Le 15 mai 2024, le gouvernement du Québec a publié la version finale du Règlement sur l’anonymisation des renseignements personnels (le « Règlement »).

Le Règlement ne diffère pas énormément de la version provisoire publiée en décembre 2023 [cliquez ici pour télécharger un document comparant les deux versions].

Cependant, il y a quelques changements, dont la plupart assouplissent les obligations des organisations. Le Règlement se concentre toujours sur les étapes de l’anonymisation (voir notre article précédent pour une description plus détaillée des étapes) :

Étape I : Les activités préalables à l’anonymisation

Étape II : Le processus d’anonymisation

Étape III : Les activités ultérieures au processus d’anonymisation

Notamment, à l’étape I, l’analyse des risques de réidentification avant l’anonymisation n’exige plus que les organisations prennent en compte les risques relatifs aux « autres renseignements disponibles », mais seulement qu’elles évaluent les risques relatifs aux « autres renseignements raisonnablement disponibles ». Cette modification répond aux préoccupations exprimées par certaines personnes, qui estimaient que la formulation initiale créait une norme impossible à respecter.

De même, l’exigence de l’étape II relative à la mise en place de « mesures de protection et de sécurité pour diminuer les risques de réidentification » vise maintenant la mise en place de mesures de protection et de sécurité « raisonnables » pour réduire ces risques.

À l’étape III, les organisations ne sont plus tenues d’évaluer « régulièrement » les renseignements qu’elles ont anonymisés, mais plutôt de le faire « périodiquement ». La fréquence des évaluations dépend désormais des risques identifiés dans le cadre de l’analyse des risques de réidentification.

En vertu des exigences relatives à la tenue des registres de l’article 9 (étape III), les organisations n’ont plus à consigner une synthèse des résultats de l’analyse des risques de réidentification.

Le Règlement entrera en vigueur 15 jours après sa publication (soit le 30 mai 2024), à l’exception des exigences relatives à la tenue des registres de l’article 9, qui entreront en vigueur le 1er janvier 2025.

Subscribe and stay updated
Receive our latest blog posts by email.
Stay in Touch
Kirsten Thompson

About Kirsten Thompson

Kirsten Thompson is a partner and the national lead of Dentons’ Privacy and Cybersecurity group. She has both an advisory and advocacy practice, and provides privacy, data security and data management advice to clients in a wide variety of industries.

Full bio

Sasha Coutu

About Sasha Coutu

Sasha Coutu is an associate in the Privacy and Cybersecurity group and the Litigation and Dispute Resolution group at Dentons.