La Commission d’accès à l’information du Québec se positionne sur l’anonymisation

En considération de l’entrée en vigueur de plusieurs dispositions de la Loi 25 qui vise à moderniser la protection des renseignements personnels, dont des dispositions sur l’anonymisation de ces renseignements lorsque les fins pour lesquelles ils ont été récoltés sont accomplies, la Commission d’accès à l’information du Québec (CAI) a émis des réserves quant aux standards permettant l’anonymisation des renseignements personnels et à l’usage de cette pratique. Elle réitère que le gouvernement devra adopter un règlement pour circonscrire les critères et modalités de l’anonymisation. Dans l’attente d’un tel règlement, la CAI spécifie qu’il n’est pas envisageable pour les organismes publics et les entreprises d’anonymiser des renseignements personnels. Une telle position de la part de la CAI pourrait avoir des impacts sur la gestion des renseignements personnels par les organismes publics et les entreprises.

Ce que vous devez savoir

• La Loi 25 introduit l’anonymisation dans le régime législatif québécois. L’anonymisation est un procédé nouvellement apporté dans le régime législatif québécois par la Loi 25 qui permet aux organismes publics et aux entreprises, dans certaines situations, de manipuler les renseignements personnels afin de retirer tout identifiant permettant une identification directe ou indirecte, de façon à conserver l’information au lieu de la détruire une fois les finalités accomplies.
• La position de la CAI sur l’anonymisation crée une incertitude. La réticence de la CAI sur les standards nécessaires pour arriver à une anonymisation complète des renseignements personnels place les organismes publics et les entreprises dans l’incertitude sur les bonnes pratiques à adopter en matière d’anonymisation.
• L’incertitude pourrait avoir un impact sur le secteur. L’incertitude pourrait avoir des retentissements sur les façons de procéder dans l’industrie, y compris sur la mise en place de divers processus et politiques portant sur les renseignements personnels, de même que sur les clauses contractuelles négociées dans le cadre d’entente impliquant un partage de données.
• Le gouvernement doit établir des normes en matière d’anonymisation. Le gouvernement devra adopter un règlement afin de baliser les normes de l’industrie en matière d’anonymisation.
• Les organisations devraient mettre à jour leurs procédures. Ainsi, en attendant de nouvelles indications réglementaires de la part du gouvernement, les organismes publics et entreprises devraient mettre à jour leurs procédures en matière de rétention et de destruction de renseignements personnels et considérer éviter, à l’heure actuelle, de s’appuyer sur des processus d’anonymisation pour justifier l’utilisation, la communication ou la conservation de données.

La conservation et la destruction des renseignements personnels

Au Québec, les lois en matière de protection des renseignements personnels¹ prévoient que les organismes publics et les entreprises en possession de renseignements personnels sont responsables de prendre les mesures appropriées pour assurer la protection de ce type de renseignement, et ce du moment où ils sont collectés jusqu’à leur destruction².

Ainsi, une fois que les fins pour lesquelles des renseignements personnels ont été utilisés sont réalisées, les organismes publics et les entreprises sont dans l’obligation de détruire ces renseignements³. Toutefois, les renseignements personnels peuvent être conservés si la loi prévoit un délai de conservation précis ou si un règlement du gouvernement prévoit un calendrier de conservation⁴. À cet effet, on peut prendre en exemple les lois fiscales qui prévoient des délais de conservation allongés.

Alternative à la destruction des renseignements personnels : l’anonymisation

Loi 25

La loi 25 apporte une alternative à la destruction des renseignements personnels, soit l’anonymisation⁵. Les règles entourant l’anonymisation sont entrées en vigueur le 22 septembre 2023. Ainsi, une fois que la finalité pour laquelle les renseignements personnels ont été collectés est accomplie, les entreprises pourraient, en théorie, conserver des renseignements personnels anonymisés dans le but de les utiliser à des fins sérieuses et légitimes et les organismes publics à des fins d’intérêt public.

Différence entre la dépersonnalisation et l’anonymisation

La loi 25 différencie la dépersonnalisation de l’anonymisation. La dépersonnalisation consiste en l’utilisation d’une méthode qui permet à ce qu’un renseignement personnel ne puisse plus directement identifier une personne concernée⁶. Quant à elle, l’anonymisation consiste en l’utilisation d’un procédé permettant à ce qu’un renseignement personnel ne puisse plus identifier une personne concernée directement ou indirectement, et ce de façon irréversible⁷.

Conséquemment, même si la Loi 25 élargit les possibilités de conservation des renseignements personnels en permettant dans certains cas l’anonymisation au lieu de la destruction, elle établit tout de même de hauts standards pour atteindre une anonymisation complète de ces renseignements.

