Depuis l’adoption en septembre 2021 de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25), plusieurs nouveaux concepts et mécanismes ont été introduits à nos lois.
Ces nouveaux concepts incluent celui de l’anonymisation, à savoir le fait de modifier un renseignement personnel de façon à ce qu’il ne puisse plus être utilisé pour identifier directement ou indirectement une personne physique, et ce, de façon permanente et irréversible.
L’anonymisation s’avère aussi être l’un des mécanismes mis en place pour respecter la loi. En effet, lorsque la finalité pour laquelle un renseignement personnel a été recueilli est accomplie, les entreprises et organismes publics ont l’obligation de cesser de le conserver, et ce, en le détruisant ou en l’anonymisant s’ils souhaitent l’utiliser des fins :
- sérieuses et légitimes (pour les entreprises privées); ou
- d’intérêt public (pour les organismes publics).
L’anonymisation doit avoir lieu selon les meilleures pratiques généralement reconnues et les critères et modalités déterminés par règlement.
À ce sujet, le Règlement sur l’anonymisation des renseignements personnels (Règlement), en vigueur depuis le 30 mai dernier, vient encadrer le processus d’anonymisation, vu sa complexité, et garantir l’impossibilité de réidentification de la personne concernée par tout moyen technologique.
Processus d’anonymisation
Suivant le Règlement, le processus d’anonymisation se divise en trois phases temporelles : les étapes préalables au processus d’anonymisation, la mise en œuvre de ce dernier et ses suites.
Étapes préalables
Avant d’enclencher le processus d’anonymisation, l’entreprise ou l’organisme public (entité) doit établir les fins auxquelles elle entend utiliser les renseignements anonymisés et s’assurer que celles-ci sont conformes au critère des fins sérieuses et légitimes (pour les entreprises) ou d’intérêt public (pour les organismes publics). Si les fins déterminées ne respectent pas ce critère, l’entité sera tenue de détruire les renseignements personnels plutôt que de les conserver pour l’anonymisation. Elle doit également s’assurer que le processus d’anonymisation sera réalisé sous la supervision d’une personne compétente en la matière (par exemple son responsable de la protection des renseignements personnels). Le Règlement précise également que si une nouvelle utilité est trouvée pour un renseignement anonymisé, une analyse devra être effectuée pour confirmer que la nouvelle utilité respecte le critère de finalité.
Mise en œuvre
Au début du processus d’anonymisation, tous les renseignements personnels qui permettent d’identifier directement la personne concernée doivent être retirés des renseignements qui seront anonymisés. L’entité doit ensuite effectuer une analyse préliminaire des risques de réidentification en considérant notamment les critères suivants :
- Critère de corrélation : l’impossibilité de relier entre eux deux ou plusieurs ensembles de données concernant un même individu;
- Critère d’individualisation : l’impossibilité de pouvoir isoler ou distinguer un individu en particulier dans un ensemble de données;
- Critère d’inférence : l’impossibilité de pouvoir déduire des renseignements personnels d’un individu à partir d’autres renseignements disponibles.
En fonction des risques de réidentification identifiés, l’entité devra identifier et mettre en place les techniques d’anonymisation nécessaires pour adresser ces risques, conformément aux meilleures pratiques généralement reconnues. Des mesures de protection et de sécurité raisonnables doivent également être établies pour diminuer les risques de réidentification.
Après avoir mis en œuvre les techniques d’anonymisation et les mesures de protection et de sécurité, l’entité doit procéder à une analyse des risques de réidentification. Les résultats de cette analyse doivent démontrer que les risques résiduels de réidentification sont très faibles, sans toutefois qu’il soit nécessaire de prouver qu’ils sont nuls.
Suites
Suivant l’anonymisation des renseignements visés, l’entité devra évaluer périodiquement les renseignements qu’elle a anonymisés afin de s’assurer qu’ils le demeurent, en mettant à jour son analyse des risques de réidentification. Elle doit également consigner certains renseignements, dont la description des renseignements personnels qui ont été anonymisés, dans un registre.
Considérations pratiques
Les renseignements anonymisés ne sont plus considérés comme des renseignements personnels au sens des lois applicables et peuvent donc plus facilement faire l’objet de traitements.
Les entités pourraient toutefois préférer la destruction des renseignements personnels en raison de la simplicité de ce processus et des risques associés à l’anonymisation. En matière de risques, la Commission d’accès à l’information (CAI) a déjà mentionné :
- qu’il est presque impossible de certifier que des renseignements anonymisés ne pourraient pas éventuellement être réidentifiés en raison des avancées technologiques actuelles et futures1;
- que certains renseignements personnels ne peuvent pas être adéquatement anonymisés en raison de leur nature distinctive (par exemple les renseignements génétiques et biométriques)2.
Cette prise de position pourrait évoluer au fil du temps, vu le Règlement.
Dans tous les cas, il demeure néanmoins important pour les entreprises et organismes publics de prévoir l’encadrement applicable à la conservation ou à la destruction des renseignements personnels qu’ils détiennent. La mise en place d’une procédure de gestion documentaire devrait notamment être considérée.
Le respect du Règlement est d’autant plus important vu la possibilité pour la CAI d’imposer des sanctions administratives pécuniaires aux entités qui tentent d’identifier une personne à l’aide de renseignements anonymisés. Pour en savoir davantage sur le processus d’imposition de sanctions et pour éviter une telle mesure, veuillez consulter notre publication récente ici.
Ainsi, le Règlement vient ajouter un élément additionnel au cadre applicable au traitement des renseignements personnels, lequel devra être considéré lorsqu’une entité souhaitera avoir recours à l’anonymisation.
Les auteurs tiennent à remercier Marilou Bouthiette, stagiaire, pour son aide dans la préparation de la présente actualité juridique.