Contexte
Le 20 décembre 2023, le projet de Règlement sur l’anonymisation des renseignements personnels (le « projet de règlement ») a été publié, donnant un aperçu des obligations qui seront probablement imposées aux entreprises qui voudront anonymiser les renseignements personnels en toute légalité conformément à la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi »), qui a été modifiée récemment. Le projet de règlement a fait l’objet d’une consultation publique pendant une période de 45 jours.
La majeure partie des modifications apportées à la Loi sont entrées en vigueur le 22 septembre 2023, y compris les dispositions qui obligent les entreprises à détruire les renseignements personnels à la fin de leur cycle de vie ou à les anonymiser pour les utiliser à des « fins sérieuses et légitimes » :
23. Lorsque les fins auxquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, la personne qui exploite une entreprise doit le détruire ou l’anonymiser pour l’utiliser à des fins sérieuses et légitimes, sous réserve d’un délai de conservation prévu par une loi.
Pour l’application de la présente loi, un renseignement concernant une personne physique est anonymisé lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne.
Les renseignements anonymisés en vertu de la présente loi doivent l’être selon les meilleures pratiques généralement reconnues et selon les critères et modalités déterminés par règlement.
Toutefois, les entreprises disposaient de très peu de renseignements sur les méthodes d’anonymisation qu’elles pouvaient utiliser et dans quelles circonstances elles pouvaient le faire. Elles savaient seulement qu’un renseignement était anonymisé lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement une personne, et que l’anonymisation ne pouvait se faire (gras ajouté) que « selon les meilleures pratiques généralement reconnues et selon les critères et modalités déterminés par règlement ».
En mai 2023, la Commission d’accès à l’information (la « CAI »), l’organisme de réglementation de la protection de la vie privée et des renseignements personnels au Québec, a publié une mise à jour de ses lignes directrices (Destruction et anonymisation) dans laquelle elle indique, à la lumière des avancées technologiques, qu’elle estime qu’il est quasi impossible de certifier que des renseignements anonymisés ne pourraient pas éventuellement être réidentifiés. Par conséquent, la CAI a informé les entreprises qu’il leur serait interdit d’anonymiser les renseignements personnels jusqu’à ce qu’un règlement stipule les modalités du processus d’anonymisation (consulter notre article d’octobre 2023, en anglais seulement, pour obtenir de plus amples renseignements à ce sujet). Cet avis a semé la crainte que l’anonymisation soit interdite indéfiniment, mais le projet de règlement qui vient d’être publié pourrait bientôt mettre fin à cette interdiction.
Le projet de règlement : quelles sont les obligations?
La Loi prévoit que les entreprises qui ont accompli les fins auxquelles elles avaient recueilli les renseignements personnels ont deux options : (i) les détruire ou (ii) les anonymiser dans le but de les utiliser à des « fins sérieuses et légitimes ». Le projet de règlement indique le processus à suivre dans le deuxième cas.
Le préambule du projet de règlement souligne clairement que l’objectif consiste à diminuer les risques de réidentification liés à l’anonymisation. Il convient de noter qu’il n’est pas fait mention de l’importance que les ensembles de données anonymisées ont pour les entreprises, en particulier à une époque où ces données sont souvent essentielles pour tirer le plein potentiel des technologies utilisant l’intelligence artificielle. Cela donne à penser qu’aucune tentative ne sera faite pour « équilibrer » les effets du projet de règlement et que les entreprises visées devront s’y conformer rigoureusement.
Le projet de règlement répartit les obligations qui incombent aux entreprises selon trois étapes : les activités préalables à l’anonymisation, le processus d’anonymisation lui-même et les activités ultérieures au processus d’anonymisation.
(i) Stade I : Activités préalables à l’anonymisation
Étape 1 : Avant de procéder à l’anonymisation, l’entreprise doit établir les fins auxquelles elle entend utiliser les données anonymisées.
