« La pseudonymisation est le bouclier des données, l’antichambre de l’anonymat, offrant à chacun l’opportunité de s’exprimer librement sans craindre la révélation de son identité. »
ChatGPT x les auteurs
Pseudonymisation, anonymisation et dépersonnalisation, ces mesures de protection se retrouvent au centre de la discussion sans que les organisations ne sachent bien les distinguer. Or, selon un sondage réalisé par la Commission d’accès à l’information (CAI), 91 % des personnes préfèrent faire affaire avec une organisation qui protège adéquatement les renseignements personnels qu’elle détient[1]. Cette protection passe notamment par la mise en place d’une stratégie et de mesures de dépersonnalisation et d’anonymisation.
Récemment, le Tribunal de l’Union européenne a rendu une décision liée à la dépersonnalisation des renseignements personnels sur le vieux continent[2]. Elle risque d’avoir une incidence sur l’interprétation future de telles pratiques au Québec. Nous traiterons de cette décision et de son impact dans un second article.
1. DÉPERSONNALISATION ET ANONYMISATION : QUELLE EST LA DIFFÉRENCE?
Au Québec, La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels[3](la « Loi 25 ») a introduit les concepts de dépersonnalisation et d’anonymisation. À la suite de l’entrée en vigueur des modifications qu’elle opère, la compréhension de ces termes et des obligations qui en découlent soulève des difficultés.
Ces deux concepts s’ajoutent tant dans la loi du secteur public[4] que privé[5].
D’abord, la Loi 25 définit l’anonymisation comme le processus empêchant d’identifier directement ou indirectement une personne concernée de manière irréversible. Il s’agirait d’une méthode permettant une conservation des renseignements ainsi anonymisés au-delà des finalités liées à leur traitement. En effet, lorsque les finalités de la collecte sont accomplies, une organisation doit détruire le renseignement personnel. La destruction du renseignement personnel à la fin de son cycle de vie étant la règle, l’anonymisation est une solution de rechange exceptionnelle. La loi impose aux entreprises d’entreprendre l’anonymisation seulement pour des fins sérieuses et légitimes, ou pour des fins d’intérêt public, lorsqu’il s’agit d’organismes publics.
Quant à la dépersonnalisation, il s’agit d’un processus réversible selon lequel une personne ne peut pas être identifiée directement[6]. La dépersonnalisation consiste donc à retirer tous les renseignements qui permettent l’identification directe de la personne concernée. Cette dernière notion ne doit pas être confondue avec le concept de renseignement personnel direct ou indirect[7]. En Europe, la dépersonnalisation correspond à la pseudonymisation.
S’il importe de distinguer l’anonymisation de la dépersonnalisation (ou la pseudonymisation), cette distinction est d’autant plus complexe quand ailleurs dans le monde, certaines lois (comme la loi californienne) définissent ce qu’on traduit ici par dépersonnalisation (deidentification) comme un processus ne permettant plus l’identification directe ou indirecte (ce qui s’apparente à la définition québécoise d’anonymisation). De même, au fédéral, l’actuelle Loi sur la protection des renseignements personnels et les documents électroniques[8] (la « LPRPDE ») traduit make anonymous par dépersonnaliser.
Rappelons que la dépersonnalisation ne peut remplacer la destruction des renseignements personnels, contrairement à l’anonymisation. Comme le prévoient les nouvelles dispositions, ces deux options ne sont possibles qu’à des fins expressément prévues.
2. UNE NOTION TANT FÉDÉRALE QUE PROVINCIALE
À l’instar du Règlement européen sur la protection des données (le « RGPD »), les lois québécoises et fédérale ne mentionnent la dépersonnalisation que dans certains contextes.
Au Québec, la Loi 25 ne s’étale pas sur le sujet. La Loi sur le privé et la Loi sur l’accès définissent la dépersonnalisation dans la disposition qui oblige à utiliser des renseignements personnels selon les finalités déterminées pour la collecte[9]. Selon cet article, une entreprise ou un organisme public peuvent utiliser des renseignements dépersonnalisés sans le consentement de la personne concernée lorsque son utilisation est nécessaire à des fins d’étude, de recherche ou de production de statistiques.
Lorsqu’une organisation utilise des renseignements dépersonnalisés, elle doit prendre des mesures raisonnables pour limiter les risques que quiconque procède à l’identification d’une personne physique à partir de renseignements dépersonnalisés.
Cependant, un renseignement personnel dépersonnalisé demeure un renseignement personnel et reste donc soumis aux obligations de la Loi 25. Seuls les renseignements anonymisés sont exclus, car ils ont perdu leur caractère identificatoire.
En mai 2023, la Commission d’accès à l’information a mis à jour sa page informative concernant la destruction et l’anonymisation en précisant que : « pour pouvoir être conservés plutôt que détruits, les renseignements doivent être anonymisés selon les meilleures pratiques généralement reconnues et selon les critères et modalités déterminées par règlement du gouvernement [nos caractères gras][10]. »Il faut dès lors comprendre que pour procéder à l’anonymisation d’un renseignement personnel, un règlement doit encadrer ce processus. Or le gouvernement n’a pas encore émis de règlement à ce sujet, ce qui rend impossible l’anonymisation de renseignements personnels au Québec, pour le moment[11].
