une main qui tient une guitare

Perspectives

Entrée en vigueur du nouveau règlement sur l’anonymisation des renseignements personnels : Que faut-il retenir?

Le 15 mai 2024, le gouvernement du Québec a édicté un nouveau Règlement sur l’anonymisation des renseignements personnels (le « Règlement »). Ce règlement vient préciser les critères et les modalités du processus d’anonymisation des renseignements personnels au Québec. Il s’agit du premier texte réglementaire à venir encadrer l’anonymisation de renseignements personnels au Canada. 

Contexte

Depuis l’entrée en vigueur de la Loi 25, tant la Loi sur la protection des renseignements personnels dans le secteur privé (« LPRPSP ») que la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (« Loi sur l’accès ») autorisent les organisations à anonymiser des renseignements personnels lorsque les fins pour lesquelles ils ont été recueillis ou utilisés sont accomplies.

En vertu de cette disposition, les organisations doivent anonymiser les renseignements suivant les « meilleures pratiques généralement reconnues » et « selon les critères et modalités déterminés par règlement ». Un renseignement est considéré anonymisé lorsqu’il est « en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement » une personne.

Jusqu’à la publication récente du Règlement, des incertitudes persistaient quant aux « critères et modalités » devant être observés par les organisations lorsqu’elles souhaitent anonymiser des renseignements personnels. Particulièrement, la Commission d’accès à l’information (CAI) avait indiqué sur son site Web que les organisations ne pouvaient anonymiser des renseignements personnels en l’absence de règlement du gouvernement. La publication du Règlement met donc fin à plusieurs incertitudes1.

Qui doit respecter le Règlement?

Tant les entreprises assujetties à la LPRPSP que les organismes publics assujettis à la Loi sur l’accès doivent respecter le Règlement. Les ordres professionnels sont également tenus de le respecter dans la mesure prévue par le Code des professions. Le Règlement emploie le terme « organisation » pour désigner l’ensemble des entités devant s’y conformer.

Quelle est sa date d’entrée en vigueur?

Le Règlement entre en vigueur le 30 mai 2024, à l’exception de l’article 9, portant sur l’obligation de consigner certaines informations dans un registre, qui entrera en vigueur le 1er janvier 2025.

Contenu du Règlement

Voici un résumé des nouvelles exigences introduites par le Règlement afin d’encadrer le processus d’anonymisation. Les passages en italique désignent les nouveautés introduites depuis le projet de Règlement soumis en décembre 2023.

Période cible

Exigence

Description de l’exigence

Avant un processus d’anonymisation

Détermination des fins d’utilisation des renseignements anonymisés (art. 3) 

Avant d’amorcer un processus d’anonymisation, l’organisation doit définir les fins pour lesquelles elle entend utiliser les renseignements anonymisés.

💡 Une entreprise doit s’assurer que ces fins soient « sérieuses et légitimes » alors qu’un organisme public doit veiller à ce que les renseignements anonymisés soient utilisés à des « fins d’intérêt public ». Le Règlement n’apporte pas de clarification sur la portée de ces notions.

Processus d’anonymisation

En tout temps lors du processus d’anonymisation

Supervision du processus par une personne compétente en la matière (art. 4)

L’organisation doit s’assurer que l’anonymisation est réalisée sous la supervision d’une personne compétente.

💡 Pour se conformer à cette disposition, une organisation devrait sélectionner un professionnel qualifié en anonymisation et en protection des renseignements personnels pour superviser le processus. Lorsque le personnel d’une organisation ne possède pas l’expertise requise pour superviser un tel processus, elle devrait faire appel aux services d’un fournisseur externe qui est qualifié en la matière.

Au début du processus d’anonymisation

Retrait des renseignements personnels qui permettent d’identifier directement les personnes concernées (art. 5)

L’organisation doit retirer tous les renseignements personnels qui permettent d’identifier directement la personne concernée (ex. : nom, numéro d’assurance sociale, identifiant unique) des renseignements qu’elle entend anonymiser.

💡 Les renseignements qui ne permettent plus d’identifier directement une personne sont considérés comme des renseignements dépersonnalisés au sens de LPRPSP et de la Loi sur l’accès.

Analyse préliminaire des risques de réidentification (art. 5 al 2)

L’organisation doit par la suite effectuer une analyse préliminaire des risques de réidentification en considérant notamment :

  1. Le critère d’individualisation, soit le fait de ne pas être en mesure d’isoler ou de distinguer une personne dans un ensemble de données;
  2. Le critère de corrélation, c.-à-d. le fait de ne pas être en mesure de relier entre eux des ensembles de données qui concernent une même personne;
  3. Le critère d’inférence, soit le fait de ne pas être en mesure de déduire des renseignements personnels à partir d’autres renseignements disponibles;
  4. Les risques que d’autres renseignements raisonnablement disponibles, notamment dans l’espace public, soient utilisés pour identifier directement ou indirectement une personne.