Position de la Commission d’accès à l’information du Québec sur l’anonymisation

Dans un récent communiqué⁸, la CAI, l’organisme de surveillance qui promeut la protection des renseignements personnels, a précisé que l’anonymisation des renseignements personnels doit se faire selon les meilleures pratiques généralement reconnues et selon les modalités à être déterminées par règlement du gouvernement. La CAI émet également des doutes sur les standards requis pour qu’un renseignement personnel ne puisse plus identifier une personne concernée de façon irréversible. Par conséquent, bien que la Loi 25 définisse ce qu’est l’anonymisation, un règlement du gouvernement devra, selon elle, être adopté afin de venir clarifier la situation à ce sujet et délimiter comment les organismes publics et les entreprises peuvent réellement anonymiser des renseignements personnels. En attendant des indications de la part du gouvernement à cet effet, la position de la CAI est à l’effet qu’il n’est pas possible d’anonymiser des renseignements personnels de manière efficace.

Processus d’anonymisation et de dépersonnalisation existants dans l’industrie

Alors que certaines études soutiennent qu’il est en pratique impossible de rendre une donnée entièrement anonyme, plusieurs standards sont actuellement reconnus et utilisés sur le marché pour anonymiser ou dépersonnaliser des renseignements personnels. Ce qui complique encore les choses, c’est que les termes « anonymisation » et « dépersonnalisation » n’y sont pas définis de manière uniforme, ce qui rend ces normes difficiles à appliquer dans le cadre d’anonymisation prescrit par la Loi 25.

À titre illustratif, aux États-Unis, le Office for Civil Rights a développé des lignes directrices visant un processus d’anonymisation conforme aux règles en matière de vie privée énoncées au Health Insurance Portability and Accountability Act (HIPAA), visant la protection des renseignements personnels médicaux. Le standard d’anonymisation « HIPAA » implique l’une des deux méthodes suivantes : la sphère de sécurité (safe harbour) ou le recours à un expert. Dans le premier cas, l’organisation doit supprimer 17 identifiants spécifiques de l’ensemble de données. Dans le second, l’organisation doit obtenir l’avis d’un expert statistique qualifié, confirmant que le risque de réidentification d’un individu à partir de l’ensemble de données est très faible. La méthodologie de l’expert pour procéder à cette analyse doit être documentée et mise à la disposition des autorités de réglementation sur demande.

Un certain encadrement en matière d’anonymisation a également été publié en territoire canadien. En effet, le Commissaire à l’information et à la protection de la vie privée de l’Ontario a publié des lignes directrices visant à présenter les concepts fondamentaux de l’anonymisation et offrir une méthodologie pour l’anonymisation de la donnée « structurée ». Parmi les mesures présentées, on note entre autres le retrait des identifiants directs et une évaluation détaillée des risques de réidentification.

D’autres exemples proviennent des associations et organisations indépendantes internationales. Notamment, le National Institute of Standards & Technology (NIST) propose une gamme d’outils techniques pour assister les organisations dans leur processus d’anonymisation. La International Organization for Standardization (ISO), quant à elle, propose un cadre de gouvernance pour les organisations voulant procéder à l’anonymisation, en suggérant un protocole comprenant une évaluation des circonstances dans lesquelles les informations anonymisées seront rendues disponibles, des informations externes auxquelles un tiers pourrait avoir accès et les façons dont ces dernières pourraient être utilisées afin de découvrir ou révéler des renseignements personnels.

Un nombre d’organisations utilise l’un ou l’autre de ces standards afin de valoriser plus amplement la donnée à laquelle ils ont accès dans le cadre de leurs activités. Ces standards, bien que reconnus, ne présentent toutefois pas de consensus quant à la méthodologie à utiliser ou encore les critères permettant de déterminer si un renseignement est anonymisé ou non.

Impacts sur la conduite des affaires

La position qu’a prise la CAI pourrait entraîner des répercussions sur divers aspects des affaires des organismes publics et des entreprises. En effet, malgré l’existence de standards nationaux et internationaux utilisés sur le marché, celle-ci laisse planer un brouillard juridique sur les tenants et aboutissants de l’anonymisation, ce qui amène une certaine incertitude dans le marché sur la possibilité d’utiliser ou de communiquer des renseignements personnels anonymisés.

Les organismes publics et les entreprises devraient ainsi être vigilants. Une attention particulière devrait être portée aux processus et calendriers de rétention des renseignements personnels déjà établis, afin d’assurer la destruction lorsque possible. Les organismes publics et les entreprises devraient également revoir les limites contractuelles de leurs ententes afin de reconsidérer et, le cas échéant, restreindre l’utilisation ou la communication de renseignements personnels dits anonymisés, puisque ceux-ci pourraient s’avérer constituer des renseignements personnels dépersonnalisés et non pas anonymisés. Pour les organisations qui utilisent l’anonymisation ou dont les fournisseurs de services s’appuient sur l’anonymisation pour utiliser autrement les renseignements, celles-ci devraient documenter les processus et techniques utilisés pour anonymiser les renseignements, de même que toute évaluation des risques de réidentification qui y sont liés. Ces processus devraient idéalement s’appuyer sur des normes établies sur le marché, lesquelles ont été testées afin de réduire tout risque pour la vie privée des individus. Ces mesures pourraient contribuer à réduire les risques de sanctions importantes pour les organisations.