6 juin 2024•Calcul en cours...

Nouveau règlement sur l’anonymisation des renseignements personnels en vertu de la Loi 25 au Québec

Auteures

Le 15 mai 2024, le gouvernement du Québec a publié la version définitive du Règlement sur l’anonymisation des renseignements personnels (le Règlement sur l’anonymisation), établissant les exigences liées à l’anonymisation des renseignements personnels en conformité avec la législation québécoise sur la protection des renseignements personnels dans les secteurs privé et public.

Ce que vous devez savoir

Portée générale. Le Règlement sur l’anonymisation est entré en vigueur le 30 mai 2024 et s’applique aux entreprises privées, aux organismes publics et aux ordres professionnels du Québec.
Anonymisation permise dans le cadre de la gestion des données. Sous réserve des exigences du Règlement sur l’anonymisation, les organisations peuvent désormais tirer parti de l’anonymisation dans le cadre de leur stratégie de gestion des données.
Processus d’anonymisation en huit étapes. Le Règlement sur l’anonymisation établit un processus d’anonymisation en huit étapes qui vise à réduire les risques de réidentification. Il précise également qu’il n’est pas nécessaire de conclure à l’absence de risque de réidentification, mais plutôt à un risque très faible.

Les exigences

Le Règlement sur l’anonymisation définit un processus qui peut être résumé en huit étapes nécessaires pour anonymiser les renseignements personnels. Nous avons détaillé ces étapes dans le tableau ci-dessous et fourni des pistes d’interprétation et de mise en œuvre.

Exigence	Description
Désigner une personne responsable	Le Règlement sur l’anonymisation exige que le processus d’anonymisation soit réalisé sous la supervision d’une personne compétente en la matière. Bien que le Règlement sur l’anonymisation ne précise pas les qualifications requises, il serait raisonnable de conclure qu’il exige une personne ayant une compétence raisonnable dans les techniques d’anonymisation (le masquage des données, la pseudonymisation, la perturbation des données, la création de données synthétiques, etc.) et dans la protection des renseignements personnels. Les organisations qui ne disposent pas de l’expertise nécessaire au sein de leur personnel devraient envisager de faire appel à des conseillers externes.
Déterminer les fins pour lesquelles les renseignements personnels anonymisés seront utilisés	En vertu de la législation sur la protection des renseignements personnels dans le secteur privé, les fins doivent être « sérieuses » et « légitimes » et en vertu de la législation sur la protection des renseignements personnels dans le secteur public, il doit s’agir de « fins d’intérêt public ». La notion de fins « sérieuses » et « légitimes » n’est définie dans aucune loi ni aucun règlement. Selon les principes généraux d’interprétation, l’utilisation à des fins commerciales ou de modélisation des risques constituerait une fin légitime, contrairement à une anonymisation « au cas où » les données seraient utiles à l’avenir. Bien que cette étape doive être réalisée avant le début du processus d’anonymisation, le Règlement sur l’anonymisation prévoit la possibilité d’ajouter d’autres fins ultérieurement. Pour ce faire, il faut procéder à une nouvelle évaluation et déterminer si ces fins supplémentaires sont également « sérieuses » et « légitimes » ou s’il s’agit de « fins d’intérêt public ».
Retirer tous les renseignements personnels qui permettent d’identifier directement la personne (identifiants)	Il faut retirer de l’ensemble des données tous les renseignements permettant d’identifier directement la personne (tels que le nom ou le numéro d’identification sociale). Compte tenu de la définition donnée à l’article 12 de la loi sur la protection des renseignements personnels dans le secteur privé et à l’article 65.1 de la loi sur la protection des renseignements personnels dans le secteur public, ce processus équivaudrait à dépersonnaliser les renseignements personnels.
Effectuer une analyse préliminaire des risques de réidentification	Cette analyse doit être fondée sur : Le critère d’individualisation (le fait de ne pas être en mesure d’isoler ou de distinguer une personne dans un ensemble de données); Le critère de corrélation (le fait de ne pas être en mesure de relier entre eux des ensembles de données qui concernent une même personne); Le critère d’inférence (le fait de ne pas être en mesure de déduire des renseignements personnels à partir d’autres renseignements disponibles); Les risques que d’autres renseignements raisonnablement disponibles, notamment dans l’espace public (y compris Internet), soient utilisés pour identifier directement ou indirectement une personne en combinaison avec l’ensemble de données dépersonnalisées.
Appliquer les pratiques d’anonymisation et les mesures de sécurité généralement acceptées pour diminuer les risques de réidentification	En fonction des risques de réidentification déterminés, il faut établir les techniques d’anonymisation à utiliser, lesquelles doivent être conformes aux meilleures pratiques généralement reconnues. Puisque la législation ne définit pas clairement ce que sont les « meilleures pratiques généralement reconnues », on peut s’appuyer sur les normes et pratiques nationales et internationales (voir notre bulletin précédent). Le Canadian Anonymization Network fournit une liste de ces normes. Les organisations doivent aussi adopter « des mesures de protection et de sécurité raisonnables pour diminuer les risques de réidentification ». Ces mesures pourraient comprendre, par exemple, la séparation des données, le contrôle des accès et l’enregistrement de toute action liée à l’ensemble des données afin de réduire la possibilité de les combiner avec d’autres sources de données.
Effectuer une analyse plus approfondie des risques de réidentification	En fonction des pratiques et des mesures de protection appliquées, il faut procéder à une analyse plus approfondie des risques de réidentification. Les facteurs suivants doivent être pris en compte : Les circonstances liées à l’anonymisation des renseignements personnels, notamment les fins pour lesquelles l’organisation entend utiliser les renseignements anonymisés; La nature des renseignements; Le critère d’individualisation, le critère de corrélation et le critère d’inférence; Les risques que d’autres renseignements raisonnablement disponibles soient utilisés pour identifier directement ou indirectement une personne; Les moyens nécessaires pour réidentifier les personnes, notamment en considérant les efforts, les ressources et le savoir-faire requis pour mettre en œuvre ces moyens. Les résultats doivent démontrer qu’il est raisonnable de prévoir dans les circonstances que les données résultantes ne permettent plus, de façon irréversible, d’identifier directement ou indirectement une personne. Les résultats ne doivent pas nécessairement démontrer un risque de réidentification nul, mais plutôt des risques très faibles.
Mettre à jour périodiquement l’analyse des risques de réidentification	Dans sa version préliminaire, le Règlement sur l’anonymisation stipulait que l’analyse devait être réévaluée « régulièrement », ce qui a ensuite été modifié à « périodiquement » dans la version finale. L’article 8 du Règlement sur l’anonymisation précise que la périodicité des évaluations doit être déterminée en fonction des risques résiduels identifiés dans la dernière analyse des risques de réidentification effectuée. L’évaluation doit tenir compte des avancées technologiques qui peuvent contribuer à réidentifier une personne. L’évaluation doit démontrer que les renseignements anonymisés le demeurent conformément aux critères prévus dans le Règlement sur l’anonymisation. Dans le cas contraire, les renseignements ne sont plus considérés comme anonymisés.
Tenir un registre de l’anonymisation effectuée	Le registre doit comprendre : une description des renseignements personnels qui ont été anonymisés; les fins pour lesquelles l’organisation entend utiliser ces renseignements anonymisés; les techniques d’anonymisation et les mesures de protection appliquées; la date à laquelle l’analyse des risques de réidentification et toute mise à jour de celle-ci ont été complétées. Cette exigence n’entre en vigueur que le 1^er janvier 2025.

