Insights Header image
Insights Header image
Insights Header image

Anonymisation des renseignements personnels en vertu du droit québécois

31 mai 2024 Bulletin sur la protection de la vie privée et des données Lecture de 5 min

Au Canada, la législation sur la protection des renseignements personnels régit l’utilisation des renseignements personnels, et les organisations envisagent souvent de réutiliser ces données ou de recourir à l’anonymisation pour se soustraire à des exigences juridiques rigoureuses. Toutefois, les organismes de réglementation maintiennent des normes rigoureuses quant à ce qui constitue des renseignements anonymisés, en établissant une distinction avec les renseignements dépersonnalisés qui demeurent, pour leur part, assujettis aux lois sur la protection des renseignements personnels. Le 15 mai 2024, le Québec a précisé ces exigences en publiant la version finale de son règlement sur l’anonymisation des renseignements personnels qui établit des lignes directrices précises sur la façon d’effectuer l’anonymisation de manière appropriée. L’adoption de ce règlement découle de la « Loi 25 », anciennement connue sous le nom de Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. La Loi 25 a modifié la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après désignée la « Loi ») par le fait d’offrir la possibilité aux organisations d’utiliser des renseignements anonymisés.

Par le biais de la modification introduite par la Loi 25, l’article 23 de la Loi prévoit que les renseignements personnels doivent être anonymisés selon les meilleures pratiques généralement reconnues et selon les critères et modalités déterminés par règlement. Toutefois, au moment de l’entrée en vigueur de la Loi 25, ce règlement n’avait pas encore été adopté, de sorte que la Commission d’accès à l’information (l’organisme québécois de réglementation en matière de vie privée, ci-après désignée la « CAI ») a adopté la position selon laquelle il n’était pas possible d’anonymiser les renseignements personnels.

Cette époque est désormais révolue, car le règlement tant attendu est entré en vigueur à la date de publication du présent bulletin et il est maintenant possible pour les organisations d’anonymiser les renseignements personnels si les critères détaillés ci-dessous sont respectés. Les organisations qui traitent des renseignements personnels au Québec doivent garder à l’esprit que les renseignements personnels ne peuvent être anonymisés que lorsque les fins pour lesquelles ils ont été recueillis ou utilisés ont été accomplies, car la Loi n’autorise l’anonymisation des renseignements personnels qu’à titre de solution de rechange à leur destruction. Actuellement, la CAI estime que les renseignements personnels ne peuvent pas être anonymisés tant qu’ils n’ont pas atteint ce stade. De plus, les renseignements anonymisés ne peuvent être utilisés qu’à des fins sérieuses et légitimes.

Exigences relatives à l’anonymisation des renseignements personnels

Le règlement prévoit un processus d’anonymisation en trois étapes :

Étape 1 : Avant le processus d’anonymisation

Avant de commencer le processus d’anonymisation, les organisations doivent établir les fins pour lesquelles elles entendent utiliser les renseignements anonymisés et s’assurer qu’elles sont conformes à l’article 23 de la Loi qui exige que ces fins soient sérieuses et légitimes. Une fois que les renseignements ont été anonymisés, les organisations peuvent également utiliser ces renseignements anonymisés à des fins qui n’avaient pas été prévues au début du processus d’anonymisation si ces nouvelles fins sont aussi sérieuses et légitimes.

Étape 2 : Pendant le processus d’anonymisation

Au début du processus, tous les éléments pouvant permettre d’identifier personnellement la personne concernée des renseignements personnels (p. ex., noms, numéros d’assurance sociale, adresses électroniques) doivent être retirés. Une analyse préliminaire des risques doit être effectuée pour évaluer les risques de réidentification, en tenant compte des renseignements disponibles dans l’espace public et des critères suivants :

  1. Individualisation: S’assurer qu’il n’est pas possible d’isoler ou de distinguer une personne dans un ensemble de données.
  2. Corrélation: S’assurer qu’il n’est pas possible de relier entre eux des ensembles de données qui concernent une même personne.
  3. Inférence: S’assurer qu’il n’est pas possible de déduire des renseignements personnels à partir d’autres renseignements disponibles.

À la lumière de cette analyse, les organisations doivent mettre en œuvre des techniques d’anonymisation fondées sur les meilleures pratiques et établir des mesures de protection et de sécurité raisonnables pour diminuer le risque de réidentification. Le règlement exige également que tout le processus d’anonymisation soit réalisé sous la supervision d’une personne compétente en la matière.

Étape 3 : Après le processus d’anonymisation

Après avoir mis en œuvre les techniques d’anonymisation et les mesures de protection et de sécurité, les organisations doivent analyser les risques de réidentification. Les résultats de cette analyse doivent démontrer que les renseignements anonymisés ne peuvent plus raisonnablement servir à identifier une personne. Bien qu’il ne soit pas nécessaire de démontrer un risque nul, les résultats de l’analyse doivent néanmoins démontrer que le risque résiduel de réidentification est très faible, en tenant compte des éléments suivants :

  • les fins pour lesquelles les renseignements anonymisés vont être utilisés;
  • la nature des renseignements;
  • les critères d’individualisation, de corrélation et d’inférence;
  • le risque que des renseignements disponibles dans l’espace public soient utilisés pour identifier à nouveau une personne;
  • Les efforts, les ressources et l’expertise qu’il faudrait pour réidentifier les personnes.