Étape 2 : L’entreprise doit ensuite établir si ces fins sont conformes à l’article 23 de la Loi, c’est-à-dire si elles sont « sérieuses et légitimes ». Si l’entreprise souhaite utiliser l’ensemble de données anonymisées à des fins autres que celles qu’elle a établies avant le processus d’anonymisation, elle devra s’assurer que ces fins sont conformes à l’article 23.
La première étape exige que l’entreprise repère d’abord le sous-ensemble de renseignements personnels qui a atteint la fin de son cycle de vie – c’est-à-dire que les fins auxquelles ces renseignements ont été recueillis ou utilisés ont été accomplies. Il convient de noter que seuls les renseignements personnels qui ont atteint la fin de leur cycle de vie peuvent être anonymisés; cet article de la Loi ne traite pas expressément de l’anonymisation des renseignements personnels qui sont en cours d’utilisation (c’est-à-dire dont les fins sont en cours d’accomplissement). Il est donc permis de croire que, en ce qui concerne les renseignements personnels en cours d’utilisation, l’anonymisation pourrait constituer une « fin compatible » n’exigeant aucun consentement (selon les exceptions relatives au consentement prévues à l’article 12 de la Loi, et dont la « dépersonnalisation » est requise – l’anonymisation est la quintessence de la dépersonnalisation). Si tel est le cas, l’anonymisation d’un renseignement personnel en cours d’utilisation est autorisée dans les circonstances précises prévues à l’article 12, mais cet article, qui exige qu’il y ait « un lien pertinent et direct avec les fins auxquelles le renseignement a été recueilli », n’est peut-être pas assez large pour englober les renseignements personnels qui ont atteint la fin de leur cycle de vie.
Remarque générale : L’obligation d’établir les fins auxquelles les renseignements personnels seront utilisés est conforme aux principes fondateurs et aux exigences des lois sur la protection de la vie privée et des renseignements personnels au Canada et ailleurs dans le monde. Cependant, cette obligation va au delà de l’obligation existante, car l’obligation prévue par ces lois s’applique aux renseignements personnels et non, dans la plupart des cas, aux renseignements anonymisés. Par conséquent, il n’est généralement pas obligatoire d’établir les fins auxquelles les renseignements déjà anonymisés seront utilisés.
De cette manière, le projet de règlement aboutit à une impasse – une fois que les fins auxquelles les renseignements personnels doivent être utilisés ont été établies, ces renseignements ne sont plus à la fin de leur cycle de vie puisque leur utilisation a désormais une fin. On pourrait soutenir que ces fins ont été établies au moment où les renseignements en question ont été recueillis ou utilisés – cependant, si une entreprise juge que l’« anonymisation » est l’une des fins auxquelles elle a recueilli les renseignements, ceux-ci risquent de ne jamais atteindre la fin de leur cycle de vie et l’entreprise risque de ne jamais pouvoir les utiliser aux fins qu’elle avait établies.
En outre, la plupart des lois exigent que les entreprises mettent en œuvre des politiques et des pratiques qui encadrent le traitement des renseignements personnels. Dans ce cas, la CAI indique expressément dans ses lignes directrices que les politiques de gouvernance qui sont obligatoires en vertu de l’article 3.2 de la Loi doivent également contenir des renseignements sur les pratiques à adopter pour anonymiser les renseignements personnels.
Remarque quant à la mise en œuvre : En réalité, il se pourrait que les entreprises ne prennent pas en considération toutes les fins auxquelles les données anonymisées seront utilisées au début du processus, ce qui signifie que la nécessité de se conformer à ces exigences pourrait retarder la mise en œuvre et le moment où les ensembles de données anonymisées pourront être mis à la disposition des entreprises qui voudraient les utiliser à d’autres fins. Toutefois, il devrait être possible de s’y conformer sans trop de difficulté si les ensembles de données demeurent à l’intérieur de l’entreprise.
Les difficultés risquent d’être plus grandes si les ensembles de données, qu’ils soient identifiables ou anonymisés, sont envoyés à des prestataires de services externes à des fins de traitement. À la condition que ces données aient atteint la fin de leur cycle de vie, il semblerait que les prestataires de services pourraient également les anonymiser. Les entreprises qui souhaitent interdire cette pratique devront désormais ajouter une disposition expresse à cet effet dans leurs contrats.
