La popularité fulgurante des appareils connectés et des données numériques au cours de la dernière décennie a entraîné une augmentation exponentielle du nombre de points de données recueillies au sujet des individus. Plus de données traversent l’Internet chaque seconde aujourd’hui qu’il n’y en avait qui y étaient stockées il y a 20 ans sur tout l’Internet. Les appareils de conditionnement physique connectés, les applications de navigation et autres applications mobiles, les plateformes de médias sociaux et les technologies de traçage ou de balises ne sont que quelques exemples de technologies qui ont permis de recueillir un volume et une variété sans précédent de données sur les individus. Ce phénomène a créé de nouvelles occasions d’utiliser ces données, notamment à des fins d’analytique, de développement de produits et de services et d’applications d’apprentissage automatique.
Afin de protéger la vie privée des individus et d’utiliser efficacement les « mégadonnées », les organisations ont recours à diverses techniques pour supprimer les identificateurs personnels afin que ces données ne constituent plus des renseignements personnels assujettis aux lois sur la protection des renseignements personnels. La Loi sur la protection de la vie privée des consommateurs (LPVPC) proposée par le gouvernement fédéral, qui vise à réformer la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), introduit de nouvelles normes en matière d’« anonymisation » et de « dépersonnalisation » qui pourraient changer la façon dont les organisations créent et utilisent les « mégadonnées » au Canada.
Régime existant aux termes de la LPRPDE
Selon la LPRPDE, les « renseignements personnels » désignent « tout renseignement concernant un individu identifiable ». Il s’agit de renseignements concernant un individu identifiable s’il y a de fortes possibilités qu’un individu puisse être identifié par l’utilisation de ces renseignements, seuls ou en combinaison avec des renseignements d’autres sources. Si les données répondent à cette définition de renseignements personnels, elles sont assujetties aux mesures de protection de la vie privée prévues par la LPRPDE.
La LPRPDE impose des limites quant à la façon dont les renseignements personnels peuvent être recueillis, utilisés et communiqués. Par exemple, l’utilisation se limite généralement aux fins auxquelles les renseignements ont été recueillis et qui ont été communiquées à l’individu au moment de la collecte. Cela peut réduire l’utilité de ces renseignements, puisque toutes leurs utilisations potentielles peuvent ne pas être connues au moment où ils sont recueillis. Les utilisations potentielles peuvent se préciser seulement après la collecte des renseignements; toutefois, si ces utilisations n’ont pas été communiquées à l’individu au moment de la collecte, les renseignements ne pourront être utilisés à ces nouvelles fins que si l’individu y consent (sous réserve de certaines exceptions).
Pour réaliser l’énorme valeur que représentent les « mégadonnées », les organisations modifient souvent les renseignements personnels de manière à ce qu’ils ne concernent plus une personne identifiable, ce qui les soustrait à la portée de la LPRPDE, car les renseignements ne répondent plus à la définition de « renseignements personnels ». Une fois qu’un ensemble de données ne contient plus de renseignements personnels, l’organisation est libre de les utiliser à n’importe quelle fin. En générant des ensembles de données plus vastes, plus complets et plus diversifiés – et en les structurant et en les organisant de façon intelligente –, les organisations peuvent s’en servir pour élaborer des prédictions et des modèles plus précis et, au bout du compte, pour prendre de meilleures décisions et produire de meilleurs résultats.
Toutefois, la LPRPDE n’établit pas de normes sur la façon de modifier les renseignements personnels de cette façon, pas plus qu’elle ne définit des termes comme « dépersonnaliser », « anonymiser » ou « pseudonymer ». Les organisations doivent déterminer les techniques les plus appropriées pour s’assurer que les renseignements personnels sont modifiés de manière à les exclure de la définition statutaire de « renseignements personnels ».
L’anonymisation et la dépersonnalisation comme solutions pour maximiser l’utilité des « mégadonnées »
La dépersonnalisation et l’anonymisation sont deux techniques utilisées pour protéger la vie privée et créer des ensembles de données utiles.
La dépersonnalisation consiste habituellement à remplacer les renseignements identificatoires dans un ensemble de données par un code ou une clé afin que les individus ne soient plus identifiables. Par exemple, au lieu que les renseignements personnels d’un individu soient étiquetés avec son prénom et son nom de famille, ils le seraient avec un code comme « Sujet 999 ». L’individu n’est donc plus directement identifiable, bien qu’il soit toujours possible de l’identifier en consultant la liste de clés codées. Il peut également être possible d’identifier indirectement l’individu si l’on connaît certains de ses attributs qui font partie de l’ensemble de données (par exemple, si le Sujet 999 a une condition médicale relativement rare, et/ou si l’ensemble de données est spécifique à une zone géographique contenue). Bien que le risque d’identification demeure, la dépersonnalisation est une mesure utile pour protéger la vie privée tout en utilisant des « mégadonnées ».
L’anonymisation consiste à supprimer de façon permanente les renseignements identificatoires d’une façon qui ne permet plus d’identifier l’individu concerné. Bien qu’il n’y ait aucun risque d’identification (en supposant que l’anonymisation soit efficace), cela pourrait donner lieu à un ensemble de données moins utile. Par exemple, les éléments de données peuvent être moins détaillés, ou peuvent être fournis à un moment précis (plutôt que de permettre l’ajout de nouvelles données sur un individu aux données existantes sur le même individu, au fil du temps).
