Ce jeudi 24 septembre à 15h00, deux associés de notre équipe, Me Antoine Aylwin et Me Karl Delwaide, interviendront sur invitation de la Commission des institutions dans le cadre des consultations particulières sur le Projet de loi n° 64 à l’Assemblée nationale du Québec. Le prochain bulletin de notre série spéciale sur le Projet de loi n°64, à paraître lundi prochain le 28 septembre, consistera en un sommaire de nos interventions lors de ces consultations ainsi que sur le mémoire que nous soumettons à la Commission. Restez à l’affût!
Le traitement des données est omniprésent. Que ce soit, par exemple, les gouvernements qui compilent des statistiques sur la population pour comprendre les besoins de ses citoyens, des entreprises qui effectuent des études de marché ou bien des scientifiques qui analysent des données de santé pour la recherche, les renseignements personnels sont de nos jours compilés et utilisés à toutes les sauces. L'émergence dans les dernières années de nouveaux moyens d'analyse de données massives comme l'intelligence artificielle a d'ailleurs renforci cette tendance. Pourtant, le droit fondamental à la vie privée demeure toujours aussi important.
Comment alors concilier soif de données et principes gouvernant la protection des renseignements personnels? Dans certains cas, une partie de la solution réside dans la désidentification adéquate des renseignements personnels.
Ceci étant, le Projet de loi 64 propose d'introduire dans les lois québécoises sur la protection des renseignements personnels le concept voulant que certaines technologies permettent désormais de modifier des jeux de données à caractère personnel afin de diminuer les risques qu'un individu puisse y être identifié ou afin que ces jeux de données ne comportent plus de renseignements personnels, mais bien seulement des renseignements non identificatoires.
Une distinction importante
Le Projet de loi 64 propose d'introduire deux types de méthode permettant de diminuer la nature « identificatoire » des renseignements personnels :
- La « dépersonnalisation », c'est-à-dire toute méthode permettant de faire en sorte qu'un renseignement personnel « ne permette plus d'identifier directement la personne concernée »[1]; et
- L'« anonymisation », c'est-à-dire tout moyen permettant de faire en sorte qu'un renseignement concernant un individu « ne permette plus, de façon irréversible, d'identifier directement ou indirectement cette personne »[2], le tout « selon les meilleures pratiques généralement reconnues »[3].
Notre bulletin précédent aborde plus amplement les principales différences entre ces deux procédés.
Dépersonnalisation
La notion de renseignements dépersonnalisés s'arrime avec les caractéristiques de données pseudonymisées au sens du Règlement général sur la protection des données : la suppression de tous les attributs des renseignements étant des identifiants directs (par exemple l'adresse courriel, le nom, le numéro d'assurance sociale), tout en y conservant les attributs étant des identifiants indirects (sexe, âge, date de naissance).
Aux termes du Projet de loi 64, la dépersonnalisation des renseignements personnels permettrait aux organismes publics et aux entreprises du secteur privé d'utiliser à des fins d'étude, de recherche ou de production de statistique des renseignements personnels déjà en leur possession sans devoir obtenir préalablement le consentement des individus concernés à ces fins spécifiques, dans la mesure ou cette utilisation est nécessaire aux fins de l'étude, de la recherche ou de la production de statistiques, selon le cas[4].
Bien qu'outre cette exemption, la collecte, l'utilisation, la communication, la rétention et la destruction des renseignements personnels dépersonnalisés demeureraient assujetties aux lois sur la protection des renseignements personnels au Québec, la dépersonnalisation se veut aussi une mesure de sécurité et permettrait de diminuer de façon proactive certains risques en matière de protection des renseignements personnels. Notamment, l'accès non autorisé à un jeu de données dépersonnalisées pourrait être moins susceptible de « présenter un risque qu'un préjudice sérieux soit causé »[5] et ainsi, de déclencher l'obligation de signaler cet incident à la Commission d'accès à l'information et aux individus concernés.
Concrètement, la dépersonnalisation de renseignement personnel réduirait le risque de mise en corrélation d'un ensemble de données avec l'identité originale d'une personne concernée. Les techniques suivantes pourraient éventuellement constituer certaines des techniques de dépersonnalisation valable au sens des dispositions proposées dans le Projet de loi 64 :
- Système cryptographique à clé secrète
- Hachage
- Tokenization[6]
Anonymisation
Selon le Projet de loi 64, une solution adéquate d'anonymisation devrait faire en sorte que les renseignements en résultant ne puisse plus, de quelque façon que ce soit, permettre d'identifier un individu[7].
Effets
L'anonymisation des renseignements est introduite dans le Projet de loi 64 comme une alternative à leur destruction lorsque les fins auxquelles ils ont été recueillis ou utilisés sont accomplies, et permettrait donc conserver ces renseignements indéfiniment[8]. Ainsi, selon la définition donnée à la notion de « renseignements personnels » dans les lois québécoises[9], les renseignements valablement anonymisés échapperaient à l'application de celles-ci.
Une approche similaire est actuellement préconisée dans le cadre de la loi fédérale sur la protection des renseignements personnels, qui, en vertu du principe 4.5.3 de son Annexe 1, permet aux organisations assujetties d'anonymiser les renseignements au lieu de les détruire[10].
