L'anonymisation des données sous la Loi 25: le règlement québécois est adopté!

Le présent bulletin est une mise à jour de celui du 11 mars 2024. Il vise à analyser le Règlement sur l'anonymisation des renseignements personnels publié le 15 mai 2024 dans une approche de droit comparé. Il se divise en quatre grands thèmes : le concept d'anonymisation, la procédure d'anonymisation prévue par le Règlement, le droit européen et l'anonymisation ainsi que les sanctions.

Contexte

Le 15 mai dernier, le Règlement sur l'anonymisation des renseignements personnels (le « Règlement ») a été officiellement publié¹ et fait suite au projet de règlement du 20 décembre 2023². Ce règlement s'applique à toute entreprise privée³, aux organismes publics, ainsi qu'aux ordres professionnels québécois⁴ et entrera en vigueur à la fin du mois de mai⁵ Il fait écho à l'introduction en droit québécois, via la Loi 25⁶, du concept d'« anonymisation ». Rappelons que selon la Commission d'accès à l'information du Québec (« Commission »), les organisations québécoises ne pouvaient procéder à l'anonymisation que selon les critères et modalités prévus au règlement⁷. En d'autres termes, la Commission prétend donc qu'il impossible d'anonymiser les renseignements personnels tant et aussi longtemps que ledit règlement n'est pas adopté en sa forme finale (le « Règlement »). C'est aujourd'hui chose faite. D'où l'importance de ce nouveau texte que nous tenterons de décortiquer dans le présent bulletin.

1. Anonymisation, dépersonnalisation, pseudonymisation, alouette!

Depuis septembre 2023, sous le régime québécois, un renseignement personnel est anonymisé « lorsqu'il est, en tout temps, raisonnable de prévoir dans les circonstances qu'il ne permet plus, de façon irréversible, d'identifier directement ou indirectement cette personne »⁸.

L'emploi, dans le nouvel article de loi, de l'expression « en tout temps », accompagnée du qualificatif « irréversible », peut paraître paradoxal voire controversé. À vrai dire, la prolifération des informations publiquement disponibles en ligne, combinée à des opérations de calculs informatiques de plus en plus puissants, permettent de douter raisonnablement de la pérennité des techniques considérées à toute épreuve au jour 1. Notamment, comme certains cas ont pu le démontrer par le passé⁹, si des renseignements synthétiques remplaçant les identifiants directs dans un jeu de données sont attribués par un algorithme prédéterminé plutôt que par le pur hasard, il est possible (voire probable) que les données résultantes puissent être réidentifiées dans le futur.

Le Règlement reconnaît cette réalité nuancée et semble même contredire à certains égard l'article de loi au libellé plus radical. Comme cela a été précisé dans l'Union européenne en 2014¹⁰, l'appareil réglementaire concède en d'autres mots « qu'aucune technique n'est, en soi, infaillible »¹¹ et préconise une approche fondée sur l'analyse de risque de réidentification.

S'il échoue au test de l'anonymat (analysé plus bas), un jeu de données pourra, au mieux, être considéré comme dépersonnalisé (ou pseudonymisé, selon la terminologie européenne¹²), c'est-à-dire qu'il sera toujours possible d'identifier indirectement l'individu concerné, par mise en correspondance avec d'autres informations disponibles, par déduction, ou par d'autres méthodes que nous aborderons un peu plus loin¹³. La dépersonnalisation a donc une nature réversible, contrairement à l'anonymisation. Pour les organisations, l'intérêt de cette distinction revêt donc une importance capitale : l'anonymisation permettrait de libérer la donnée sortante des restrictions légales applicables aux renseignements personnels, contrairement à la dépersonnalisation, comme nous le verrons dans la prochaine section. Notons au passage que la Commission a déjà, avant même l'entrée en vigueur des amendements pertinents, statué que des informations révélant des attributs se rattachant à une personne physique et qui lui sont indirectement distinguables d'un ensemble d'individus, puisqu'identifié par un matricule unique lui étant propre, constituaient des renseignements personnels¹⁴.

