Le règlement du Québec sur l’anonymisation : un guide étape par étape pour les entreprises
Amir Kashdaran
2024-10-07 11:15:29
Quid du règlement sur l’anonymisation des renseignements personnels?
Depuis le 30 mai 2024, les organisations assujetties aux lois du Québec doivent se conformer au Règlement sur l’anonymisation des renseignements personnels (« Règlement du Québec sur l’anonymisation »). L’objectif principal dudit règlement est de fournir un cadre normalisé destiné à l’anonymisation des renseignements personnels.
Ce règlement a été adopté en application de l’article 23 de la Loi sur la protection des renseignements personnels dans le secteur public (« Loi du Québec sur la protection de la vie privée ») et de l’article 73 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (« Loi sur l’accès ») qui exigent que « (l)es renseignements anonymisés (…) doivent l’être selon les meilleures pratiques généralement reconnues et selon les critères et modalités déterminés par règlement ».
Ainsi, en vertu des lois du Québec sur la protection de la vie privée, les organisations doivent anonymiser les renseignements personnels conformément aux « meilleures pratiques généralement reconnues » et aux « critères et modalités déterminés par règlement ». En conséquence, le législateur québécois a adopté le Règlement du Québec sur l’anonymisation, qui établit les critères et les modalités que les organisations doivent respecter.
Nous vous présenterons dans le présent article un aperçu des exigences du Règlement du Québec sur l’anonymisation et un guide étape par étape sur l’anonymisation des renseignements personnels.
C’est parti!
1. Les exigences du Règlement du Québec sur l’anonymisation Il faut, pour se conformer au Règlement du Québec sur l’anonymisation, que les renseignements personnels soient anonymisés selon les critères qu’il énonce. Voici un résumé des exigences, étape par étape :
1.1. Étape 1 : Établissement des fins Avant d’entreprendre le processus d’anonymisation, les organisations doivent établir clairement les fins auxquelles elles entendent utiliser les renseignements anonymisés. Autrement dit, les entreprises doivent d’abord établir pourquoi elles ont besoin de renseignements anonymisés.
Ceci garantit que les fins auxquelles les organisations ont l’intention d’utiliser des renseignements anonymisés sont légitimes et que les organisations sont en mesure d’appliquer adéquatement les techniques d’anonymisation appropriées prévues par le Règlement du Québec sur l’anonymisation. Il convient de noter que si une organisation souhaite utiliser ses renseignements anonymisés à des fins autres que celles initialement déterminées lors de l’anonymisation des renseignements personnels, elle doit s’assurer que les nouvelles fins sont conformes aux exigences du Règlement du Québec sur l’anonymisation.
1.2. Étape 2 : Surveillance du processus d’anonymisation Le Règlement du Québec sur l’anonymisation exige que le processus d’anonymisation soit supervisé par une personne compétente en la matière. Cette exigence garantit qu’une technique d’anonymisation appropriée est utilisée, qu’une évaluation appropriée des risques liés à la réidentification est effectuée et que l’intégrité de l’ensemble du processus d’anonymisation est maintenue.
1.3. Étape 3 : Préparation des données initiales Au début du processus d’anonymisation, les organisations doivent retirer tous les renseignements personnels de leur ensemble de données. Autrement dit, tout renseignement qui pourrait permettre d’identifier une personne, directement ou indirectement, doit être retiré de l’ensemble de données.
1.4. Étape 4 : Analyse des risques de réidentification Une fois que l’ensemble de données est dépouillé de tous les renseignements personnels, les organisations doivent s’assurer que les personnes ne peuvent pas être réidentifiées en effectuant une analyse des risques de réidentification qui tient compte : du critère d’individualisation, du critère de corrélation et du critère d’inférence prévus par le Règlement du Québec sur l’anonymisation; d’autres renseignements disponibles, particulièrement dans l’espace public, qui pourraient servir à identifier une personne directement ou indirectement.
1.5. Étape 5 : Techniques d’anonymisation et mesures de sécurité En fonction des risques de réidentification ayant été déterminés, les organisations doivent établir et appliquer des techniques d’anonymisation appropriées qui sont conformes aux meilleures pratiques généralement reconnues. En outre, les organisations doivent mettre en œuvre des mesures raisonnables de protection des données et de sécurité afin de réduire tout risque de réidentification déterminé.
1.6. Étape 6 : Analyse des risques après l’anonymisation Une fois que l’organisation a mis en œuvre des techniques d’anonymisation et des mesures de sécurité appropriées, elle doit effectuer une nouvelle analyse du risque de réidentification.
Les résultats de cette nouvelle évaluation doivent démontrer qu’en tout temps (de manière raisonnablement prévisible dans les circonstances) : le processus d’anonymisation est irréversible; les renseignements anonymisés ne permettent plus d’identifier une personne, directement ou indirectement.
Le Règlement du Québec sur l’anonymisation n’exige pas qu’il y ait absence totale de risque de réidentification. Il exige toutefois que le « risque résiduel de réidentification » soit « très faible » compte tenu des paramètres suivants :
Les fins de l’anonymisation; La nature des renseignements; Les critères d’individualisation, de corrélation et d’inférence; Les risques posés par d’autres renseignements disponibles, notamment dans l’espace public; Les efforts et les ressources nécessaires pour réidentifier les renseignements personnels.
1.7. Étape 7 : Évaluation régulière Les organisations doivent réévaluer régulièrement leurs renseignements anonymisés pour s’assurer qu’ils le demeurent au fil du temps. Pour cela, elles doivent mettre à jour les analyses des risques de réidentification déjà effectuées et tenir compte des avancées technologiques qui pourraient accroître le risque de réidentification.
