Chronique
Bulletin Vos Affaires
L’alternative à la destruction définitive des renseignements personnels : l’anonymisation
2024-01-19
Droit à la vie privée
A-no-ny-mi-sa-tion… On préfère une énonciation syllabique afin de prononcer correctement ce nouveau terme, mais que signifie vraiment le concept d’anonymisation des renseignements personnels ?
A l’instar d’autres législations protectrices des renseignements personnels qui déploient des stratégies de protection des renseignements personnels à l’aide de mesures similaires, la Loi 25 qui modernise des dispositions législatives en matière de protection des renseignements personnels a intégré une nouvelle disposition dans la Loi sur la Protection des Renseignements Personnels dans le Secteur Privé (LPRPSP)1.
Cet article 23 de la LPRPSP prévoit une alternative au principe de destruction définitive des renseignements personnels une fois la finalité pour laquelle ils ont été collectés est accomplie :
La LPRPSP définit le concept d’anonymisation comme un processus empêchant d’identifier directement ou indirectement la personne concernée de façon irréversible.
La loi requiert également un encadrement quant à l’utilisation de l’anonymisation et dispose que le recours à un tel processus doit s’astreindre à des fins sérieuses et légitimes.
Jusqu’à présent, il n’était pas possible d’avoir recours à une telle alternative à la destruction car le règlement du gouvernement ayant pour objet d’encadrer le processus d’anonymisation (critères et modalités) n’était pas disponible.
C’est ainsi que le 20 décembre dernier, le tant attendu Projet de règlement sur l’anonymisation des renseignements personnels a été publié à la gazette officielle du Québec2.
Ce règlement, qui entrera en vigueur le 3 février 2024, offrira donc aux entreprises qui le souhaitent la possibilité de recourir à l’anonymisation sous réserve des critères et modalités qui suivent.
L’objectif annoncé du Projet de règlement est de garantir un processus rigoureux d’anonymisation et diminuer ainsi les risques de réidentification aux fins de protéger adéquatement la vie privée des personnes concernées.
Avant tout le règlement rappelle que l’utilisation de renseignements anonymisés sont autorisés pour des fins sérieuses et légitimes (soit à des fins de recherche, de statistiques, etc.)
La réalisation doit se faire sous la supervision d’une personne compétente en la matière. À cet égard, on pense bien entendu à notre Responsable de la protection des renseignements personnels (RPRP) qui a la charge du respect et de la mise en œuvre de la LPRPSP au sein de l’organisation. 3
Le processus d’anonymisation décrit est le suivant :
1 - Retirer tous les renseignements personnels permettant d’identifier directement la personne dont on veut anonymiser le renseignement (nom, prénom, adresse etc.;)
2 - Procéder à l’analyse préliminaire des risques de réidentification sur la base notamment de quatre (4) critères :
- Individualisation : le fait de ne pas être en mesure d’isoler ou de distinguer une personne dans un ensemble de données;
- Corrélation : le fait de ne pas être en mesure de relier entre eux des ensembles de données qui concernent une même personne;
- Inférence : le fait de ne pas être en mesure de déduire des renseignements personnels à partir d’autres renseignements disponibles;
- Disponibilité : le fait de ne pas avoir accès à d’autres renseignements sur la personne concernée permettant de l’identifier directement ou indirectement (notamment dans l’espace public).
3 - Selon les résultats de l’analyse menée (2) et les risques de réidentification déterminés, l’organisation doit :
- Établir des techniques d’anonymisation; (selon les meilleures pratiques généralement reconnues)
- Établir des mesures de protection et de sécurité pour diminuer les risques de réidentification (ex. : accès limité aux renseignements anonymisés);
4 - Analyse des risques de réidentification après implantation des mesures (3)
Résultats de l’analyse = il est en tout temps raisonnable de prévoir dans les circonstances que les renseignements produits à la suite du processus d’anonymisation ne permettent plus de façon irréversible d’identifier directement ou indirectement une personne. (renvoi à la définition, article 23 al.2 LPRPSP)
Il est précisé au Projet de règlement qu’il ne s’agit pas d’une obligation de résultat (risque nul) mais de démontrer que le risque résiduel de réidentification est très faible en tenant compte des éléments suivants :
- Circonstances de l’anonymisation, notamment les fins sérieuses et légitimes;
- Nature des renseignements personnels (identification, coordonnées, médicaux, biométriques, bancaires etc…);
- Critères d’individualisation, de corrélation et d’inférence;
- Risques de disponibilité d’autres renseignements concernant la personne concernée dans l’espace public permettant de l’identifier directement ou indirectement;
- Moyens nécessaires pour réidentifier les personnes concernées (efforts, ressources, savoir-faire requis)
5 - Évaluation régulière de l’anonymisation des renseignements personnels pour s’assurer qu’ils demeurent anonymisés.
Il s’agit de la mise à jour de l’analyse des risques de réidentification (4) en considérant notamment les avancées technologiques permettant de contribuer à la réidentification d’une personne.
Les résultats des analyses subséquentes doivent être conformes au résultat de l’analyse initiale (4); à défaut, les renseignements ne seront plus considérés comme anonymisés.
6 - Tenue d’un registre
L’organisation qui procède à l’anonymisation des renseignements doit tenir un registre comportant les renseignements suivants :
- Description des renseignements personnels anonymisés;
- Les fins pour lesquelles elle entend utiliser les renseignements personnels anonymisés;
- Techniques d’anonymisation utilisées;
- Mesures de protection et de sécurité établies;
- Synthèses de l’analyse des risques de réidentification initiale et de ses mises à jour subséquentes dates de réalisation;
Dès l’entrée en vigueur du Projet de règlement sur l’anonymisation des renseignements personnels, les organisations pourront donc anonymiser leurs renseignements personnels dans le respect du cadre strictement défini.
Ce processus rigoureux qui permet de diminuer de manière importante les risques de réidentification liés à l’anonymisation doit garantir aux personnes concernées que leur vie privée est adéquatement protégée.
Les organisations, qui feront le choix de l’anonymisation (à des fins sérieuses et légitimes) plutôt que la destruction, devront assumer certains coûts pour suivre scrupuleusement le processus prescrit.
Aussi, et tel que le prévoit le Projet de règlement, une évaluation régulière (5) devra être effectuée par l’organisation pour s’assurer que les renseignements personnels concernés demeureront anonymisés, notamment en lien avec les avancées technologiques.
La possibilité de recourir à l’anonymisation laisse entrevoir de belles opportunités pour mener des études diverses à des fins sérieuses et légitimes. Toutefois, considérant les contraintes et les coûts inhérentes à ce processus, on peut légitimement se poser la question de sa fiabilité compte tenu de la révolution technologique dans laquelle nous évoluons et des avancées actuelles et futures à anticiper, notamment avec l’intelligence artificielle générative...
Notre équipe est disponible pour vous aider et répondre à vos questions.
N’hésitez pas à nous contacter !
.jpg)
Notre Infolettre
Joignez-vous à notre infolettre et demeurez à l'affût de nos nouvelles, nos événements et nos chroniques.
Vos droits, c'est notre affaire