Le terme « raisonnablement » a été ajouté à l’article 5 depuis la publication du Projet de règlement.

💡 Les critères d’individualisation, de corrélation et d’inférences se rapprochent des critères employés par les autorités européennes de protection des données, notamment la CNIL en France. Les ressources publiées par ces autorités peuvent fournir des pistes d'interprétation en l’absence d’une publication formelle par la CAI.

Établir les techniques d’anonymisation à utiliser (art. 6)

En fonction des risques de réidentification identifiés, l’organisation doit établir les techniques d’anonymisation à utiliser, lesquelles doivent être conformes aux meilleures pratiques généralement reconnues.

💡 Techniques d’anonymisation : Les autorités européennes de protection des données distinguent deux grandes familles de techniques d’anonymisation, soit la randomisation et la généralisation. Le Règlement invite donc les organisations à identifier les techniques appropriées issues de ces deux approches afin de protéger son ensemble de données face aux risques d’individualisation, de corrélation et d’inférence. 

💡 Meilleures pratiques généralement reconnues : À l’heure actuelle, la notion de « meilleures pratiques généralement reconnues » n’est pas clairement définie. Ainsi, par précaution, les organisations peuvent se référer aux pratiques qui sont internationalement reconnues pour anonymiser les renseignements personnels. Par exemple, la norme ISO/IEC 27559:2022.

Établir des mesures de protection et de sécurité raisonnables pour diminuer les risques de réidentification (art. 6)

L’organisation doit aussi établir des mesures de protection et de sécurité raisonnables pour diminuer les risques de réidentification.

Le terme « raisonnables » a été ajouté à l’article 5 depuis la publication du Projet de règlement.

💡 À noter que cette disposition fait écho à l’obligation prévue dans la LPRPSP et la Loi sur l'accès à l'accès pour les organisations qui utilisent des renseignements dépersonnalisés de prendre des mesures raisonnables pour limiter les risques que quiconque procède à l’identification d’une personne physique à partir de ces renseignements.

Mise en œuvre des techniques d’anonymisation et des mesures de sécurité

Après la mise en œuvre des techniques d’anonymisation

Analyse des risques de réidentification (art. 7)

Après avoir mis en œuvre les techniques d’anonymisation et les mesures de sécurité, l’organisation doit effectuer une analyse des risques de réidentification de son ensemble de données. 

Éléments à considérer :
L’organisation doit considérer les éléments suivants lors de l’analyse :

  • Les circonstances liées à l’anonymisation des renseignements personnels, incluant les fins pour lesquelles l’organisation entend utiliser les renseignements anonymisés
  • La nature des renseignements
  • Le critère d’individualisation, le critère de corrélation et le critère d’inférence
  • Les risques que d’autres renseignements raisonnablement disponibles, notamment dans l’espace public, soient utilisés pour identifier directement ou indirectement une personne

    Le terme raisonnablement a également été ajouté à ce paragraphe, tout comme à l’article 5.

  • Les moyens nécessaires pour réidentifier les personnes, notamment en considérant les efforts, les ressources et le savoir-faire requis pour mettre en œuvre ces moyens. 

Résultats de l’analyse :

Les résultats de l’analyse doivent démontrer qu’il est « en tout temps, raisonnable de prévoir dans les circonstances que les renseignements produits à la suite d’un processus d’anonymisation ne permettent plus, de façon irréversible, d’identifier directement ou indirectement une personne. » Le Règlement précise que ce critère n’exige pas la démonstration d’un risque nul. Cependant, les résultats de l’analyse doivent démontrer, en tenant compte notamment des éléments ci-dessus, que les risques résiduels de réidentification sont très faibles.

La notion de risque résiduel a été mise au pluriel depuis la publication du Projet de règlement

💡 Toujours dans l’attente d’une publication de la CAI sur l’anonymisation, nous sommes d’avis que les organisations peuvent s’inspirer de la méthode décrite par le Commissaire à l’information et à la protection de la vie privée de l’Ontario pour évaluer de façon quantitative les risques de réidentification.

À la fin du processus d’anonymisation et après

Évaluation périodique des renseignements anonymisés (art. 8)

L’organisation doit périodiquement évaluer les renseignements qu’elle a anonymisés afin de s’assurer qu’ils le demeurent.

✍ Le terme « périodiquement » remplace celui de « régulièrement » qui était prévu dans le Projet de règlement.  Le troisième alinéa qui a été rajouté à l’article 8 fournit des précisions utiles sur la périodicité des évaluations qui est exigée.

L’organisation doit mettre à jour la dernière analyse des risques de réidentification qu’elle a effectués. Cette mise à jour doit considérer les avancées technologiques qui peuvent contribuer à réidentifier une personne.

