ressources / relations-travail

Législation québécoise : entrée en vigueur du Règlement sur l’anonymisation des renseignements personnels

Découvrez les nouvelles règles en vigueur depuis mai 2024 et leurs effets sur vos pratiques.
29 mai 2024
Me Marc-Alexandre Hudon | Me Antoine Hamel Rancourt | Me Ilona Bois-Drivet

L’entrée en vigueur prochaine du Règlement est un développement qui était fort attendu en raison de l’éventail de possibilités qu’offrent des renseignements anonymisés pour les entreprises et les organismes publics, notamment en matière d’intelligence d’affaires et d’intelligence artificielle générative.

Le Règlement prévoit un cadre normatif à l’anonymisation des renseignements personnels, un concept introduit en droit québécois par la Loi 25 et qui se retrouve tant dans la Loi sur la protection des renseignements personnels dans le secteur privé[2] (la « Loi sur le privé») que dans la Loi sur l’accès aux documents des organismes publics[3] (la « Loi sur l’accès »). Ainsi, à partir du 30 mai 2024, les organismes publics, les personnes qui exploitent une entreprise ainsi que les ordres professionnels québécois (les « Organisations ») pourront procéder à l’anonymisation des renseignements personnels qu’elles détiennent. L’anonymisation constituera alors une alternative intéressante à la destruction des renseignements personnels lorsque les fins auxquelles ils ont été recueillis ou utilisés sont accomplies (article 23 de la Loi sur le privé et article 73 de la Loi sur l’accès).

L’anonymisation des renseignements personnels pouvant s’avérer un processus complexe, le présent article présente un survol des modalités et balises prévues au Règlement.

Anonymisation et dépersonnalisation

D’entrée de jeu, il est important de distinguer un renseignement dépersonnalisé d’un renseignement anonymisé.

Un renseignement dépersonnalisé est un renseignement qui ne permet plus d’identifier directement la personne concernée. À titre d’illustration, on peut penser à un renseignement qui ne serait plus associé à des renseignements tels que le nom de la personne concernée, son adresse et son courriel. Les renseignements dépersonnalisés demeurent assujettis à certains volets de la Loi sur le privé et de la Loi sur l’accès, selon le cas. La dépersonnalisation n’est également pas une alternative à la destruction des renseignements personnels.

En vertu du Règlement, un renseignement personnel est anonymisé quand « il est, en tout temps, raisonnable de prévoir dans les circonstances [que le renseignement produit à la suite d’un processus d’anonymisation] ne permet plus, de façon irréversible, d’identifier directement ou indirectement une personne[4]». Le renseignement anonymisé conformément au Règlement peut alors être utilisé, communiqué et conservé sans être soumis aux lois applicables à la protection des renseignements personnels (sous réserve toutefois du respect du Règlement).

En bref, les principales distinctions entre un renseignement dépersonnalisé et un renseignement anonymisé sont 1) le caractère réversible ou non de faire en sorte qu’un renseignement ne permet plus d’identifier directement ou indirectement la personne concernée; 2) le respect du processus d’anonymisation prévu par le Règlement. Soulignons également qu’est susceptible de constituer une infraction pénale le fait pour une personne de procéder ou de tenter de procéder « à l’identification d’une personne physique à partir de renseignements dépersonnalisés sans l’autorisation de la personne les détenant ou à partir de renseignements anonymisés ». 

Processus d’anonymisation prévue par le Règlement

Le Règlement prévoit un processus d’anonymisation en plusieurs étapes.

Étapes préalables

1. Désignation d’une responsable

Le Règlement prévoit que le processus d’anonymisation doit être réalisé sous la supervision d’une personne compétente en la matière[5]. Ainsi, selon les circonstances, cette personne pourrait ne pas être le Responsable à la protection des renseignements personnels si cette personne n’a pas les compétences techniques en matière d’anonymisation.

2. Évaluation des finalités

Avant d’entamer le processus d’anonymisation, le Règlement prévoit que l’organisation doit identifier et évaluer les fins pour lesquelles les renseignements anonymisés seront utilisés[6]. La Loi sur le privé et la Loi sur l’accès prévoient que la conservation des renseignements anonymisés est conditionnelle à leur utilisation à des fins :

  • Sérieuses et légitimes pour une entreprise[7], c’est-à-dire si elle a une raison valable et justifiée de le faire;
  • D’intérêt public pour un organisme public ou un ordre professionnel[8], c’est-à-dire bénéfique pour la société dans son ensemble.

