ressources / relations-travail

Législation québécoise : entrée en vigueur du Règlement sur l’anonymisation des renseignements personnels

Découvrez les nouvelles règles en vigueur depuis mai 2024 et leurs effets sur vos pratiques.
29 mai 2024

L’entrée en vigueur prochaine du Règlement est un développement qui était fort attendu en raison de l’éventail de possibilités qu’offrent des renseignements anonymisés pour les entreprises et les organismes publics, notamment en matière d’intelligence d’affaires et d’intelligence artificielle générative.

Le Règlement prévoit un cadre normatif à l’anonymisation des renseignements personnels, un concept introduit en droit québécois par la Loi 25 et qui se retrouve tant dans la Loi sur la protection des renseignements personnels dans le secteur privé[2] (la « Loi sur le privé») que dans la Loi sur l’accès aux documents des organismes publics[3] (la « Loi sur l’accès »). Ainsi, à partir du 30 mai 2024, les organismes publics, les personnes qui exploitent une entreprise ainsi que les ordres professionnels québécois (les « Organisations ») pourront procéder à l’anonymisation des renseignements personnels qu’elles détiennent. L’anonymisation constituera alors une alternative intéressante à la destruction des renseignements personnels lorsque les fins auxquelles ils ont été recueillis ou utilisés sont accomplies (article 23 de la Loi sur le privé et article 73 de la Loi sur l’accès).

L’anonymisation des renseignements personnels pouvant s’avérer un processus complexe, le présent article présente un survol des modalités et balises prévues au Règlement.

Anonymisation et dépersonnalisation

D’entrée de jeu, il est important de distinguer un renseignement dépersonnalisé d’un renseignement anonymisé.

Un renseignement dépersonnalisé est un renseignement qui ne permet plus d’identifier directement la personne concernée. À titre d’illustration, on peut penser à un renseignement qui ne serait plus associé à des renseignements tels que le nom de la personne concernée, son adresse et son courriel. Les renseignements dépersonnalisés demeurent assujettis à certains volets de la Loi sur le privé et de la Loi sur l’accès, selon le cas. La dépersonnalisation n’est également pas une alternative à la destruction des renseignements personnels.

En vertu du Règlement, un renseignement personnel est anonymisé quand « il est, en tout temps, raisonnable de prévoir dans les circonstances [que le renseignement produit à la suite d’un processus d’anonymisation] ne permet plus, de façon irréversible, d’identifier directement ou indirectement une personne[4]». Le renseignement anonymisé conformément au Règlement peut alors être utilisé, communiqué et conservé sans être soumis aux lois applicables à la protection des renseignements personnels (sous réserve toutefois du respect du Règlement).

En bref, les principales distinctions entre un renseignement dépersonnalisé et un renseignement anonymisé sont 1) le caractère réversible ou non de faire en sorte qu’un renseignement ne permet plus d’identifier directement ou indirectement la personne concernée; 2) le respect du processus d’anonymisation prévu par le Règlement. Soulignons également qu’est susceptible de constituer une infraction pénale le fait pour une personne de procéder ou de tenter de procéder « à l’identification d’une personne physique à partir de renseignements dépersonnalisés sans l’autorisation de la personne les détenant ou à partir de renseignements anonymisés ». 

Processus d’anonymisation prévue par le Règlement

Le Règlement prévoit un processus d’anonymisation en plusieurs étapes.

Étapes préalables

1. Désignation d’une responsable

Le Règlement prévoit que le processus d’anonymisation doit être réalisé sous la supervision d’une personne compétente en la matière[5]. Ainsi, selon les circonstances, cette personne pourrait ne pas être le Responsable à la protection des renseignements personnels si cette personne n’a pas les compétences techniques en matière d’anonymisation.

2. Évaluation des finalités

Avant d’entamer le processus d’anonymisation, le Règlement prévoit que l’organisation doit identifier et évaluer les fins pour lesquelles les renseignements anonymisés seront utilisés[6]. La Loi sur le privé et la Loi sur l’accès prévoient que la conservation des renseignements anonymisés est conditionnelle à leur utilisation à des fins :

  • Sérieuses et légitimes pour une entreprise[7], c’est-à-dire si elle a une raison valable et justifiée de le faire;
  • D’intérêt public pour un organisme public ou un ordre professionnel[8], c’est-à-dire bénéfique pour la société dans son ensemble.

