Entrée en vigueur

La Loi sur la protection des renseignements personnels dans le secteur privé et la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels telle que modifiée par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (ensemble la « législation québécoise sur la protection des renseignements personnels »), régissent la collecte, l'utilisation et la communication des renseignements personnels au Québec.

En vertu de la législation québécoise sur la protection des renseignements personnels, les organisations sont tenues de détruire ce type de renseignements une fois que les objectifs pour lesquels ils ont été collectés sont atteints, à moins que leur conservation ne soit nécessaire pour se conformer aux lois applicables. Comme alternative à la destruction de renseignements personnels, les organisations peuvent les anonymiser s'ils seront utilisés à des fins sérieuses et légitimes.

Le projet de Règlement sur l'anonymisation des renseignements personnels (« règlement sur l'anonymisation ») a été publié le 20 décembre 2023. Pour obtenir un aperçu du processus d'anonymisation défini par ce projet de règlement et nos commentaires en vue de la consultation publique du Secrétariat à la réforme des institutions démocratiques, à l'accès à l'information et à la laïcité, veuillez consulter notre publication précédente.

La version finale du règlement sur l'anonymisation, publiée le 15 mai 2024 dans la Gazette no 20, est entrée en vigueur le 30 mai 2024. Exceptionnellement, l'obligation de tenir un registre d'anonymisation entrera en vigueur le 1er janvier 2025.

Résumé des changements

La version finale du règlement est en grande partie similaire au projet, mais elle comporte quelques mises à jour importantes :

  • Le terme « renseignements personnels anonymisés », un oxymore, a été révisé pour devenir « renseignements anonymisés »;
  • Une norme de raisonnabilité a été incluse dans le règlement sur l'anonymisation, notamment dans le cadre des analyses de risques de réidentification et de la mise en œuvre de mesures de sécurité;
  • Pour s'assurer que les renseignements demeurent anonymisés, les évaluations « périodiques » (anciennement « régulières ») doivent être effectuées à des intervalles basée sur le risque résiduel; et
  • Une synthèse des analyses des risques de réidentification n'est plus requise dans le registre d'anonymisation.

Signaux de la Commission d'accès à l'information

En vertu de la loi, le gouvernement du Québec est tenu de consulter la Commission d'accès à l'information (« CAI ») avant d'adopter tout règlement relatif à l'anonymisation. Bien que les recommandations de la CAI sur cette question n'aient pas été largement adoptées, elles donnent des signaux sur la manière dont le commissaire pourrait appliquer les exigences en matière d'anonymisation :

  • La législation québécoise sur la protection des renseignements personnels et le règlement sur l'anonymisation ne traite de l'anonymisation que comme une alternative à la destruction à la fin du cycle de vie des renseignements personnels. Cela soulève la question suivante : Quelles sont les lignes directrices applicables à l'anonymisation des renseignements personnels plus tôt dans le cycle de vie des renseignements (par exemple, lorsqu'ils sont identifiés comme une finalité de la collecte, une finalité compatible ou avec le consentement de la personne concernée)? La CAI s'inquiète de l'incertitude causée par ce manque d'orientation. Elle a suggéré d'étendre le règlement sur l'anonymisation à tous les cas où les organisations rendent anonymes les renseignements personnels. Par conséquent, la CAI pourrait être favorable envers les organisations qui suivent le processus du règlement sur l'anonymisation lorsqu'elles rendent anonymes des renseignements personnels avant la fin de leur cycle de vie.
  • La législation québécoise sur la protection des renseignements personnels et le règlement sur l'anonymisation précisent que les renseignements anonymisés ne peuvent être utilisés qu'à des fins « sérieuses et légitimes » par des entreprises ou à des fins « d'intérêt public » par des organismes publics. Ces termes n'étant définis dans aucune loi ou règlement, il convient de s'en remettre à leur sens commun. Toutefois, la CAI a clarifié que la communication de renseignements anonymisés à des tiers (sauf si cela est nécessaire dans le cadre d'un mandat ou d'un contrat de service licite) ou la vente des renseignements anonymisés ne seraient pas considérées comme des fins « sérieuses et légitimes » ou « d'intérêt public ».
  • Le règlement sur l'anonymisation, même dans sa version finale, ne prévoit pas de délais clairs pour mener des évaluations visant à assurer que les renseignements demeurent anonymes. Dans son commentaire, la CAI a suggéré de mener des évaluations au moins une fois par an ou à chaque fois qu'un événement susceptible d'affecter les risques de réidentification se produit.
  • La législation québécoise sur la protection des renseignements personnels définit l'anonymisation comme un processus irréversible. Le règlement abaisse toutefois ce seuil à un « faible risque de réidentification ». La CAI a noté dans son commentaire que le règlement sur l'anonymisation ne prévoit aucune méthode d'évaluation du risque de réidentification. La CAI a insisté sur le fait que les conséquences potentielles de la réidentification devraient être au centre de ces évaluations.

Il reste à voir si la CAI publiera un guide officiel sur ce sujet.

Pour un aperçu du processus d'anonymisation des renseignements personnels, tel que décrit dans le nouveau règlement sur l'anonymisation, veuillez consulter notre diagramme actualisé.

Pour toute question relative à l'anonymisation des renseignements personnels ou aux autres obligations en vertu de la législation canadienne sur la protection des renseignements personnels, communiquez avec notre groupe Cybersécurité et protection des données.