Ces fins demeurent à être définies en pratique. L’utilisation de renseignements anonymisés à des fins d’entraînement de logiciels et d’application faisant appel à l’intelligence artificielle générative, à des fins de recherche ou d’intelligence d’affaires pourraient, selon nous et selon les circonstances, constituer de telles fins.

Par ailleurs, si une organisation utilise les renseignements anonymisés à d’autres fins que celles établies avant de débuter le processus d’anonymisation, l’organisation devra s’assurer que ces fins sont conformes à la Loi sur le privé ou à la Loi sur l’accès, selon le cas[9].

Mise en œuvre du processus d’anonymisation

1. Retrait des renseignements d’identification directs

Le processus d’anonymisation débute par le retrait, dans le document ou la base de données à anonymiser, de tous les renseignements personnels qui permettent d’identifier directement la personne concernée[10].

2. Analyse préliminaire des risques de réidentification

Ensuite, l’organisation doit procéder à une analyse préliminaire des risques de réidentification[11]. L’évaluation doit se faire en considérant notamment les critères suivants :

  • Critère d’individualisation : évaluer le risque que le processus d’anonymisation permette d’isoler ou de distinguer une personne dans un ensemble de données.
  • Critère de corrélation : évaluer le risque que le processus d’anonymisation permette de relier entre eux des ensembles de données qui concernent une même personne.
  • Critère d’inférence : évaluer le risque que le processus d’anonymisation permette de déduire des renseignements personnels à partir d’autres renseignements disponibles.
  • Renseignements disponibles sur l’espace public: évaluer le risque que d’autres renseignements disponibles sur l’espace public soient utilisés pour identifier directement ou indirectement une personne.

3. Identifications des techniques d’anonymisation appropriées

À partir des risques de réidentification, l’organisation doit déterminer les techniques d’anonymisation appropriées[12]. Celles-ci doivent être conformes aux meilleures pratiques généralement reconnues. En l’absence de lignes directrices de la part de la Commission d’accès à l’information, cette exigence accorde une certaine souplesse aux Organisations.

4. Mise en œuvre de mesures de sécurité

Enfin, l’Organisation doit prévoir des mesures de sécurité raisonnables afin de diminuer les risques de réidentification.

Analyse du risque de réidentification et mise à jour périodique

1. Analyse du risque de réidentification

Une fois la mise en œuvre des techniques d’anonymisation complétée, l’Organisation doit effectuer une analyse des risques de réidentification[13].

L’analyse doit démontrer qu’il est, en tout temps, raisonnable de prévoir que les renseignements anonymisés ne permettent plus, de façon irréversible, d’identifier directement ou indirectement une personne. Le Règlement précise toutefois qu’il n’est pas nécessaire de démontrer un risque nul; un risque faible est suffisant. L’analyse doit tenir compte des éléments suivants :

  • Les circonstances liées à l’anonymisation des renseignements personnels. Par exemple, les fins pour lesquelles les renseignements anonymisés seront utilisés.
  • La nature des renseignements.
  • Les critères d’individualisation, de corrélation et d’inférence ainsi que les renseignements disponibles dans l’espace public présentés plus haut.
  • Les moyens nécessaires pour réidentifier les personnes concernées.

2. Mise à jour périodique

L’analyse de risque de réidentification doit être périodiquement mise à jour, notamment à la lumière des avancées technologiques. La périodicité de la mise à jour sera déterminée en fonction des risques identifiés dans la dernière évaluation[14].

Tenue d’un registre d’anonymisation

À compter du 1er janvier 2025[15], une Organisation qui entreprend un processus d’anonymisation devra consigner cette pratique dans un registre. Le registre devra comprendre les éléments suivants :  

  • Une liste des renseignements personnels anonymisés.
  • Les fins pour lesquelles l’organisation entend utiliser les renseignements anonymisés.
  • La ou les techniques d’anonymisation utilisées.
  • Les mesures de sécurité établies.
  • La date à laquelle l’analyse du risque de réidentification a été complétée et la date de sa dernière mise à jour[16].

Prochaines étapes pour les organisations

Afin de se préparer à l’entrée en vigueur du Règlement, les organisations devraient évaluer leurs besoins d’anonymisation en fonction des conditions d’application du Règlement. Si l’anonymisation des renseignements personnels vous semble être une alternative à la destruction de vos renseignements personnels, il sera nécessaire d’entreprendre les démarches prévues au Règlement et présentées dans le présent article.