Dans l'Union européenne (« UE »), en vertu du Règlement général sur la protection des données (« RGPD »), la pseudonymisation est « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable »¹⁵. La pseudonymisation, à l'instar de la dépersonnalisation québécoise, permet donc de traiter des données sans identifier directement les personnes concernées et s'apparente davantage à une mesure de sécurité¹⁶ plutôt qu'à un moyen de se soustraire à l'application de la loi.

2. Comment faire ? La procédure d'anonymisation prévue par le Règlement

Alors, où et surtout, comment, tracer la ligne entre anonymat et pseudonymat?

Le Règlement vise à répondre à cette question en posant un protocole et des balises devant être respectés par les organisations avant, pendant et après la mise en Suvre de procédés d'anonymisation. Nous avons librement divisé la procédure prescrite par le Règlement en quatre principales phases chronologiques :

Toute organisation voulant anonymiser adéquatement des renseignements personnels doit d'abord désigner une personne qui sera en charge de superviser le processus. Le Règlement édicte précisément que l'anonymisation « doit être réalisée sous la supervision d'une personne compétente en la matière »¹⁷. Contrairement aux évaluations des facteurs relatifs à la vie privée (« EFVP ») et à d'autres procédures obligatoires prévues dans les Lois, le rôle de « superviseur » ne réfère par à celui de Responsable de la protection des renseignements personnels (« RPRP »). Ainsi, la candidature d'un employé ou d'un consultant possédant des compétences plus techniques que le RPRP pourrait être opportune.

Il convient ensuite d'identifier et de valider les fins pour lesquelles l'organisation souhaite utiliser les renseignements anonymisés¹⁸. En effet, la Loi sur le privé dispose que « [l]orsque les fins auxquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, la personne qui exploite une entreprise doit le détruire ou l'anonymiser pour l'utiliser à des fins sérieuses et légitimes, sous réserve d'un délai de conservation prévu par une loi »¹⁹. Dans la Loi sur l'accès, la notion de « fins sérieuses et légitimes » est remplacée par celle de « fins d'intérêt public »²⁰.

On ne manquera de remarquer que tant la Loi sur le privé²¹ que le Code civil du Québec²² édictent déjà que la collecte de renseignements personnels et la constitution d'un dossier sur un individu (selon le cas) doivent traduire « un intérêt sérieux et légitime ». À cet égard, la jurisprudence révèle que l'utilisation du qualificatif « légitime » en lien avec l'intérêt sérieux requis par la loi implique que l'objectif poursuivi ne doit pas être contraire à la loi²³. Il nous semble curieux que le législateur ait prolongé le champ d'application des Lois jusqu'à la manipulation de données anonymisées alors que ces données ne seraient plus qualifiées de renseignements personnels et donc ne sont plus soumises aux Lois²⁴.

Il n'est pas certain, à ce stade préliminaire, qu'une EFVP soit requise avant d'initier un procédé d'anonymisation. À cet égard, les Lois prévoient que l'EFVP est requise en amont de « tout projet d'acquisition, de développement et de refonte de système d'information ou de prestation électronique de services impliquant la collecte, l'utilisation, la communication, la conservation ou la destruction de renseignements personnels ». L'anonymisation étant distinguée des opérations de destruction²⁵ et d'utilisation²⁶ aux termes des textes législatifs québécois, un doute demeure quant au déclenchement de l'obligation de mener l'EFVP avant l'amorce d'un projet d'anonymisation.

Une fois la phase préliminaire complétée, les organisation doivent purger la base de données²⁷ de tout identifiant direct (par exemple, l'adresse courriel, le nom complet, le numéro d'assurance sociale, etc.)²⁸. Les identifiants indirects et les quasi-identifiants²⁹, quant à eux, peuvent demeurer et feront l'objet de l'analyse de risque qui suit.

