagement des friches industrielles : questions juridiques importantes et solutions
Joignez-vous à McMillan le jeudi 5 décembre prochain pour un webinaire présenté en anglais sur le droit de l’environnement durant lequel nous discuterons de questions importantes en matière de réaménagement des friches industrielles au Canada.
Suspension des programmes clés soutenant les entreprises en démarrage au Québec : Évaluer l’impact sur l’écosystème de démarrage au Québec
Le Québec suspend les programmes d'investissement dans les entreprises de démarrage
Recevez des mises à jour directement dans votre boîte de réception. Vous pouvez vous désabonner en tout temps.