Author
Me Marc-Alexandre Hudon Avocat, associé Langlois
Avocat polyvalent, Marc-Alexandre Hudon est membre à la fois de notre secteur litige et de celui de droit des affaires. Sa pratique couvre principalement la protection des renseignements personnels, la cybersécurité, les contrats publics, l’intégrité des entreprises, le droit administratif et le droit des Autochtones. Il agit pour un vaste éventail de clients issus notamment des secteurs des ressources naturelles et de l’énergie, de l’infrastructure, de la santé et des technologies. Avocat plaidant aguerri tant devant les cours et tribunaux du Québec que devant la Cour fédérale, il conseille ses clients dans le cadre d’enquêtes, de transactions ainsi qu’à l’égard de diverses questions en lien avec ces domaines.

Author
Me Antoine Hamel Rancourt Avocat Langlois
Antoine Rancourt pratique le droit des affaires et il se spécialise dans les domaines du droit des technologies, de la protection des renseignements personnels et de la gouvernance des données.

Diverses entreprises de technologie sollicitent ses conseils en ce qui concerne la commercialisation, la protection et la valorisation de leur propriété intellectuelle et de leurs technologies. Il intervient notamment dans la rédaction et la négociation de contrats de licences de logiciels, de logiciels-services (SaaS), de conditions d’utilisation, de contrats intégrant des objets connectés (internet des objets ou IoT) ou des composantes propulsées par l’intelligence artificielle. Il accompagne également différentes organisations quant aux aspects juridiques liés à leurs opérations en ligne, tels que le commerce et le marketing en ligne auprès de consommateurs et fournit des conseils relativement au cadre juridique applicable aux plateformes de paiement, aux concours publicitaires et aux opérations de billetterie (billetique).

Antoine aide des entreprises et organismes de toutes tailles à se conformer à la législation canadienne et québécoise en matière de protection des renseignements personnels ainsi qu’à la loi anti-pourriel et il les conseille relativement à la gestion des témoins de connexion (cookies). Il a accompagné plusieurs dizaines d’organisations dans leur mise en conformité au nouveau cadre législatif sur la protection des renseignements personnels (communément appelée Loi 25), ce qui inclut notamment des entreprises de commerce de détail et de commerce en ligne, des entreprises manufacturières, des multinationales, des entreprises locales, des entreprises de technologie, des organismes sans but lucratif, des fondations, des établissements universitaires et collégiaux et divers organismes publics de tailles variées.

Author
Me Ilona Bois-Drivet Avocate Langlois
Ilona Bois-Drivet se spécialise dans les domaines du droit des technologies, de la protection des renseignements personnels, de la gouvernance des données et des questions juridiques liées à l’intelligence artificielle.

Ilona accompagne les entreprises et organismes de toutes tailles pour les aider à se conformer à la législation canadienne et québécoise en matière de protection des renseignements personnels. Elle aide ses clients avec la réalisation d’évaluation des facteurs relatifs à la vie privée (EFVP ou privacy impact assessment). De plus, Ilona oriente ses clients relativement à la gestion de leur base de données ainsi qu’en matière de conservation et d’anonymisation des renseignements personnels. Elle fournit régulièrement des conseils en matière de cybersécurité et intervient à la suite d’incidents de confidentialité ou de fuites de données. Elle aide ses clients à répondre et à gérer des demandes relativement à l’exercice des droits des individus, notamment des droits d’accès, de rectification, de portabilité et de retrait de consentement.

Source : VigieRT, mai 2024

1 Règlement sur l’anonymisation des renseignements personnels, 15 mai 2024, 156e année, n20. Art. 10 : le Règlement entrera en vigueur le 30 mai 2024, sauf pour l’article 9 qui entrera en vigueur en janvier 2025.
2 Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1).
3 Loi sur l’accès aux documents des organismes publics, RLRQ c A-2.1.
4 Ibid.
5 Règlement sur l’anonymisation, art. 4.
6 Ibid, art. 3.
7 Ibid, art. 3; Loi sur le privé, art 23; Loi sur l’accès, art. 73.
8 Ibid, art. 3; Loi sur l’accès, art. 73.
9 Ibid, art. 3 al. 2.
10 Ibid, art. 5.
11 Ibid, art. 2 et 5 al. 2
12 Ibid, art. 6.
13 Ibid, art. 7.
14 Ibid, art. 8.
15 Ibid, art. 9 et 10.
16 Ibid, art.9.