Ensuite, le jeu de données composé d'identifiants indirects et quasi-identifiants devra faire l'objet d'une analyse préliminaire du risque de réidentification en tenant compte des critères, issus de l'interprétation européenne, suivants³⁰:

• L'individualisation : Le fait de ne pas être en mesure d'isoler ou de distinguer une personne dans un ensemble de données. Par exemple, un jeu de données présentant l'adresse résidentielle et la date de naissance des individus concernés permet de manière évidente de retracer individuellement leur identité.
• La corrélation : Le fait de ne pas être en mesure de relier entre eux des ensembles de données qui concernent une même personne. Par exemple, deux jeux de données présentant des attributs rattachés à un matricule ou un numéro unique d'identification peuvent être combinés grâce à cet identifiant unique.
• L'inférence : Le fait d'être (ou ne pas être) en mesure de déduire des renseignements personnels à partir d'autres renseignements disponibles. Par exemple, une base de données présentant, pour chaque individu, son emploi et sa ville de résidence, permettrait de de retracer facilement l'identité de l'individu concerné pour chaque cas où il n'y a qu'une seule personne occupant cet emploi dans la ville concernée.

Enfin, le risque que d'autres renseignements raisonnablement disponibles³¹, notamment dans l'espace public, soient utilisés pour identifier directement ou indirectement un individu doit aussi être analysé lors de cette phase préliminaire³². Ce quatrième facteur nous apparaît comme très complexe à mettre en Suvre, puisqu'il existe de plus en plus de base de données massives publiques³³. En effet, comment prouver que, sur toutes les bases existantes dans le monde, aucune ne permette de faire d'inférence sur un individu ?

Les techniques d'anonymisation, les mesures de protection et de sécurité raisonnables devront être déterminées par l'organisation en fonction de la satisfaction des critères d'analyse et des risques de réidentification décelés lors de la phase précédente³⁴. Sous réserve des résultants de l'analyse préliminaire et des recommandations d'un expert technique, les techniques identifiées peuvent normalement être regroupées en deux familles :

1. celles relatives à la randomisation (par exemple, l'ajout de bruit, la permutation et la confidentialité différentielle) et
2. celles appartenant aux techniques dites de généralisation (comme l'agrégation et le k-anonymat)³⁵.

D'autres techniques émergentes, comme la synthétisation des données³⁶ (contenu disponible en anglais seulement), pourraient également être envisagées.

À la suite de la mise en Suvre des techniques d'anonymisation identifiées, l'organisation doit analyser en profondeur les risques de réidentification à l'aide des données résultantes. L'analyse devra permettre de conclure qu'il est effectivement « en tout temps, raisonnable de prévoir dans les circonstances que les renseignements produits à la suite d'un processus d'anonymisation ne permettent plus, de façon irréversible, d'identifier directement ou indirectement une personne »³⁷.

Les risques de réidentification, sans avoir à être nuls, doivent être très faibles en tenant compte des critères suivants :

• Les circonstances liées à l'anonymisation des renseignements personnels, notamment les fins pour lesquelles elle entend utiliser les renseignements anonymisés, mais aussi les moyens de diffusion des données résultantes (diffusion privée encadrée par une entente comportant des exigences robustes en matière de sécurité, versus un modèle de diffusion publique ou le public pourra accéder aux données résultantes);
• La nature des renseignements personnels;
• Les critères centraux énumérés précédemment (individualisation, corrélation et inférence) ainsi que les risques que d'autres renseignements raisonnablement disponibles, notamment dans l'espace public, soient utilisés pour identifier directement ou indirectement un individu;
• Les moyens nécessaires pour réidentifier les personnes, notamment en considérant les efforts, les ressources et le savoir-faire requis pour mettre en Suvre ces moyens³⁸.

