Le 15 mai 2024, le gouvernement du Québec a publié la version définitive du Règlement sur l’anonymisation des renseignements personnels (le « Règlement sur l’anonymisation »), qui établit les exigences auxquelles les organisations assujetties à la législation québécoise sur la protection des renseignements personnels dans le secteur privé doivent se conformer lorsqu’elles anonymisent des renseignements personnels.
Contexte
Le Règlement sur l’anonymisation s’appuie sur de vastes modifications apportées à la Loi sur la protection des renseignements personnels dans le secteur privé (la « LPRPSP ») en vigueur au Québec, lesquelles ont été adoptées dans le cadre de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (présentée, quant à elle, dans le projet de loi no 64 et sanctionnée sous la forme de la Loi 25), et dont la plupart sont entrées en vigueur en septembre 2023. Pour en savoir davantage sur les nouvelles exigences établies dans la LPRPSP, en sa version modifiée, consultez notre Bulletin Blakes intitulé Nouvelles obligations en matière de protection des renseignements personnels au Québec : votre organisation est-elle prête?
Par suite de ces modifications, l’article 23 de la LPRPSP impose des exigences précises concernant la destruction ou l’anonymisation des renseignements personnels recueillis ou utilisés par une organisation :
23. Lorsque les fins auxquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, la personne qui exploite une entreprise doit le détruire ou l’anonymiser pour l’utiliser à des fins sérieuses et légitimes, sous réserve d’un délai de conservation prévu par une loi.
Pour l’application de la [LPRPSP], un renseignement concernant une personne physique est anonymisé lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne.
Les renseignements anonymisés en vertu de la [LPRPSP] doivent l’être selon les meilleures pratiques généralement reconnues et selon les critères et modalités déterminés par règlement.
(L’italique est ajouté.)
En d’autres mots, une fois les fins pour lesquelles les renseignements personnels ont été recueillis ou utilisés sont atteintes, la LPRPSP offre deux choix aux organisations : soit détruire les renseignements personnels soit les rendre anonymes pour les utiliser uniquement « à des fins sérieuses et légitimes ». Or, en l’absence de règlements pour donner davantage de précisions, la façon dont les renseignements personnels peuvent être anonymisés d’une manière qui est conforme à la LPRPSP est peu claire, cette dernière stipulant seulement que l’anonymisation doit être conforme à la fois aux « meilleures pratiques généralement reconnues » et aux « critères et modalités déterminés par règlement ». Qui plus est, la Commission d’accès à l’information du Québec (la « Commission »), soit l’organisme de réglementation en matière de protection de la vie privée au Québec, a publié des observations selon lesquelles les organisations ne seraient pas en mesure d’anonymiser les renseignements personnels avant l’entrée en vigueur de règlements connexes et que l’anonymisation était presque impossible en raison des avancées technologiques.
Le Règlement sur l’anonymisation vient donc fournir un cadre plus clair aux organisations pour ce qui est d’anonymiser les renseignements personnels d’une manière conforme à la LPRPSP.
Processus d’anonymisation
Le Règlement sur l’anonymisation prévoit un processus qui oblige les organisations à prendre plusieurs mesures avant, pendant et après l’anonymisation des renseignements personnels. Le processus, qui est résumé ci-après, est fondé sur l’analyse des risques de réidentification selon trois critères : 1) la corrélation, c’est-à-dire le fait de ne pas être en mesure de relier entre eux des ensembles de données qui concernent une même personne; 2) l’individualisation, c’est-à-dire le fait de ne pas être en mesure d’isoler ou de distinguer une personne dans un ensemble de données; et 3) l’inférence, c’est-à-dire le fait de ne pas être en mesure de déduire des renseignements personnels à partir d’autres renseignements disponibles.
- Avant : Avant d’anonymiser des renseignements personnels, une organisation doit établir les fins pour lesquelles elle entend utiliser les renseignements anonymisés, lesquelles fins doivent être conformes à la LPRPSP.
- Pendant : Au début d’un processus d’anonymisation, une organisation doit retirer tous les renseignements personnels qui permettent d’identifier directement la personne concernée des renseignements qu’elle entend anonymiser.
L’organisation doit ensuite effectuer une analyse préliminaire des risques de réidentification en considérant notamment le critère d’individualisation, le critère de corrélation et le critère d’inférence. En s’appuyant sur cette analyse, l’organisation doit établir les techniques d’anonymisation à utiliser, lesquelles doivent être conformes aux meilleures pratiques généralement reconnues. Elle doit également établir des mesures de protection et de sécurité pour diminuer les risques de réidentification.
Après avoir mis en œuvre les techniques d’anonymisation, l’organisation doit effectuer une analyse des risques de réidentification; les résultats de l’analyse devant démontrer qu’il est, en tout temps, raisonnable de prévoir dans les circonstances que les renseignements produits à la suite d’un processus d’anonymisation ne permettent plus, de façon irréversible, d’identifier directement ou indirectement une personne. Bien qu’il ne soit pas nécessaire de démontrer qu’il n’existe aucun risque de réidentification, les risques doivent être « très faibles », compte tenu de certains éléments prescrits, dont les circonstances liées à l’anonymisation des renseignements personnels (en particulier, les fins pour lesquelles elle entend utiliser les renseignements anonymisés), la nature des renseignements ainsi que les critères d’individualisation, de corrélation et d’inférence.
- Après : Une organisation doit régulièrement évaluer les renseignements qu’elle a anonymisés afin de s’assurer qu’ils le demeurent. L’organisation doit également consigner dans un registre certains renseignements prescrits.
Prochaines étapes
Le Règlement sur l’anonymisation entre en vigueur le 30 mai 2024, sauf en ce qui concerne l’obligation de consigner certains renseignements prescrits dans un registre, qui entre en vigueur le 1er janvier 2025. Il fournit un cadre plus clair pour l’anonymisation des renseignements personnels que ce qui est énoncé dans la LPRPSP et dans les lignes directrices antérieures de la Commission. Il convient de souligner qu’il impose en revanche un certain nombre d’exigences en matière de conformité et de tenue de dossiers aux organisations faisant affaire au Québec.
Les organisations qui envisagent d’anonymiser, plutôt que de détruire, des renseignements personnels qui ne sont plus nécessaires devraient passer en revue l’ensemble de leurs pratiques en ce qui a trait au traitement des renseignements personnels et envisager d’établir, de mettre à jour et de mettre en œuvre des politiques et des procédures qui tiennent compte de ces nouvelles exigences.
Pour en savoir davantage, communiquez avec :
ou un autre membre de notre groupe Protection de la vie privée et des données.
Ressources connexes
Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet. Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.
Pour obtenir l'autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l'adresse [email protected].
© 2024 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.