Le 15 mai 2024, le gouvernement du Québec a publié le Règlement sur l’anonymisation des renseignements personnels1 (« Règlement ») établissant les exigences à respecter pour qu’une entreprise soit autorisée à conserver un renseignement personnel au-delà de la réalisation des fins pour lesquelles le renseignement a été colligé. Ce règlement s’applique autant à la Loi sur la protection des renseignements personnels dans le secteur privé2 (« Loi sur le privé ») qu’à la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels3. Le présent article s’attarde principalement à la Loi sur le privé.
Rappel des exigences de la Loi sur le privé
La Loi sur le privé impose de nombreuses obligations à une entreprise qui collecte des renseignements personnels. Est un renseignement personnel tout renseignement permettant d’identifier directement ou indirectement une personne physique4, par opposition à une personne morale. Pensons au nom, numéro d’assurance sociale ou encore l’adresse IP de l’ordinateur de cette personne.
Avant de colliger un renseignement personnel, l’entreprise doit déterminer les fins visées par la collecte5 et seuls les renseignements nécessaires à la réalisation de cette fin peuvent être colligés6. Même après avoir obtenu le consentement, si le renseignement est utile, mais pas nécessaire pour atteindre la fin visée, la collecte n’est pas autorisée. La Loi sur le privé impose également une série d’obligations avant, pendant et après la collecte.
Lorsque les fins visées par la collecte ont été réalisées, l’entreprise doit détruire le renseignement personnel, sous réserve d’une obligation de conservation imposée par une loi, à moins d’anonymiser le renseignement7. L’anonymisation doit se faire selon les meilleures pratiques généralement reconnues et selon les critères et modalités déterminés par règlement. Ce Règlement vient d’être publié à la Gazette officielle.
Règlement sur l’anonymisation des renseignements personnels
Le Règlement rappelle que l’entreprise doit déterminer les fins pour lesquelles elle entend utiliser les renseignements anonymisés et que ces fins doivent être sérieuses et légitimes8.
Le renseignement qui permet d’identifier directement une personne doit être retiré9, et donc détruit, ce qui est logique puisqu’un tel renseignement ne pourra jamais être anonymisé.
Afin de pouvoir anonymiser un renseignement, l’entreprise doit procéder à une analyse des risques de réidentification qui doit se faire en trois temps. D’abord, il faut faire une analyse préliminaire de ces risques en fonction des critères ci-dessous énumérés, ensuite déterminer les techniques adéquates permettant d’anonymiser et finalement compléter l’analyse finale des risques de réidentification, laquelle doit mener à la conclusion que les renseignements seront anonymisés de façon irréversible10. Il n’est pas nécessaire de démontrer un risque nul de réidentification, mais le risque résiduel doit être très faible11.
Pour procéder à cette analyse et conclure à un risque résiduel faible de réidentification, il faut tenir compte des éléments suivants12 :
- Les autres renseignements raisonnablement disponibles, notamment dans l’espace public et les risques qu’ils soient utilisés pour identifier la personne;
- Le critère de corrélation : le fait de ne pas être en mesure de relier en eux des ensembles de données qui concernent une même personne;
- Le critère d’individualisation : le fait de ne pas être en mesure d’isoler ou de distinguer une personne dans un ensemble de données;
- Le critère d’inférence : le fait de ne pas être en mesure de déduire des renseignements personnels à partir d’autres renseignements disponibles;
- Les circonstances liées à l’anonymisation et les fins visées par l’utilisation des renseignements anonymisés;
- La nature des renseignements;
- Les moyens nécessaires pour réidentifier les personnes en termes d’efforts, de ressources et de savoir-faire.
L’entreprise doit établir les techniques d’anonymisation qui seront utilisées et établir les mesures de protection et de sécurité raisonnables pour diminuer le risque de réidentification13. Ces techniques doivent être conformes aux meilleures pratiques généralement reconnues14, d’où l’importance d’être accompagné d’une personne compétente en matière de technologies de l’information lorsque les renseignements sont détenus sur support technologique15.
Une fois l’anonymisation complétée, l’entreprise doit périodiquement évaluer les renseignements anonymisés pour s’assurer qu’ils le demeurent et mettre à jour l’analyse des risques de réidentification, sans quoi le renseignement sera considéré comme n’étant plus anonymisé16.
Le Règlement ne fixe pas la fréquence des mises à jour, mais indique qu’elles doivent tenir compte des risques résiduels de réidentification17. Si un risque résiduel demeure, notamment eu égard aux renseignements sur supports technologiques, la vitesse d’évolution des technologies commandera une fréquence des mises à jour plus courte que longue.
L’entreprise doit consigner les informations suivantes dans un registre18 :
- Une description des renseignements anonymisés;
- Les fins pour lesquelles les renseignements anonymisés sont utilisés;
- Les techniques d’anonymisation utilisées et les mesures de protection et de sécurité permettant de diminuer le risque de réidentification;
- La date de l’analyse des risques de réidentification et celles de ses mises à jour.
Outre les exigences liées au registre d’anonymisation, le Règlement n’exige pas que l’analyse des risques de réidentification soit consignée par écrit, mais il est plus prudent de conserver une preuve documentaire de cette analyse.
Conclusion
De nouvelles exigences sont ainsi ajoutées aux nombreuses obligations que doivent respecter les entreprises et elles peuvent susciter plusieurs questions concrètes. Par exemple, pour tenir compte des renseignements raisonnablement disponibles, notamment dans l’espace public, doit-on inclure les renseignements qu’une personne publie volontairement sur les médias sociaux? Qu’en est-il des informations disponibles dans des registres comme le registre foncier, le rôle d’évaluation foncière ou le bottin téléphonique? Qu’est-ce qu’un renseignement « raisonnablement disponible » autre que celui présent dans l’espace public?
Autant de questions qui feront peut-être l’objet de décisions de la Commission d’accès à l’information ou des tribunaux. Le lecteur est également invité à surveiller les publications de possibles guides par la Commission d’accès à l’information.
Le Règlement entrera en vigueur le 30 mai 2024, à l’exception de l’exigence relative à la constitution du registre sur l’anonymisation qui entrera en vigueur le 1er janvier 202519.
Pour toute question concernant la Loi sur la protection des renseignements personnels dans le secteur privé ou la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, veuillez contacter les auteures du présent billet :
Me Catherine Cloutier, associée
catherine.cloutier@steinmonast.ca
418 640-4424
Me Isabelle Garneau, associée
isabelle.garneau@steinmonast.ca
418 476-3628
Me Catherine Pilote-Coulombe, avocate
catherine.pilote-coulombe@steinmonast.ca
418 640-4445
1 (2024) 20 G.O.Q. II, 2848.
2 RLRQ c. P-39.1.
4 Art. 2 Loi sur le privé.
6 Art. 5 Loi sur le privé.
7 Art. 23 Loi sur le privé.
9 Art. 5 du Règlement.
10 C’est-à-dire qu’ils ne permettront plus d’identifier directement ou indirectement la personne.
11 Art. 7 du Règlement.
12 Art. 2, 5 al. 2 et 7 du Règlement.
13 Art. 6 du Règlement.
14 Id.
15 L’art. 4 du Règlement exige d’ailleurs que le processus d’anonymisation soit supervisé par une personne compétente en la matière.
17 Art. 8 al. 3 du Règlement.