Cette dernière analyse des risques de réidentification devra être mise à jour périodiquement³⁹, c'est-à-dire déterminée en fonction des risques résiduels identifiés dans la dernière analyse et des critères ci-dessus mentionnés.

Finalement, mais uniquement à compter du 1er janvier 2025⁴⁰ tenir un registre entourant l'anonymisation des renseignements personnels.⁴¹

3. Et ailleurs?

Le Règlement québécois s'inspire grandement des développements européens en la matière, notamment de l'Avis 05/2014 sur les techniques d'anonymisation par le Groupe de l'Article 29, prédécesseur du Comité européen à la protection des données⁴². Les auteurs s'étaient penchés sur les limites et l'efficacité des techniques d'anonymisation et ont présenté des recommandations en tenant compte des risques d'identification, le tout à la lumière des notions d'anonymisation et de pseudonymisation déjà introduites par la Directive 95/46, puis reprises sous le RGPD⁴³.

Ce groupe de travail proposait déjà à cette époque les trois mêmes critères⁴⁴ que le Règlement pour évaluer l'efficacité des techniques d'anonymisation: l'individualisation, la corrélation et l'inférence. Du moment que les trois critères suivants sont satisfaits, a priori, le renseignement serait efficacement anonymisé et ne porterait pas atteinte aux droits des personnes concernées.

Face aux nouveautés de droit québécois que constituent les concepts d'anonymisation et de dépersonnalisation, il convient de se pencher sur le droit européen pour tenter d'éclaircir les nombreuses questions qui demeurent toujours en suspens. Suivant la publication de l'avis sur les techniques d'anonymisation, les autorités de contrôle des États membres de l'UE se sont prononcés à quelques reprises :

• En 2015⁴⁵, l'autorité de contrôle française (CNIL) fut saisie d'une demande d'autorisation concernant un traitement automatisé de données personnelles visant à tester une méthodologie d'estimation quantitative des flux de piétons sur un espace de circulation⁴⁶. Plus précisément, la société en cause procédait à cette comptabilisation par l'entremise de boîtiers de comptage Wi-Fi installés sur des mobiliers publicitaires, permettant de capter les adresses MAC⁴⁷ des appareils mobiles présents dans l'environnement immédiat. De ces détections étaient calculés le volume de fréquentation, les taux de répétition et les schémas de mobilité de l'espace de circulation. Alors que la société soutenait qu'elle assurait la mise en Suvre de techniques d'anonymisation rigoureuse, la CNIL conclut que celle-ci permettait encore la corrélation et l'inférence à partir des données résultantes et qu'elle ne satisfaisait donc pas le seuil requis par le RGPD et que donc, les données constituaient des données personnelles.
• Tout récemment, en 2023, la Cour de justice de l'UE (CJUE) fut saisie d'une affaire portant sur un litige entre un fabricant de véhicules et une association d'ateliers de réparation indépendants et de distributeurs concernant l'accès aux informations sur les véhicules pour les réparations et l'entretien⁴⁸, dans le cadre de laquelle il lui a été demandé d'examiner si les numéros d'identification des véhicules constituaient des données personnelles au sens du RGPD. La Cour a conclu par l'affirmative, estimant que les réparateurs et distributeurs pouvaient raisonnablement avoir à leur disposition les moyens leur permettant de relier un numéro à une personne physique. Ce qui retient notre attention dans cette affaire est le raisonnement de la CJUE soutenant la position subjective selon laquelle on peut parvenir à l'anonymisation en séparant les données des données requises pour permettre la réidentification. Plus précisément, elle a estimé que les données pseudonymisées ne constitueraient pas des données à caractère personnel lorsqu'elles sont en possession d'une partie qui n'a pas d'accès raisonnable aux données permettant la réidentification. Cette approche subjective tenant compte de la perspective du destinataire des données (son accès réel aux données permettant l'identification) venait ainsi confronter l'approche objective autrefois préconisée⁴⁹.