(ii) Stade II : Le processus d’anonymisation
Étape 3 : Le processus d’anonymisation doit être réalisé sous la supervision d’une « personne compétente en la matière ».
Remarque générale : On ne sait pas exactement ce qui fait qu’une personne est « compétente » pour superviser le processus. Les entreprises qui choisissent d’anonymiser à l’interne devront probablement compter sur leur responsable de la protection des renseignements personnels, leur personnel informatique ou leurs spécialistes des données qui devront acquérir les connaissances requises. Les entreprises qui préféreront faire appel à un prestataire de services devront insérer des dispositions appropriées dans leurs contrats, y compris des clauses de responsabilité, d’indemnisation et de garantie inattaquables.
Étape 4 : L’entreprise doit retirer les renseignements qui permettent d’identifier directement la personne concernée de l’ensemble de données (ce processus est communément appelé le « masquage »).
Remarque générale : L’ensemble de données qui reste semble être un « renseignement dépersonnalisé » selon la définition de l’article 12 de la Loi. En vertu de la Loi, lorsque son utilisation est nécessaire à des fins d’étude, de recherche ou de production de statistiques, le renseignement dépersonnalisé peut être utilisé sans consentement.
Étape 5 : L’entreprise doit ensuite effectuer une évaluation préliminaire des risques de réidentification en considérant les critères suivants :
- individualisation – le fait de ne pas être en mesure d’isoler ou de distinguer une personne dans un ensemble de données. Par exemple, l’individualisation consisterait à pouvoir isoler une personne après avoir eu accès à une base de données contenant des adresses municipales;
- corrélation – le fait de ne pas être en mesure de relier entre eux des ensembles de données qui concernent une même personne. Par exemple, la corrélation permettrait de déterminer l’identité d’une personne en reliant le numéro de son laissez-passer au registre d’entrée d’un bâtiment;
- déduction – le fait de ne pas être en mesure de déduire des renseignements personnels à partir d’autres renseignements disponibles. Par exemple, une personne pourrait déduire le salaire d’un employé en se fondant sur son ancienneté;
- d’autres renseignements, du domaine privé ou public, qui pourraient être utilisés pour identifier la personne concernée, que ce soit directement ou indirectement.
Remarque générale : La manière dont une entreprise doit s’y prendre pour évaluer le quatrième critère n’est pas précisée. Doit-elle tenir compte des renseignements que l’on peut trouver sur le Web clandestin (Dark Web) ou qui sont diffusés d’une autre manière par des personnes mal intentionnées? Cela impose-t-il aux entreprises l’obligation de surveiller le Web clandestin? Les « autres renseignements » comprennent-ils les ensembles de données détenus par d’autres entités?
Remarque générale : La CAI mentionne dans ses lignes directrices que certains renseignements personnels sont tellement distinctifs par nature qu’ils ne peuvent pas être anonymisés – par exemple, les renseignements génétiques ou biométriques ou les données de géolocalisation.
Étape 6 : En fonction des risques déterminés dans le cadre de l’évaluation, l’entreprise doit ensuite établir les techniques d’anonymisation à utiliser, lesquelles doivent être conformes aux « meilleures pratiques généralement reconnues ».
Remarque quant à la mise en œuvre : Le sens à donner à l’expression « meilleures pratiques généralement reconnues » n’est pas clair. On peut supposer qu’il s’agit des normes ISO, des normes du NIST ou d’autres normes similaires, des lignes directrices des organismes de réglementation de la protection de la vie privée et des renseignements personnels au Canada et dans le monde, ou de la jurisprudence en la matière. L’entreprise doit stipuler la norme qu’elle entend respecter dans le contrat qu’elle conclut avec un tiers qui lui fournira des services d’anonymisation.
Étape 7 : L’entreprise doit également établir les mesures de protection et de sécurité qui empêcheront les risques de réidentification.