Ces fins demeurent à être définies en pratique. L’utilisation de renseignements anonymisés à des fins d’entraînement de logiciels et d’application faisant appel à l’intelligence artificielle générative, à des fins de recherche ou d’intelligence d’affaires pourraient, selon nous et selon les circonstances, constituer de telles fins.

Par ailleurs, si une organisation utilise les renseignements anonymisés à d’autres fins que celles établies avant de débuter le processus d’anonymisation, l’organisation devra s’assurer que ces fins sont conformes à la Loi sur le privé ou à la Loi sur l’accès, selon le cas[9].

Mise en œuvre du processus d’anonymisation

1. Retrait des renseignements d’identification directs

Le processus d’anonymisation débute par le retrait, dans le document ou la base de données à anonymiser, de tous les renseignements personnels qui permettent d’identifier directement la personne concernée[10].

2. Analyse préliminaire des risques de réidentification

Ensuite, l’organisation doit procéder à une analyse préliminaire des risques de réidentification[11]. L’évaluation doit se faire en considérant notamment les critères suivants :

  • Critère d’individualisation : évaluer le risque que le processus d’anonymisation permette d’isoler ou de distinguer une personne dans un ensemble de données.
  • Critère de corrélation : évaluer le risque que le processus d’anonymisation permette de relier entre eux des ensembles de données qui concernent une même personne.
  • Critère d’inférence : évaluer le risque que le processus d’anonymisation permette de déduire des renseignements personnels à partir d’autres renseignements disponibles.
  • Renseignements disponibles sur l’espace public: évaluer le risque que d’autres renseignements disponibles sur l’espace public soient utilisés pour identifier directement ou indirectement une personne.

3. Identifications des techniques d’anonymisation appropriées

À partir des risques de réidentification, l’organisation doit déterminer les techniques d’anonymisation appropriées[12]. Celles-ci doivent être conformes aux meilleures pratiques généralement reconnues. En l’absence de lignes directrices de la part de la Commission d’accès à l’information, cette exigence accorde une certaine souplesse aux Organisations.

4. Mise en œuvre de mesures de sécurité

Enfin, l’Organisation doit prévoir des mesures de sécurité raisonnables afin de diminuer les risques de réidentification.

Analyse du risque de réidentification et mise à jour périodique

1. Analyse du risque de réidentification

Une fois la mise en œuvre des techniques d’anonymisation complétée, l’Organisation doit effectuer une analyse des risques de réidentification[13].

L’analyse doit démontrer qu’il est, en tout temps, raisonnable de prévoir que les renseignements anonymisés ne permettent plus, de façon irréversible, d’identifier directement ou indirectement une personne. Le Règlement précise toutefois qu’il n’est pas nécessaire de démontrer un risque nul; un risque faible est suffisant. L’analyse doit tenir compte des éléments suivants :

  • Les circonstances liées à l’anonymisation des renseignements personnels. Par exemple, les fins pour lesquelles les renseignements anonymisés seront utilisés.
  • La nature des renseignements.
  • Les critères d’individualisation, de corrélation et d’inférence ainsi que les renseignements disponibles dans l’espace public présentés plus haut.
  • Les moyens nécessaires pour réidentifier les personnes concernées.

2. Mise à jour périodique

L’analyse de risque de réidentification doit être périodiquement mise à jour, notamment à la lumière des avancées technologiques. La périodicité de la mise à jour sera déterminée en fonction des risques identifiés dans la dernière évaluation[14].

Tenue d’un registre d’anonymisation

À compter du 1er janvier 2025[15], une Organisation qui entreprend un processus d’anonymisation devra consigner cette pratique dans un registre. Le registre devra comprendre les éléments suivants :  

  • Une liste des renseignements personnels anonymisés.
  • Les fins pour lesquelles l’organisation entend utiliser les renseignements anonymisés.
  • La ou les techniques d’anonymisation utilisées.
  • Les mesures de sécurité établies.
  • La date à laquelle l’analyse du risque de réidentification a été complétée et la date de sa dernière mise à jour[16].

Prochaines étapes pour les organisations

Afin de se préparer à l’entrée en vigueur du Règlement, les organisations devraient évaluer leurs besoins d’anonymisation en fonction des conditions d’application du Règlement. Si l’anonymisation des renseignements personnels vous semble être une alternative à la destruction de vos renseignements personnels, il sera nécessaire d’entreprendre les démarches prévues au Règlement et présentées dans le présent article.