4. Rappel des sanctions; prochaines étapes

Rappelons que la réforme québécoise des Lois en matière de renseignements personnels a introduit des pouvoirs de sanctions très importants pour assurer le respect des dispositions légales et réglementaires. Notamment, sous le régime applicable au secteur privé, toute personne qui « procède ou tente de procéder à l'identification d'une personne physique à partir de renseignements dépersonnalisés sans l'autorisation de la personne les détenant ou à partir de renseignements anonymisés »⁵⁰, est passible d'une amende d'un montant pouvant atteindre 25 000 000 $ ou correspondant à 4% du chiffre d'affaires mondial, selon le montant le plus élevé⁵¹.

Puisque le Règlement entre en vigueur le 15e jour qui suit sa date de publication à la Gazette, soit le 30 mai, les organisations des secteurs privés et publics peuvent mettre en place une procédure documentant les éléments principaux discutés dans le présent article : la désignation du superviseur, l'identification des finalités d'utilisation des données résultantes, l'évaluation préliminaire et approfondie des critères d'individualisation, de corrélation et d'inférence, et le calcul du risque de réidentification qui en résulte.

À ceci risquent de s'ajouter (voire se chevaucher) d'autres régimes réglementaires analogues provenant du palier fédéral⁵², ainsi que des normes techniques nouvelles ou existantes.

Fasken est là pour vous assister et pour répondre aux questions que vous vous posez.

Footnotes

1. GAZETTE OFFICIELLE DU QUÉBEC, 15 mai 2024, 156e année, n°20, p. 2847 (« Règlement »).

2. GAZETTE OFFICIELLE DU QUÉBEC, 20 décembre 2023, 155e année, n°51, p. 5877 («Règlement »).

3. Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c. P -39.1.

5. Règlement, art. 10.

6. Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, sanctionnée le 22 septembre 2021.

7. COMMISSION D'ACCÈS À L'INFORMATION, «Anonymisation», [en ligne] : https://www.cai.gouv.qc.ca/espace-evolutif-modernisation-lois/thematiques/anonymisation/

8. Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c. P -39.1, art. 23, al.2.

9. Par exemple, ce fut le cas, en 2014, alors que la Commission des taxis et des limousines de New York avait publié un ensemble de données sur les trajets en taxi effectués cette année-là. Avant la publication, l'organisme a tenté de nettoyer les données en remplaçant tout identifiant unique comme les numéros de véhicules et les numéros de permis de conduire, par des données simulées à l'aide d'un algorithme. Ceci fut suffisant pour permettre à de nombreux internautes, usant d'ingénierie inverse, de désamorcer l'algorithme utilisé pour modifier les numéros réels et ainsi retracer l'identité des individus concernés (Simson Garfinkel, De-identification of Personal Information 8053 NATL INST. OF STANDARDS a i. INTERNAL REP. 1, 6 (2015)).

10. Groupe de travail «Article 29» sur la protection des données, Avis 05/2014 sur les techniques d'anonymisation, 10 avril 2014 (« Lignes directrices »).

11. Ibid., p. 13.

12. RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (« RGPD »), art. 4 al. 5.

13. Loi sur le privé, art. 12, al.4 (2).

14. À cat égard, voir notamment Shiab c. Régie de l'assurance maladie du Québec (RAMQ), 2023 QCCAI 30 (à propos de renseignements sur la facturation de services médicaux rendus par des professionnels de la santé) et Enquête concernant le Centre de services scolaire du- Val- des- Cerfs (anciennement Commission scolaire du Val-des-Cerfs), CAI no 1020040-S (concernant des renseignements sur des élèves desquels on avait retiré plusieurs identifiants directs).

15. RGPD, art. 4 al. 5.

16. Voir notamment : RGPD, considérant 28.

17. Règlement, art. 4.

18. Ibid., art.3.

19. Loi sur le privé, art. 23.

20. Loi sur l'accès, art. 73

21. Loi sur le privé, art. 4.

22. c. CCQ-1991, art. 37.

