Anonymisation des renseignements personnels en vertu du droit québécois
Anonymisation des renseignements personnels en vertu du droit québécois
Au Canada, la législation sur la protection des renseignements personnels régit l’utilisation des renseignements personnels, et les organisations envisagent souvent de réutiliser ces données ou de recourir à l’anonymisation pour se soustraire à des exigences juridiques rigoureuses. Toutefois, les organismes de réglementation maintiennent des normes rigoureuses quant à ce qui constitue des renseignements anonymisés, en établissant une distinction avec les renseignements dépersonnalisés qui demeurent, pour leur part, assujettis aux lois sur la protection des renseignements personnels. Le 15 mai 2024, le Québec a précisé ces exigences en publiant la version finale de son règlement sur l’anonymisation des renseignements personnels qui établit des lignes directrices précises sur la façon d’effectuer l’anonymisation de manière appropriée. L’adoption de ce règlement découle de la « Loi 25 », anciennement connue sous le nom de Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. La Loi 25 a modifié la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après désignée la « Loi ») par le fait d’offrir la possibilité aux organisations d’utiliser des renseignements anonymisés.
Par le biais de la modification introduite par la Loi 25, l’article 23 de la Loi prévoit que les renseignements personnels doivent être anonymisés selon les meilleures pratiques généralement reconnues et selon les critères et modalités déterminés par règlement. Toutefois, au moment de l’entrée en vigueur de la Loi 25, ce règlement n’avait pas encore été adopté, de sorte que la Commission d’accès à l’information (l’organisme québécois de réglementation en matière de vie privée, ci-après désignée la « CAI ») a adopté la position selon laquelle il n’était pas possible d’anonymiser les renseignements personnels.
Cette époque est désormais révolue, car le règlement tant attendu est entré en vigueur à la date de publication du présent bulletin et il est maintenant possible pour les organisations d’anonymiser les renseignements personnels si les critères détaillés ci-dessous sont respectés. Les organisations qui traitent des renseignements personnels au Québec doivent garder à l’esprit que les renseignements personnels ne peuvent être anonymisés que lorsque les fins pour lesquelles ils ont été recueillis ou utilisés ont été accomplies, car la Loi n’autorise l’anonymisation des renseignements personnels qu’à titre de solution de rechange à leur destruction. Actuellement, la CAI estime que les renseignements personnels ne peuvent pas être anonymisés tant qu’ils n’ont pas atteint ce stade. De plus, les renseignements anonymisés ne peuvent être utilisés qu’à des fins sérieuses et légitimes.
Exigences relatives à l’anonymisation des renseignements personnels
Le règlement prévoit un processus d’anonymisation en trois étapes :
Étape 1 : Avant le processus d’anonymisation
Avant de commencer le processus d’anonymisation, les organisations doivent établir les fins pour lesquelles elles entendent utiliser les renseignements anonymisés et s’assurer qu’elles sont conformes à l’article 23 de la Loi qui exige que ces fins soient sérieuses et légitimes. Une fois que les renseignements ont été anonymisés, les organisations peuvent également utiliser ces renseignements anonymisés à des fins qui n’avaient pas été prévues au début du processus d’anonymisation si ces nouvelles fins sont aussi sérieuses et légitimes.
Étape 2 : Pendant le processus d’anonymisation
Au début du processus, tous les éléments pouvant permettre d’identifier personnellement la personne concernée des renseignements personnels (p. ex., noms, numéros d’assurance sociale, adresses électroniques) doivent être retirés. Une analyse préliminaire des risques doit être effectuée pour évaluer les risques de réidentification, en tenant compte des renseignements disponibles dans l’espace public et des critères suivants :
- Individualisation: S’assurer qu’il n’est pas possible d’isoler ou de distinguer une personne dans un ensemble de données.
- Corrélation: S’assurer qu’il n’est pas possible de relier entre eux des ensembles de données qui concernent une même personne.
- Inférence: S’assurer qu’il n’est pas possible de déduire des renseignements personnels à partir d’autres renseignements disponibles.
À la lumière de cette analyse, les organisations doivent mettre en œuvre des techniques d’anonymisation fondées sur les meilleures pratiques et établir des mesures de protection et de sécurité raisonnables pour diminuer le risque de réidentification. Le règlement exige également que tout le processus d’anonymisation soit réalisé sous la supervision d’une personne compétente en la matière.
Étape 3 : Après le processus d’anonymisation
Après avoir mis en œuvre les techniques d’anonymisation et les mesures de protection et de sécurité, les organisations doivent analyser les risques de réidentification. Les résultats de cette analyse doivent démontrer que les renseignements anonymisés ne peuvent plus raisonnablement servir à identifier une personne. Bien qu’il ne soit pas nécessaire de démontrer un risque nul, les résultats de l’analyse doivent néanmoins démontrer que le risque résiduel de réidentification est très faible, en tenant compte des éléments suivants :
- les fins pour lesquelles les renseignements anonymisés vont être utilisés;
- la nature des renseignements;
- les critères d’individualisation, de corrélation et d’inférence;
- le risque que des renseignements disponibles dans l’espace public soient utilisés pour identifier à nouveau une personne;
- Les efforts, les ressources et l’expertise qu’il faudrait pour réidentifier les personnes.