Remarque générale : À cette étape, même si les renseignements ont été dépersonnalisés, ils sont toujours considérés comme des renseignements personnels (certains textes législatifs, comme le Règlement général sur la protection des données, considèrent alors qu’ils ont été « pseudonymisés »). Ainsi, l’obligation de veiller à ce que les renseignements soient protégés par des mesures de sécurité appropriées concorde avec les obligations de protection prévues par les lois qui régissent la protection de la vie privée et des renseignements personnels au Canada et ailleurs dans le monde.
(iii) Stade III : Activités ultérieures au processus d’anonymisation
Étape 8 : Une fois le processus d’anonymisation terminé, l’entreprise doit analyser les risques de réidentification.
Les résultats de cette analyse doivent démontrer que l’ensemble de données est désormais anonyme, c’est-à-dire qu’il est, en tout temps, raisonnable de prévoir dans les circonstances que les renseignements produits à la suite du processus d’anonymisation ne permettent plus, de manière irréversible, d’identifier directement ou indirectement une personne.
L’analyse doit tenir compte des éléments suivants :
- les circonstances liées à l’anonymisation des renseignements personnels, notamment les fins auxquelles on entend utiliser les renseignements anonymisés.
Remarque quant à la mise en œuvre : Divers organismes de réglementation considèrent l’analyse des destinataires ou du public ayant accès aux renseignements comme un facteur important à considérer. Par exemple, ce facteur est particulièrement important lorsque les renseignements sont diffusés dans l’espace public, ce qui constituerait une difficulté inhérente à l’anonymisation, ou hors de l’espace public, à des destinataires assujettis à des ententes de non-divulgation, ce qui pourrait constituer un facteur atténuant.
- La nature des renseignements – vraisemblablement, le caractère sensible du renseignement;
- Le critère d’individualisation, le critère de corrélation et le critère d’inférence;
- Les risques que d’autres renseignements disponibles, notamment dans l’espace public, soient utilisés pour identifier directement ou indirectement une personne;
- Les moyens nécessaires pour réidentifier les personnes, notamment en considérant les efforts, les ressources et le savoir-faire.
Remarques générales : Le projet de règlement précise qu’il n’est pas nécessaire de démontrer que le risque est nul, mais que le risque résiduel de réidentification est « très faible ». Il est surprenant que le projet de règlement ne précise pas le seuil qui serait acceptable. Ce seuil varierait probablement en fonction de plusieurs facteurs, tels que ceux qui sont énumérés ci-dessus.
Ces obligations, en particulier l’analyse des facteurs mentionnés ci-dessus à la lumière de l’absence de lignes directrices et de jurisprudence, posent des problèmes pratiques évidents aux entreprises. Il n’est toujours pas clair si, selon la CAI, un renseignement qui permet à un tiers d’établir l’identité d’une personne à l’aide d’un ensemble de données distinct qui n’est pas accessible à l’entreprise doit être considéré ou non comme anonyme pour l’entreprise.
Par exemple, un prestataire de services pourrait considérer qu’un ensemble de données auquel il a accès est anonyme, car il n’a aucun moyen d’accéder aux renseignements qui pourraient lui permettre d’identifier les personnes concernées, par exemple une clé qui déverrouille la base de données ainsi que l’accès à cette base de données. Toutefois, le client du prestataire de services pourrait disposer d’une clé lui permettant d’accéder à l’ensemble des données dont l’ensemble de données anonymisées est issu.
De manière générale, les lois semblent varier à cet égard, selon le territoire et l’organisme de réglementation; une approche prudente consisterait à considérer un ensemble de données comme ayant été simplement dépersonnalisé s’il existe un moyen d’identifier une personne à partir des données (même si les renseignements sont protégés et inaccessibles), tandis qu’une approche plus libérale pourrait considérer l’ensemble de données comme ayant été anonymisé s’il existe des facteurs atténuants, comme le fait que le tiers n’ait aucun motif de vouloir réidentifier une personne à partir des renseignements.
Étape 9 : L’entreprise est tenue de réévaluer régulièrement les renseignements qu’elle a anonymisés afin de s’assurer qu’ils le demeurent. Cette analyse, qui est similaire à celle qui doit être effectuée à la fin du processus d’anonymisation, doit tenir compte, outre les facteurs énumérés à l’étape 5 ci-dessus, des avancées technologiques qui peuvent contribuer à réidentifier une personne.