23. Par exemple, la Commission conclut qu'une entreprise n'avait pas satisfait au critère de l'intérêt sérieux et légitime lorsqu'elle a recueilli des renseignements personnels pour les relier à des activités ovniologiques alors qu'aucun consentement n'avait été obtenu et qu'aucune loi ne permettait expressément d'agir de la sorte (G.S. c. Éditions Alain Duchesne Abducted Man (C.A.I., 2008-05-22), 2008 QCCAI 110).

24. À cet égard, nous référons notamment le lecteur au tout premier article de la Loi sur le privé, dont son premier alinéa visant à délimiter le champ d'application matériel de la loi.

25. Loi sur le privé, art. 23; Loi sur l'accès, art. 73.

26. Loi sur le privé, art. 12 al. 2 par. 5; Loi sur l'accès, art. 65.1 al. 2 par. 4.

27. Règlement, art. 5 al. 1.

28. C'est-à-dire, les informations qui permettent directement d'identifier l'individu concerné – à cet égard, voir notamment : Commissaire à l'information et à la protection de la vie privée de l'Ontario, De-identification Guidelines for Structured Data, 8 juin 2016, p. 4.

29. Ibid.

30. Règlement, art. 5 al. 2.

31. L'interprétation de la "disponibilité" des autres renseignements devraient, si on se fie aux récentes décisions en la matière dans l'UE (Affaire T-557/20 (Conseil de résolution unique c. Contrôleur européen de la protection des données), 26 avril 2023), s'analyse du point de vue du destinataire des données résultantes, et donc des autres données auxquelles cette personne a accès. Nous discutons de la décision précitée dans la section 3 du présent bulletin.

32. Ibid.

33. J. Joliij, Privacy and Anonymity in Public Sharing of High-Dimensional Datasets: Legal and Ethical Restrictions, 2017.

34. Règlement, art. 6.

35. Groupe de travail «Article 29» sur la protection des données, Avis 05/2014 sur les techniques d'anonymisation, 10 avril 2014, p. 30-42.

36. À cet égard, voir notamment : Iara Griffith, International: Is synthetic data the future of privacy?, Février 2023.

37. Règlement, art. 7, al.2.

38. Ibid, art. 7, al.3.

39. Ibid, art. 8.

40. Règlement, art. 10.

41. Ibid, art. 9.

42. Groupe de travail «Article 29» sur la protection des données, Avis 05/2014 sur les techniques d'anonymisation, 10 avril 2014, p.1.

43. RGPD, considérant 26 et art. 4 (5).

44. Ibid, p. 23-24.

45. Commission Nationale de l'Informatique et des libertés, délibération n° 2015-255 du 16 juillet 2015; confirmée en appel par le Conseil d'État : Conseil d'État, n°393714, 8 février 2017.

46. Ibid.

47. Parfois nommée adresse physique, il s'agit d'un identifiant physique stocké dans une carte réseau ou une interface réseau similaire, et est unique au monde (Wikipedia).

48. Affaire C-319/22 (Gesamtverband Autoteile-Handel eV c. Scania CV AB), 9 novembre 2023.

49. Cette approche objective est mise de l'avant dans les Lignes directrices de 2014. Également à ce sujet, voir la décision de la CJUE datant de 2016: Affaire C-582/14 (Patrick Breyer c. Bundesrepublik Deutschland), 19 octobre 2016.

50. Loi sur le privé, RLRQ c. P -39.1, art. 91, al.5.

51. Ibid.

52. Au sujet des notions analogues proposes dans le Projet de loi C-27 au fédéral, voir un bulletin précédent publié par Fasken : Anonymisation et dépersonnalisation des renseignements personnels aux termes du projet de loi C-27 : implications pour l'analytique des données.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.