La LPRPDE ne fait pas de distinction entre la dépersonnalisation et l’anonymisation, et traite généralement les renseignements dépersonnalisés et les renseignements anonymisés de la même manière – ils ne sont pas des renseignements personnels aux fins de la LPRPDE. En revanche, la LPVPC introduirait de nouvelles règles concernant la dépersonnalisation et l’anonymisation.
Modifications apportées par la LPVPC et ses normes relatives à l’anonymisation et à la dépersonnalisation
La LPVPC distingue expressément la dépersonnalisation et l’anonymisation.
- Anonymiser désigne le fait de modifier définitivement et irréversiblement, conformément aux meilleures pratiques généralement reconnues, des renseignements personnels afin qu’ils ne permettent pas d’identifier un individu, directement ou indirectement, par quelque moyen que ce soit.
- Dépersonnaliser désigne le fait de modifier des renseignements personnels afin de réduire le risque, sans pour autant l’éliminer, qu’un individu puisse être identifié directement.
Comparativement à la LPRPDE, la LPVPC propose de réglementer les deux types de renseignements.
- La LPVPC propose de réglementer l’efficacité de l’anonymisation en faisant référence aux pratiques exemplaires généralement reconnues. Toutefois, si l’anonymisation est efficace, les renseignements anonymisés sont alors exclus du champ d’application de la LPVPC.
- La LPVPC propose également de réglementer l’utilisation et la communication des renseignements dépersonnalisés, puisque ces derniers seraient toujours assujettis à la LPVPC (sous réserve de certaines exceptions limitées).
De cette façon, la LPVPC propose de réglementer les renseignements qui ne sont pas, à proprement parler, des renseignements personnels. Il s’agit d’une divergence notable par rapport à la LPRPDE, qui traite les renseignements dépersonnalisés et les renseignements anonymisés comme n’entrant pas dans le champ d’application de la LPRPDE.
Normes relatives à l’anonymisation
La LPVPC ne permet pas expressément aux organisations d’anonymiser des renseignements personnels à l’insu de l’individu ou sans son consentement, mais il existe divers motifs d’interpréter la LPVPC comme n’exigeant pas le consentement pour procéder à l’anonymisation (ce qui correspond aux interprétations de la LPRPDE). Ces motifs comprennent : i) l’anonymisation comme moyen de disposer des renseignements personnels (et la disposition ne requiert pas de consentement); ii) aucun consentement n’est requis puisque le processus ne crée pas de renseignements personnels qui sont assujettis à la LPVPC; iii) le consentement peut être implicite (d’autant plus qu’aucun renseignement personnel assujetti à la LPVPC n’en découle); et iv) aux termes de la LPVPC, le consentement n’est pas requis si l’organisation détermine que l’anonymisation est visée par les nouvelles exemptions relatives au consentement pour certaines activités commerciales ou certaines activités à l’égard desquelles l’organisation a un intérêt légitime.
La norme rigoureuse d’anonymisation prévue par la LPVPC exige que les renseignements personnels soient modifiés de façon irréversible et permanente afin de s’assurer qu’un individu ne puisse être identifié par quelque moyen que ce soit.
Cette norme onéreuse pourrait poser des défis, surtout compte tenu du débat animé sur la question de savoir si les renseignements personnels peuvent être véritablement anonymisés. Prenons par exemple des renseignements concernant « une ingénieure » travaillant au sein d’une entreprise de 200 employés. Si les renseignements sont combinés avec suffisamment de données, il y aura toujours une possibilité que l’ingénieure en question puisse être identifiée. Cela crée de l’incertitude quant aux conséquences potentielles de l’utilisation de données anonymisées, car elles peuvent s’avérer identifiables dans certains contextes et donc assujetties aux exigences de confidentialité de la LPVPC.
Nonobstant la formulation ci-dessus, qui laisse entendre que la norme est absolue, l’exigence de la LPVPC est nuancée : les renseignements sont anonymisés conformément aux pratiques exemplaires généralement reconnues. La norme peut donc être relative plutôt qu’absolue. Toutefois, ce qui constitue des pratiques exemplaires généralement reconnues demeure sujet à interprétation.
Normes relatives à la dépersonnalisation
La LPVPC permet aux organisations de dépersonnaliser des renseignements personnels sans devoir obtenir le consentement de l’individu concerné ou l’en informer, pourvu que les procédés techniques et administratifs utilisés soient proportionnels aux fins auxquelles ces renseignements sont dépersonnalisés et à la nature délicate des renseignements personnels.
Une fois les renseignements dépersonnalisés, la LPVPC permet certaines utilisations et communications de ces renseignements dépersonnalisés sans devoir obtenir le consentement de l’individu concerné ou sans l’en informer, à savoir :
- à des fins internes de recherche, d’analyse et de développement;
- l’utilisation ou la communication des renseignements dans le cadre d’une transaction commerciale éventuelle;
- la communication à une institution gouvernementale, à un établissement de santé ou d’enseignement à des fins socialement bénéfiques (s’entend de toute fin relative à la santé, à la fourniture ou à l’amélioration des services et infrastructures publics, à la protection de l’environnement ou de toute autre fin réglementaire).