Par où commencer : conseils pour la mise en conformité

Le Règlement sur l’anonymisation définit un processus rigoureux en plusieurs étapes pour anonymiser les renseignements personnels au lieu de les supprimer lorsqu’ils ne sont plus nécessaires à des fins commerciales ou légales.

Les organisations devraient revoir et mettre à jour leurs pratiques, procédures et politiques actuelles en matière de conservation, de destruction et de dépersonnalisation des renseignements personnels en fonction du Règlement sur l’anonymisation. Dans de nombreux cas, il faudra faire appel aux équipes des services juridiques, de la conformité, de l’analyse des données et des technologies de l’information dans le cadre du processus d’anonymisation. Des ressources externes pourraient aussi être nécessaires.

Les organisations devraient ensuite revoir et mettre à jour leurs procédures et politiques écrites pour assurer leur conformité, et déterminer si leurs renseignements anonymisés existants sont toujours considérés comme des renseignements anonymisés au Québec en vertu du Règlement sur l’anonymisation.

Si vous souhaitez discuter ces enjeux et ces questions, veuillez contacter les auteurs.

Cette publication se veut une discussion générale concernant certains développements juridiques ou de nature connexe et ne doit pas être interprétée comme étant un conseil juridique. Si vous avez besoin de conseils juridiques, c'est avec plaisir que nous discuterons les questions soulevées dans cette communication avec vous, dans le cadre de votre situation particulière.

Pour obtenir la permission de reproduire l’une de nos publications, veuillez communiquer avec Janelle Weed.

Inscrivez-vous pour recevoir les dernières nouvelles

Restez à l’affût des nouvelles d’intérêt, des commentaires, des mises à jour et des publications de Torys.

Inscrivez-vous maintenant