Au fédéral, le cinquième principe de la LPRPDE prévoit qu’une organisation devrait détruire, effacer ou dépersonnaliser (make anonymous, en anglais) les renseignements personnels dont elle n’a plus besoin par rapport aux finalités annoncées. Le projet de loi C-27[12], censé moderniser la LPRPDE, pallie ce problème sémantique en ce qu’il définit l’anonymisation comme le fait de « modifier définitivement et irréversiblement, conformément aux meilleures pratiques généralement reconnues, des renseignements personnels afin qu’ils ne permettent pas d’identifier un individu, directement ou indirectement, par quelque moyen que ce soit » (reprenant essentiellement la définition de la Loi 25). Si cette disposition demeure inchangée, la nouvelle loi fédérale ne s’appliquera pas à l’égard des renseignements personnels qui ont été anonymisés[13].
Quant aux renseignements dépersonnalisés, le projet de loi C-27 prévoit que la dépersonnalisation peut être faite à l’insu de la personne concernée, à des fins de recherche, d’analyse et de développement internes, ou encore, dans le cadre d’une transaction commerciale, pour cause de finalités socialement bénéfiques[14]. Enfin, sauf exceptions, il est interdit d’utiliser des renseignements dépersonnalisés pour tenter de d’identifier la personne concernée[15].
3. QUELQUES TECHNIQUES DE DÉPERSONNALISATION (OU PSEUDONYMISATION)
Le projet de loi C-27 recommande d’utiliser des mesures administratives et techniques pour dépersonnaliser les renseignements personnels. Voici quelques techniques aidant les organisations à dépersonnaliser les renseignement qu’elles détiennent[16]:
- Suppression des colonnes avec identificateur dans les jeux de données tabulaires;
- Automatisation grâce à des outils d’intelligence artificielle et de traitement du langage naturel venant masquer les identificateurs en texte libre;
- Utilisation d’un compteur où chaque identificateur est substitué par un nombre défini en séquence;
- Utilisation d’un générateur de nombres aléatoires, qui fonctionne comme un compteur mais de manière aléatoire, ce qui rend la réidentification plus complexe;
- Utilisation d’une fonction de hachage cryptographique, appliquée aux identificateurs afin de leur donner une empreinte numérique unique;
- Chiffrement de l’identificateur à l’aide d’une clé privée. Il existe plusieurs algorithmes de chiffrement.
Par ailleurs, les organisations ont intérêt à choisir leur stratégie de mise en œuvre de dépersonnalisation (ou pseudonymisation) en amont. Il existe trois grandes stratégies[17] :
- La pseudonymisation déterministe, où un identificateur est toujours remplacé par le même pseudonyme;
- La pseudonymisation par randomisation de documents;
- La pseudonymisation entièrement aléatoire.
Article co-écrit par Me Erwan Jonchères (Satoshi Legal) et Me Samy Si Chaib (Sarrazin Plourde) pour le blog du CRL
[1] Diane Poitras, Webinaire de la FCEI — Loi 25 : tout ce qu’il faut savoir, en ligne : https://www.youtube.com/watch?v=Fpw8k_qBqXU&t=626s
[2] Conseil de résolution unique (CRU) c. Contrôleur européen de la protection des données (CEPD), T-557/20.
[3] PL 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, 1re sess, 42e lég, Québec, 2021 (sanctionné le 22 septembre 2021).
[4] Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ c A-2.1 (la « Loi sur l’accès »).
[5] Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1 (la « Loi sur le privé »).
[6] Loi sur le privé, supra note 5, art. 12 al. 4(1).
[7] Les renseignements personnels directs sont considérés par la CNIL comme étant le nom et prénom, tandis que les renseignements personnels indirects sont définis comme une adresse IP, un numéro de téléphone, une adresse postale, un numéro d’assurance sociale. La pseudonymisation, par exemple d’un NAS, doit donc également permettre d’obfusquer un renseignement personnel indirect.
[8] Loi sur la protection des renseignements personnels et les documents électroniques (LC 2000 c 5)
[9] Loi sur le privé, supra note 5, art. 12; Loi sur l’accès, art. 65.1.
[10] Destruction et anonymisation, Comission d’accès à l’information du Québec, en ligne : https://www.cai.gouv.qc.ca/organismes/destruction-et-anonymisation/
[11] Ibid., « En l’absence de règlement du gouvernement, les organismes et les entreprises ne pourront pas anonymiser des renseignements personnels. »
[12] PL C-27, Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d’autres lois, 1re session, 44e législature, Canada, 2022.
[13] Ibid., art. 6(5).
[14] Ibid., art. 20, 21, 22(1), 39(1).
[15] Ibid., art. 75.
[16] Agence de l’Union Européenne pour la cybersécurité, Techniques et bonnes pratiques de pseudonymisation, 2019, en ligne: https://www.enisa.europa.eu/publications/pseudonymisation-techniques-and-best-practices
[17] Ibid.
Montréal
154 av. Laurier O. bureau 210, Montréal, H2T 2N7, Québec
Paris
6 rue Pierre Haret,
Paris, 75009, France