Toute évaluation régulière doit continuer de démontrer que le processus d’anonymisation demeure irréversible et que les renseignements anonymisés ne peuvent être utilisés pour réidentifier une personne.
Le Règlement du Québec sur l’anonymisation prévoit que les organisations doivent déterminer l’intervalle de réévaluation approprié en fonction des risques résiduels de réidentification déterminés lors de leur analyse desdits risques.
1.8. Étape 8 : Exigence en matière de tenue de registre À compter du 1ᵉʳ janvier 2025, les organisations devront tenir un registre qui contient : une description des renseignements personnels qui ont été anonymisés; les fins auxquelles les renseignements anonymisés seront utilisés; les techniques d’anonymisation et les mesures de sécurité établies; la date à laquelle l’analyse du risque de réidentification a été effectuée, ainsi que toute mise à jour.
2. Comprendre les critères d’anonymisation Le Règlement du Québec sur l’anonymisation énonce, tout particulièrement, trois critères d’anonymisation, soit : le critère de corrélation; le critère d’individualisation; le critère d’inférence. Examinons de plus près chacun de ces critères.
2.1. Le critère de corrélation
Le Règlement du Québec sur l’anonymisation définit le critère de corrélation comme étant « le fait de ne pas être en mesure de relier entre eux des ensembles de données qui concernent une même personne ».
Ce critère garantit qu’une fois les renseignements personnels anonymisés, il n’est plus possible de lier des ensembles de données différents qui concernent une même personne. En pratique, les organisations titulaires de plusieurs ensembles de données doivent s’abstenir de les faire concorder pour réidentifier une personne.
Autrement dit, ce critère empêche la réidentification d’une personne au moyen d’une combinaison de renseignements provenant de sources différentes.
2.2. Le critère d’individualisation Le Règlement du Québec sur l’anonymisation définit le critère d’individualisation comme étant « le fait de ne pas être en mesure d’isoler ou de distinguer une personne dans un ensemble de données ». Le critère d’individualisation est conçu pour empêcher qu’une personne soit ciblée ou qu’elle se distingue au sein d’un ensemble de données.
Même si un ensemble de données ne contient que des renseignements anonymisés, il doit être suffisamment généralisé afin qu’aucune personne en particulier ne puisse y être isolée. Cela permet d’éviter que l’identité d’une personne puisse être déduite en identifiant des caractéristiques ou des tendances uniques dans un même ensemble de données.
2.3. Le critère d’inférence Le Règlement du Québec sur l’anonymisation définit le critère d’inférence comme étant « le fait de ne pas être en mesure de déduire des renseignements personnels à partir d’autres renseignements disponibles ».
Le critère d’inférence vise à empêcher que l’identité d’une personne soit déduite à partir de renseignements anonymisés en les analysant conjointement avec d’autres renseignements disponibles. Il est possible qu’un ensemble de données en particulier ne permette pas d’identifier une personne.
Toutefois, ce critère garantit qu’il n’est pas possible d’inférer des renseignements personnels en rassemblant des renseignements provenant d’autres sources, comme l’espace public. L’objectif de ce critère est de faire en sorte que les organisations évaluent le risque possible de réidentification en se fondant sur l’inférence possible tirée de renseignements raisonnablement disponibles d’autres sources permettant d’identifier une personne.
A. L’influence européenne sur les critères d’anonymisation du Québec
Le Règlement du Québec sur l’anonymisation s’inspire largement des développements européens au fil des ans. Plus précisément, l’avis 5/2014 sur les techniques d’anonymisation du groupe de travail institué par l’article 29 sur la protection des personnes à l’égard du traitement des données à caractère personnel constitue une source fondamentale pour l’interprétation possible du Règlement du Québec sur l’anonymisation.
L’avis précité précise les limites et l’efficacité des différentes méthodes d’anonymisation, en soulignant les risques de réidentification. Les principaux critères d’anonymisation européens y étant présentés s’harmonisent étroitement avec la réglementation québécoise :
L’individualisation (semblable au critère d’individualisation au Québec) : Garantir que les dossiers individuels ne puissent être individualisés au sein d’un ensemble de données;
La corrélation (semblable au critère de corrélation au Québec) : Empêcher l’établissement de liens dans les dossiers d’une seule personne entre divers ensembles de données;
L’inférence (identique au critère d’inférence au Québec) : Réduire la probabilité que des renseignements personnels soient déduits à partir de données anonymisées.
3. Conclusion
Le Règlement du Québec sur l’anonymisation représente un important progrès pour protéger les renseignements personnels d’une manière qui s’harmonise avec les normes mondiales en matière de protection de la vie privée. Les organisations sont en mesure de réduire au minimum le risque de réidentification si elles respectent les critères et processus d’anonymisation définis dans le Règlement du Québec sur l’anonymisation.
Le Règlement du Québec sur l’anonymisation fournit non seulement une feuille de route en matière de conformité, mais il encourage également les organisations à adopter les meilleures pratiques en matière de gestion des données. Les organisations ont l’obligation de demeurer proactives, d’évaluer continuellement leurs besoins et leurs méthodes en matière d’anonymisation et d’assurer le respect des exigences de la loi du Québec en matière de protection de la vie privée.
À propos de l’auteur
Amir Kashdaran, associé chez McMillan, possède plus de 17 ans d’expérience et offre une gamme complète de services-conseils juridiques à des sociétés nationales et internationales, et ce, dans divers domaines, dont : technologies, propriété intellectuelle, vie privée et protection des données, ainsi que droit commercial.