Les organisations doivent périodiquement procéder à une réévaluation des données anonymisées pour s’assurer qu’elles le demeurent, compte tenu des avancées technologiques et des nouveaux risques. Les résultats de la dernière évaluation du risque de réidentification par l’organisation doivent être mis à jour après chaque nouvelle évaluation, et les résultats doivent toujours démontrer un très faible risque de réidentification. Dans le cas contraire, les renseignements ne seront plus considérés comme anonymisés.

Nous constatons que le projet de règlement publié pour la première fois le 20 décembre 2023 a connu des modifications mineures visant principalement à alléger les obligations des organisations. Le projet de règlement prévoyait que l’évaluation des renseignements anonymisés devait être effectuée régulièrement, alors que la version finale du règlement exige maintenant que l’évaluation soit effectuée périodiquement. Nous interprétons cette reformulation comme signifiant que les évaluations ne sont nécessaires que lorsqu’il y a des changements touchant les renseignements anonymisés. Dans le cas contraire, aucune évaluation n’est requise, ce qui allège la charge des organisations. La périodicité de ces évaluations doit être déterminée en fonction des risques résiduels identifiés lors de la dernière analyse du risque de réidentification et les facteurs pris en compte doivent être les mêmes que lors de l’évaluation initiale du risque de réidentification, comme énumérés ci-dessus.

Le règlement exige également que les organismes tiennent un registre pour consigner les renseignements suivants :

  • une description des renseignements qui ont été anonymisés;
  • les fins pour lesquelles les données anonymisées vont être utilisées;
  • les techniques d’anonymisation et les mesures de sécurité établies;
  • la date de l’analyse initiale des risques de réidentification et les dates des mises à jour subséquentes des résultats de l’analyse.

Conclusion

La Loi 25 du Québec prévoit des sanctions importantes pour assurer le respect de certaines obligations prévues par la Loi. En particulier, depuis septembre 2023, les personnes qui identifient ou tentent d’identifier une personne à l’aide de renseignements dépersonnalisés ou anonymisés sans autorisation sont passibles d’amendes pouvant atteindre 25 000 000 $ ou 4 % du chiffre d’affaires mondial de l’exercice précédent, selon le montant le plus élevé.

En prévision de l’entrée en vigueur prochaine du règlement, les organisations qui entendent utiliser des renseignements personnels anonymisés devraient désigner une personne compétente en la matière, définir les fins pour lesquelles elles entendent utiliser les renseignements anonymisés, effectuer des analyses préliminaires rigoureuses à l’aune des critères d’individualisation, de corrélation et d’inférence et évaluer le risque de réidentification.

Le Règlement sur l’anonymisation des renseignements personnels du Québec est entré en vigueur le 30 mai 2024, hormis l’obligation de consigner des renseignements spécifiques dans un registre qui entrera en vigueur le 1ᵉʳ janvier 2025.

Le groupe Protection de la vie privée et des données de McMillan peut aider votre organisation à comprendre et à respecter la législation québécoise en matière de protection des renseignements personnels. Communiquez avec nous dès aujourd’hui pour savoir comment nous pouvons vous aider à vous conformer au cadre juridique qui ne cesse d’évoluer!

par Alice Ahmad

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis. Il est préférable d’obtenir un avis juridique spécifique.

© McMillan S.E.N.C.R.L., s.r.l. 2024

Perspectives (5 Posts)Voir Plus

Featured Insight

Au revoir CDOR, bonjour CORRA : le dernier mois du taux CDOR et les tendances en matière de prêts CORRA

Le taux CDOR cessera d’être publié après le 28 juin 2024; le taux CORRA est maintenant utilisé dans des conventions de crédit et certaines tendances se dessinent quant à son utilisation.

Lire plus
13 Juin, 2024
Featured Insight

Loin de copier la FARA, le projet de loi sur la transparence et la responsabilité en matière d’influence étrangère renvoie les précisions à plus tard

La proposition visant à établir un registre des agents étrangers au Canada ne reproduit pas les aspects controversés de la FARA, mais laisse le champ ouvert à des règlements et des directives plus détaillés.

Lire plus
6 Juin, 2024
Featured Insight

Ce que vous devez savoir au sujet des répercussions réglementaires sur les constructeurs automobiles

Joignez-vous à nous à l’occasion d’un webinaire (offert en anglais) où nous discuterons des points clés sur les mises à jour, les incidences et les modifications apportées au cadre réglementaire que doivent respecter les fabricants d’équipement d’origine (FEO).

Détails
Mercredi 19 juin 2024
Featured Insight

Déchiffrer le projet de loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public (Ontario)

Déchiffrer le projet de loi 194 de l’Ontario : Loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public. Modifications principales et stratégies de conformité expliquées en détail.

Lire plus
24 Mai, 2024
Featured Insight

Comprendre le cadre des services bancaires pour les gens : perspectives clés de la loi no 1 d’exécution du budget de 2024

Le 30 avril, le gouvernement fédéral a présenté la Loi no 1 d’exécution du budget 2024, qui fournit le cadre législatif du système bancaire ouvert au Canada.

Lire plus
16 Mai, 2024