Les résultats de la mise à jour de cette analyse doivent démontrer que les renseignements demeurent anonymisés conformément au critère prévu au deuxième alinéa de l’article 7 du Règlement. Dans la négative, les renseignements ne sont alors plus considérés comme anonymisés.

La périodicité à laquelle une organisation doit évaluer les renseignements qu’elle a anonymisés est déterminée en fonction des risques résiduels identifiés lors de la dernière analyse des risques de réidentification effectuée. 

Ce dernier paragraphe a été ajouté dans la version finale du Règlement.

 

Tenue d’un registre portant sur l’anonymisation (art. 9)

Cette exigence devra être respectée à partir du 1er janvier 2025

Finalement, l’organisation qui anonymise des renseignements personnels doit consigner les informations suivantes dans un registre:

  1. Une description des renseignements personnels qui ont été anonymisés;
  2. Les fins pour lesquelles elle entend utiliser ces renseignements anonymisés.
  3. Les techniques d’anonymisation utilisées et les mesures de protection et de sécurité établies.
  4. La date à laquelle l’analyse des risques de réidentification a été complétée ainsi que toute date à laquelle sa mise à jour a été effectuée. 

💡 En pratique, l’organisation devrait désigner une personne responsable pour assurer la tenue du registre. Le registre devrait être conservé aussi longtemps que requis pour démontrer la conformité de l’organisation.

Pistes de conformité

Le principal constat qui émerge d’une lecture attentive du Règlement est que l’anonymisation des renseignements personnels au Québec est un processus rigoureux qui requiert que les organisations y consacrent le temps et les ressources nécessaires. En ce sens, nous sommes d’avis que les organisations souhaitant anonymiser des renseignements personnels peuvent mettre en branle les étapes suivantes dès maintenant :

  • Impliquer vos équipes responsables des TI, de la gestion documentaire, de la conformité et le département juridique dans le projet d’anonymisation;
  • Évaluer si votre organisation bénéficierait d’une expertise externe en matière d’anonymisation;
  • Cartographier vos répertoires existants de données anonymisées afin d’évaluer s’ils respectent le Règlement;
  • Formaliser votre processus d’anonymisation dans un document normatif interne, adapté à la réalité opérationnelle de vos équipes.

Communiquez avec nous

Le groupe Cybersécurité, respect de la vie privée et protection des renseignements personnels de BLG suit de près les développements susceptibles d’éclairer les organisations sur les exigences des lois de protection des données au Canada. N’hésitez pas à communiquer avec notre équipe si votre organisation souhaite être accompagnée dans la mise en place des mesures de conformité requises pour encadrer un processus d’anonymisation.

Personnes contacts

  • Frédéric Wilson

    Frédéric Wilson

    Coresponsable national, Respect de la vie privée

    Montréal
    [email protected]
    514.954.2509

    Frédéric Wilson

    Coresponsable national, Respect de la vie privée

    Services
    • Cybersécurité, respect de la vie privée et protection des renseignements personnels
    • Conformité à la législation sur le respect de la vie privée et la protection des renseignements personnels
    • Enquêtes des organismes de réglementation en matière de protection de la vie privée
    • Protection de la vie privée et atteintes à la sécurité
    • Technologies de l’information

    • Voir la biographie
    Voir la biographie
  • Patrick Laverty-Lavoie

    Patrick Laverty-Lavoie

    Avocat principal

    Montréal
    [email protected]
    514.395.3887

    Patrick Laverty-Lavoie

    Avocat principal

    Services
    • Conformité à la législation sur le respect de la vie privée et la protection des renseignements personnels
    • Mappage des données et analyse des lacunes
    • Protection de la vie privée et atteintes à la sécurité
    • Évaluations des facteurs relatifs à la vie privée (EFVP)
    • Enquêtes des organismes de réglementation en matière de protection de la vie privée

    • Voir la biographie
    Voir la biographie
  • Simon Du Perron

    Simon Du Perron

    Avocat

    Montréal
    [email protected]
    514.954.2542

    Simon Du Perron

    Avocat

    Services
    • Cybersécurité, respect de la vie privée et protection des renseignements personnels
    • Technologies de l’information
    • Technologies
    • Publicité et marketing
    • Artificial Intelligence (AI)
    Voir la biographie
  • Élisabeth Lesage-Bigras

    Élisabeth Lesage-Bigras

    Avocate

    Montréal
    [email protected]
    514.395.2749

    Élisabeth Lesage-Bigras

    Avocate

    Services
    • Technologies de l’information
    • Cybersécurité, respect de la vie privée et protection des renseignements personnels
    • Biens de consommation
    • Publicité et marketing
    • Propriété intellectuelle
    Voir la biographie