Remarques générales : Le projet de règlement prévoit que si le résultat d’une analyse ultérieure révèle qu’il n’est plus, à quelque moment que ce soit, raisonnable de prévoir dans les circonstances que les renseignements produits à la suite d’un processus d’anonymisation ne permettent plus, de façon irréversible, d’identifier directement ou indirectement la personne, ces renseignements seront réputés ne plus être anonymisés et seront donc considérés comme des renseignements personnels en vertu de la Loi.
Certains aspects de cette obligation demeurent toutefois confus, par exemple les suivants : à quelle fréquence ces réévaluations doivent-elles être effectuées, existe-t-il des éléments qui déclencheraient la nécessité de le faire et le fait de constater que les renseignements ne sont plus anonymes constitue-t-il un incident de confidentialité qui doit être signalé à la CAI.
Étape 10 : Enfin, le projet de règlement exige que les entreprises consignent dans un registre les renseignements suivants :
- une description des renseignements personnels anonymisés;
- les fins auxquelles ces renseignements personnels anonymisés seront utilisés;
- les techniques d’anonymisation utilisées et la façon de les appliquer, ainsi que les mesures de sécurité établies;
- une synthèse des résultats de l’analyse des risques de réidentification;
- la date à laquelle l’analyse des risques de réidentification a été effectuée (et la date à laquelle elle pourrait être actualisée).
La Loi prévoit de lourdes sanctions en cas de manquement aux obligations relatives au processus d’anonymisation.
La personne qui procède (ou tente de procéder) à l’identification d’une personne à partir de renseignements dépersonnalisés sans autorisation ou à partir de renseignements anonymisés commet une infraction et est passible d’une amende allant de 5 000 $ à 100 000 $ dans le cas d’une personne physique et, dans tous les autres cas, d’une amende allant de 15 000 $ à 25 000 000 $ ou, s’il est plus élevé, à un montant correspondant à 4 % du chiffre d’affaires mondial de l’exercice précédent.
Les autres sanctions et amendes générales prévues par la Loi s’appliquent également aux personnes qui détruisent des renseignements en violation de la Loi :
- quiconque recueille, utilise, communique, conserve ou détruit des renseignements personnels en violation de la loi commet une infraction et est passible d’une amende allant de 5 000 $ à 100 000 $ dans le cas d’une personne physique et, dans tous les autres cas, d’une amende allant de 15 000 $ à 25 000 000 $ ou, s’il est plus élevé, à un montant correspondant à 4 % du chiffre d’affaires mondial de l’exercice précédent;
- quiconque recueille, utilise, communique, conserve ou détruit des renseignements personnels en violation de la loi est passible d’une sanction administrative pécuniaire pouvant aller jusqu’à 10 000 000 $ ou à 2 % du chiffre d’affaires mondial;
- quiconque procède ou tente de procéder à l’identification d’une personne à partir de renseignements dépersonnalisés sans l’autorisation de la personne qui les détient ou à partir de renseignements anonymisés commet une infraction et est passible d’une amende allant de 5 000 $ à 100 000 $ dans le cas d’une personne physique et, dans tous les autres cas, allant de 15 000 $ à 25 000 000 $ ou, s’il est plus élevé, à un montant correspondant à 4 % du chiffre d’affaires mondial de l’exercice précédent
En outre, les particuliers peuvent demander des dommages-intérêts punitifs lorsque la violation illégale d’un droit conféré par la Loi leur cause un préjudice, à la condition que la violation soit intentionnelle ou résulte d’une faute lourde.
Pour obtenir de plus amples renseignements sur la protection des renseignements personnels, veuillez communiquer avec Kirsten Thompson, Sasha Coutu ou d’autres membres de notre équipe Cybersécurité et protection de la vie privée et des renseignements personnels.
Les auteurs souhaitent remercier leur co-auteur, Justin Morell, stagiaire, pour sa collaboration à la rédaction de cet article.