Comment faire?
À noter que bien que la dépersonnalisation et l'anonymisation des renseignements personnels se prêtent bien à certaines activités de traitement de renseignements personnels nécessitant l'analyse de données brutes (par exemple, dans le domaine de la recherche médicale), les renseignements peuvent, selon le contexte dans lequel ils sont voués à être utilisés, perdre toute leur valeur et leur utilité suite à leur anonymisation. Une analyse préliminaire quant à la nécessité d'utiliser des renseignements personnels identificatoires dans le cadre du traitement projeté est donc de mise avant de se lancer dans un projet de dépersonnalisation ou d'anonymisation de données[11].
Alors que le Commissaire à l'information et à la protection de la vie privée de l'Ontario ainsi que plusieurs auteurs prétendent que l'anonymisation des données ne pourrait tout simplement jamais être complètement irréversible[12], les organisations désirant anonymiser les renseignements qu'elles détiennent devraient plutôt adopter une approche basée sur les risques de réidentification. Ce risque de réidentification doit être apprécié à la lumière, notamment, du contexte ou de l'environnement dans lequel les données seront conservées, utilisées ou communiquées suite à l'anonymisation, du nombre d'identifiants directs se trouvant dans le jeu de données, et du risque de tentatives de réidentification ou d'attaque similaire. Le procédé d'anonymisation devrait alors permettre de minimiser ce risque[13].
Notons que, comme tout procédé à forte saveur technologique, les techniques d'anonymisation sont vouées à rapidement évoluer dans le temps et posent un certain défi pour les législateurs qui doivent suivre la parade. Le projet de loi 64 propose ainsi une exigence évolutive imposant aux organisations que l'anonymisation des données soit faite « selon les meilleures pratiques généralement reconnues »[14].
En 2014, le Groupe de travail Article 29 sur la protection des données, qui regroupait autrefois les autorités de protection des données européennes, publiait un avis sur les principales techniques d'anonymisation et leur mise en œuvre[15]. On y indique qu'une solution d'anonymisation doit être construite au cas par cas et adapté aux usages prévus, et propose trois critères pour évaluer son efficacité :
- L'individualisation (est-il toujours possible d'isoler une partie ou la totalité des attributs concernant un même individu dans un ensemble de données?);
- La corrélation (est-il possible de relier entre eux des ensembles de données distincts concernant un même individu?);
- L'inférence (peut-on déduire, avec un degré de probabilité élevé, de l'information sur un individu à partir des autres données dans un ensemble de données?)[16].
Ainsi, selon cet Avis, un ensemble de données pour lequel il n'est possible ni d'individualiser ni de corréler ni d'inférer serait a priori anonyme, et un ensemble de données pour lequel au moins un des trois critères ci-dessus n'est pas respecté ne pourra être considéré comme anonyme qu'à la suite d'une analyse détaillée des risques de réidentification[17].
Sanctions en cas de réidentification
Enfin, les renseignements personnels, même dépersonnalisés ou anonymisés, peuvent être l'objet d'attaques ou de manœuvres visant à leur redonner pleinement leur nature identificatoire. Tenant compte de cette réalité malheureuse, il est proposé dans le Projet de loi 64 des sanctions de 15 000 $ à 25 000 000, ou 4% du chiffre d'affaires mondial (si ce dernier montant est plus élevé)$ pour toute organisation procédant ou tentant de procéder à « l'identification d'une personne physique à partir de renseignements dépersonnalisés sans l'autorisation de la personne les détenant ou à partir de renseignements anonymisés »[18].
|
CENTRE DE RESSOURCES PL64 - Découvrez notre INSTITUT FASKEN - Inscrivez-vous à notre formation qui fera la lumière sur les principales modifications à la loi 64 et les impacts à prévoir dans la gestion de vos affaires. LISTE DE DISTRIBUTION - Pour ne pas manquer nos prochains bulletins, notre webinaire de formation et toutes autres informations pertinentes à ce sujet, inscrivez-vous dès maintenant sur notre liste de distribution. |
[1] Projet de loi 64, art. 102.
[2] Projet de loi 64, art. 111.
[3] Ibid.
[4] Projet de loi 64, art. 102.
[5] Projet de loi 64, art. 95.
[6] Groupe de travail « Article 29 » sur la protection des données, Avis 05/2014 sur les Techniques d'anonymisation, 10 avril 2014, p. 22-23.
[7] Projet de loi 64, art. 111.
[8] Ibid.
[9] « Est un renseignement personnel, tout renseignement qui concerne une personne physique et permet de l'identifier » (Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1, art. 2).
[10] Loi sur la protection des renseignements personnels et les documents électroniques, LC 2000, c 5, Annexe 1, Principe 4.5.3.
[11] Commissaire à l'information et à la protection de la vie privée de l'Ontario ,« De-identification Guidelines for Structured Data », juin 2016, p.1.
[12] Ibid.
[13] Ibid.
[14] Projet de loi 64, art. 111.
[15] Groupe de travail « Article 29 » sur la protection des données, Avis 05/2014 sur les Techniques d'anonymisation, 10 avril 2014, p. 23-24.
[16] Ibid.
[17] Ibid.
[18] Projet de loi 64, art. 151.
