Publication
Bye Bye 2024 : revue de l’année en droit du travail au Québec
Alors que l'année 2024 tire à sa fin, il est temps de faire un bref retour sur les décisions jurisprudentielles qui ont marqué le droit du travail au Québec.
Anonymisation des renseignements personnels – comment faire pour procéder en toute conformité?
Canada | Publication | 12 juin 2024
Depuis l’adoption en septembre 2021 de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25), plusieurs nouveaux concepts et mécanismes ont été introduits à nos lois.
Ces nouveaux concepts incluent celui de l’anonymisation, à savoir le fait de modifier un renseignement personnel de façon à ce qu’il ne puisse plus être utilisé pour identifier directement ou indirectement une personne physique, et ce, de façon permanente et irréversible.
L’anonymisation s’avère aussi être l’un des mécanismes mis en place pour respecter la loi. En effet, lorsque la finalité pour laquelle un renseignement personnel a été recueilli est accomplie, les entreprises et organismes publics ont l’obligation de cesser de le conserver, et ce, en le détruisant ou en l’anonymisant s’ils souhaitent l’utiliser des fins :
- sérieuses et légitimes (pour les entreprises privées); ou
- d’intérêt public (pour les organismes publics).
L’anonymisation doit avoir lieu selon les meilleures pratiques généralement reconnues et les critères et modalités déterminés par règlement.
À ce sujet, le Règlement sur l’anonymisation des renseignements personnels (Règlement), en vigueur depuis le 30 mai dernier, vient encadrer le processus d’anonymisation, vu sa complexité, et garantir l’impossibilité de réidentification de la personne concernée par tout moyen technologique.
Processus d’anonymisation
Suivant le Règlement, le processus d’anonymisation se divise en trois phases temporelles : les étapes préalables au processus d’anonymisation, la mise en œuvre de ce dernier et ses suites.
Étapes préalables
Avant d’enclencher le processus d’anonymisation, l’entreprise ou l’organisme public (entité) doit établir les fins auxquelles elle entend utiliser les renseignements anonymisés et s’assurer que celles-ci sont conformes au critère des fins sérieuses et légitimes (pour les entreprises) ou d’intérêt public (pour les organismes publics). Si les fins déterminées ne respectent pas ce critère, l’entité sera tenue de détruire les renseignements personnels plutôt que de les conserver pour l’anonymisation. Elle doit également s’assurer que le processus d’anonymisation sera réalisé sous la supervision d’une personne compétente en la matière (par exemple son responsable de la protection des renseignements personnels). Le Règlement précise également que si une nouvelle utilité est trouvée pour un renseignement anonymisé, une analyse devra être effectuée pour confirmer que la nouvelle utilité respecte le critère de finalité.
Mise en œuvre
Au début du processus d’anonymisation, tous les renseignements personnels qui permettent d’identifier directement la personne concernée doivent être retirés des renseignements qui seront anonymisés. L’entité doit ensuite effectuer une analyse préliminaire des risques de réidentification en considérant notamment les critères suivants :
- Critère de corrélation : l’impossibilité de relier entre eux deux ou plusieurs ensembles de données concernant un même individu;
- Critère d’individualisation : l’impossibilité de pouvoir isoler ou distinguer un individu en particulier dans un ensemble de données;
- Critère d’inférence : l’impossibilité de pouvoir déduire des renseignements personnels d’un individu à partir d’autres renseignements disponibles.
En fonction des risques de réidentification identifiés, l’entité devra identifier et mettre en place les techniques d’anonymisation nécessaires pour adresser ces risques, conformément aux meilleures pratiques généralement reconnues. Des mesures de protection et de sécurité raisonnables doivent également être établies pour diminuer les risques de réidentification.
Après avoir mis en œuvre les techniques d’anonymisation et les mesures de protection et de sécurité, l’entité doit procéder à une analyse des risques de réidentification. Les résultats de cette analyse doivent démontrer que les risques résiduels de réidentification sont très faibles, sans toutefois qu’il soit nécessaire de prouver qu’ils sont nuls.
Suites
Suivant l’anonymisation des renseignements visés, l’entité devra évaluer périodiquement les renseignements qu’elle a anonymisés afin de s’assurer qu’ils le demeurent, en mettant à jour son analyse des risques de réidentification. Elle doit également consigner certains renseignements, dont la description des renseignements personnels qui ont été anonymisés, dans un registre.
Considérations pratiques
Les renseignements anonymisés ne sont plus considérés comme des renseignements personnels au sens des lois applicables et peuvent donc plus facilement faire l’objet de traitements.
Les entités pourraient toutefois préférer la destruction des renseignements personnels en raison de la simplicité de ce processus et des risques associés à l’anonymisation. En matière de risques, la Commission d’accès à l’information (CAI) a déjà mentionné :
- qu’il est presque impossible de certifier que des renseignements anonymisés ne pourraient pas éventuellement être réidentifiés en raison des avancées technologiques actuelles et futures1;
- que certains renseignements personnels ne peuvent pas être adéquatement anonymisés en raison de leur nature distinctive (par exemple les renseignements génétiques et biométriques)2.
Cette prise de position pourrait évoluer au fil du temps, vu le Règlement.
Dans tous les cas, il demeure néanmoins important pour les entreprises et organismes publics de prévoir l’encadrement applicable à la conservation ou à la destruction des renseignements personnels qu’ils détiennent. La mise en place d’une procédure de gestion documentaire devrait notamment être considérée.
Le respect du Règlement est d’autant plus important vu la possibilité pour la CAI d’imposer des sanctions administratives pécuniaires aux entités qui tentent d’identifier une personne à l’aide de renseignements anonymisés. Pour en savoir davantage sur le processus d’imposition de sanctions et pour éviter une telle mesure, veuillez consulter notre publication récente ici.
Ainsi, le Règlement vient ajouter un élément additionnel au cadre applicable au traitement des renseignements personnels, lequel devra être considéré lorsqu’une entité souhaitera avoir recours à l’anonymisation.
Les auteurs tiennent à remercier Marilou Bouthiette, stagiaire, pour son aide dans la préparation de la présente actualité juridique.
Notes
1
Commission d’accès à l’information, Conservation et destructions des renseignements personnels [En ligne], https ://www.cai.gouv.qc.ca/protection-renseignements-personnels/information-entreprises-privees/conservation-destruction-renseignements-personnels.
Chef canadien, Technologies et cochef canadien, Cybersécurité et confidentialité des données, Canada
Courriel
imran.ahmad@nortonrosefulbright.com
Publications récentes
Publication
Registre fédéral sur les plastiques : mise en œuvre progressive
Le gouvernement du Canada établit un registre fédéral sur les plastiques (le Registre) afin d’aider à éliminer les déchets de plastique d’ici 2030.
Publication
Projet de loi 76 | Nouvelles obligations visant les entrepreneurs et les constructeurs-propriétaires prévues à la Loi sur le bâtiment
Le 26 novembre 2024, l’Assemblée nationale du Québec a sanctionné le Projet de loi 76, Loi visant principalement à accroître la qualité de la construction et la sécurité du public (Projet de loi 76), qui modifie de manière importante plusieurs dispositions de la Loi sur le bâtiment .
Abonnez-vous et restez à l’affût des nouvelles juridiques, informations et événements les plus récents...