De plus, les renseignements dépersonnalisés ne sont pas considérés comme des renseignements personnels en lien avec les exigences de la LPVPC visant à :
- s’assurer que les renseignements personnels qui relèvent d’une organisation sont exacts, à jour et complets;
- répondre aux demandes d’individus qui souhaitent avoir accès à leurs renseignements personnels ou faire corriger ou supprimer leurs renseignements personnels, ou les communiquer à une autre organisation dans le même cadre de mobilité des données.
À d’autres égards, la LPVPC exige que les renseignements dépersonnalisés soient traités comme s’il s’agissait de renseignements personnels.
La LPVPC impose des limites strictes à la réidentification. Lorsqu’une organisation a dépersonnalisé des renseignements personnels, ces renseignements ne peuvent pas être utilisés pour identifier un individu, sauf pour a) vérifier l’efficacité des mesures de sécurité mises en place; b) vérifier l’équité et l’exactitude des modèles, des processus et des systèmes élaborés à l’aide des renseignements dépersonnalisés; c) vérifier l’efficacité de ses processus de dépersonnalisation; ou d) se conformer à la LPVPC ou à toute autre loi.
Le commissaire à la protection de la vie privée du Canada peut également autoriser une organisation, à la demande de celle-ci, à personnaliser de nouveau des renseignements qui ont été dépersonnalisés, si cela est dans l’intérêt de l’individu.
Normes relatives à l’anonymisation et à la dépersonnalisation dans d’autres territoires
Comme l’illustre le tableau ci-dessous, les définitions des termes « anonymiser » et « dépersonnaliser » varient d’un territoire à l’autre, ce qui peut compliquer la conformité pour les organisations qui exercent des activités dans plusieurs territoires. La terminologie diffère, tout comme les normes relatives à l’anonymisation et à la dépersonnalisation.
- Les lois de l’Alberta et de la Colombie-Britannique sur la protection des renseignements personnels dans le secteur privé sont similaires à la LPRPDE dans la mesure où elles ne définissent pas expressément l’anonymisation ou la dépersonnalisation (ni n’en traitent autrement).
- Au Québec, le projet de loi 64 considère qu’un renseignement a été anonymisé lorsqu’il est « raisonnable de prévoir dans les circonstances » que les renseignements ne permettent plus, en tout temps, d’identifier directement ou indirectement une personne. Ce critère de prévisibilité raisonnable en fait une norme légèrement moins sévère que celle de la LPVPC.
- La loi californienne sur la protection de la vie privée des consommateurs, la California Consumer Privacy Act (CCPA) définit le terme « dépersonnalisé » d’une manière qui correspond essentiellement à la définition du terme « anonymiser » de la LPVPC et du projet de loi 64 au Québec. La définition de « dépersonnalisé » de la CCPA comprend un critère de raisonnabilité.
- Le Règlement général sur la protection des données de l’Union européenne impose une norme d’anonymisation aussi sévère que la LPVPC et exclut expressément cette information du champ d’application du RGPD. La définition de « pseudonymisation » dans le cadre du RGPD équivaut généralement à celle de « dépersonnaliser » de la LPVPC.
Derniers commentaires et points à retenir
Au fur et à mesure que la LPVPC franchit les étapes du processus législatif, ses dispositions sur l’anonymisation et la dépersonnalisation devront être examinées minutieusement par les législateurs, particulièrement en ce qui concerne la manière dont les meilleures pratiques généralement reconnues seront définies par rapport à l’anonymisation.
Il est essentiel que la LPVPC établisse un juste équilibre entre la création de normes d’anonymisation et de dépersonnalisation qui protègent raisonnablement la vie privée des individus sans entraver les utilisations innovantes et avantageuses des données. Des normes incohérentes, trop strictes ou inatteignables peuvent causer beaucoup d’incertitude pour les organisations qui souhaitent créer et utiliser des données dépersonnalisées ou anonymisées et, ce faisant, faire obstacle aux avantages potentiels ou entraîner des résultats indésirables. Par exemple, les individus ou les communautés vivant dans des régions où les normes d’anonymisation sont plus strictes risquent d’être sous-représentés dans les ensembles de données utilisés pour entraîner des algorithmes et générer des prédictions, des modèles et d’autres résultats, ce qui pourrait ultimement faire en sorte que ces résultats soient biaisés, inexacts ou imprécis.
À la lumière de la LPVPC, les organisations devront être préparées à réévaluer leur approche à l’égard de la création de données anonymisées ou dépersonnalisées, de même que les objectifs pour lesquels chaque type de données est utilisé. Le fait de se tenir au courant des développements dans le secteur juridique et réglementaire et d’évaluer périodiquement les meilleures pratiques de l’industrie peut aider à s’assurer que les organisations demeurent conformes, ce qui est particulièrement important étant donné les sanctions importantes prévues par la LPVPC.