Les organisations doivent périodiquement procéder à une réévaluation des données anonymisées pour s’assurer qu’elles le demeurent, compte tenu des avancées technologiques et des nouveaux risques. Les résultats de la dernière évaluation du risque de réidentification par l’organisation doivent être mis à jour après chaque nouvelle évaluation, et les résultats doivent toujours démontrer un très faible risque de réidentification. Dans le cas contraire, les renseignements ne seront plus considérés comme anonymisés.
Nous constatons que le projet de règlement publié pour la première fois le 20 décembre 2023 a connu des modifications mineures visant principalement à alléger les obligations des organisations. Le projet de règlement prévoyait que l’évaluation des renseignements anonymisés devait être effectuée régulièrement, alors que la version finale du règlement exige maintenant que l’évaluation soit effectuée périodiquement. Nous interprétons cette reformulation comme signifiant que les évaluations ne sont nécessaires que lorsqu’il y a des changements touchant les renseignements anonymisés. Dans le cas contraire, aucune évaluation n’est requise, ce qui allège la charge des organisations. La périodicité de ces évaluations doit être déterminée en fonction des risques résiduels identifiés lors de la dernière analyse du risque de réidentification et les facteurs pris en compte doivent être les mêmes que lors de l’évaluation initiale du risque de réidentification, comme énumérés ci-dessus.
Le règlement exige également que les organismes tiennent un registre pour consigner les renseignements suivants :
- une description des renseignements qui ont été anonymisés;
- les fins pour lesquelles les données anonymisées vont être utilisées;
- les techniques d’anonymisation et les mesures de sécurité établies;
- la date de l’analyse initiale des risques de réidentification et les dates des mises à jour subséquentes des résultats de l’analyse.
Conclusion
La Loi 25 du Québec prévoit des sanctions importantes pour assurer le respect de certaines obligations prévues par la Loi. En particulier, depuis septembre 2023, les personnes qui identifient ou tentent d’identifier une personne à l’aide de renseignements dépersonnalisés ou anonymisés sans autorisation sont passibles d’amendes pouvant atteindre 25 000 000 $ ou 4 % du chiffre d’affaires mondial de l’exercice précédent, selon le montant le plus élevé.
En prévision de l’entrée en vigueur prochaine du règlement, les organisations qui entendent utiliser des renseignements personnels anonymisés devraient désigner une personne compétente en la matière, définir les fins pour lesquelles elles entendent utiliser les renseignements anonymisés, effectuer des analyses préliminaires rigoureuses à l’aune des critères d’individualisation, de corrélation et d’inférence et évaluer le risque de réidentification.
Le Règlement sur l’anonymisation des renseignements personnels du Québec est entré en vigueur le 30 mai 2024, hormis l’obligation de consigner des renseignements spécifiques dans un registre qui entrera en vigueur le 1ᵉʳ janvier 2025.
Le groupe Protection de la vie privée et des données de McMillan peut aider votre organisation à comprendre et à respecter la législation québécoise en matière de protection des renseignements personnels. Communiquez avec nous dès aujourd’hui pour savoir comment nous pouvons vous aider à vous conformer au cadre juridique qui ne cesse d’évoluer!
par Alice Ahmad
Mise en garde
Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis. Il est préférable d’obtenir un avis juridique spécifique.
© McMillan S.E.N.C.R.L., s.r.l. 2024
Perspectives (5 Posts)Voir Plus
Introduction aux sites contaminés : comprendre les aspects clés pour assurer une gestion environnementale efficace
Nous vous invitons à assister, le jeudi 26 septembre, à un webinaire présenté par McMillan sur les aspects clés de la gestion des sites contaminés dans le contexte du droit de l’environnement au Canada.
Ce que les entreprises canadiennes doivent savoir sur les nouveaux droits de douane sur l’acier, l’aluminium et les véhicules électriques importés de Chine (ou : pourquoi vous pourriez payer une surtaxe sur votre prochain véhicule électrique)
Le 26 août 2024, le gouvernement du Canada a annoncé l’adoption de mesures commerciales visant les importations en provenance de Chine comme les véhicules électriques ainsi que l’acier et l’aluminium.
Les cinq principales mesures que vous n’appliquez probablement pas (mais que vous devriez) pour vous conformer aux lois canadiennes sur la protection de la vie privée – MESURE Nº 2 : évaluations des facteurs relatifs à la protection de la vie privée
Les évaluations des facteurs relatifs à la protection de la vie privée constituent un outil essentiel de conformité et de gouvernance qui aide les organisations à respecter les exigences applicables en matière de protection de la vie privée et des données
Tarifs douaniers, commerce et sécurité économique : aperçu de la dernière consultation du gouvernement du Canada
Le 9 août 2024, Affaires mondiales Canada a lancé un processus de consultation publique de 45 jours visant à protéger et à renforcer la sécurité économique du Canada.
Démystifier les politiques de protection des renseignements personnels : ce qu’elles ne sont pas; les idées reçues les plus répandues
Dans ce bulletin, nous expliquons ce qu’est une politique de protection des renseignements personnels en examinant ce qu’elle n’est pas.
Recevez des mises à jour directement dans votre boîte de réception. Vous pouvez vous désabonner en tout temps.