Le 22 septembre 2023 marquait l’entrée en vigueur d’importantes modifications à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (la « Loi sur le secteur privé ») pour toutes les entreprises qui recueillent, détiennent, utilisent ou communiquent des renseignements personnels dans la province. Cet article résume un règlement important, qui vient d’être publié, concernant les exigences relatives à la manière dont les renseignements personnels doivent être anonymisés en vertu de la Loi sur le secteur privé, ce qui est pertinent pour de nombreuses entreprises basées au Québec et pour toute autre entreprise canadienne ou étrangère qui recueille des renseignements personnels au Québec.

L’article 23 de la Loi sur le secteur privé prévoit que lorsque les fins auxquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, une entreprise doit le détruire ou l’anonymiser pour l’utiliser à des fins sérieuses et légitimes, sous réserve d’un délai de conservation prévu par une loi.

La Loi sur le secteur privé précise qu’un renseignement concernant une personne physique est anonymisé lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne.

De plus, les renseignements doivent être anonymisés selon les meilleures pratiques généralement reconnues et selon les critères et modalités déterminés par règlement.

Le gouvernement du Québec a publié, le 15 mai 2024, un Règlement sur l’anonymisation des renseignements personnels (le « Règlement »). Il s’agit de quelque chose de significatif puisque c’est le premier règlement de ce genre au Canada.

L’anonymisation est à distinguer de la dépersonnalisation, qui est lorsqu’un renseignement ne permet plus d’identifier directement la personne concernée, et qui constitue un seuil moins élevé qui n’est pas acceptable dans le contexte de l’article 23 de la Loi sur le secteur privé.

On peut établir un parallèle avec le concept de données pseudoanonymisées par rapport aux informations anonymes dans le Règlement général sur la protection des données (« RGPD ») en Union Européenne. Dans le premier cas, ces données demeurent soumises au RGPD, tout en protégeant les données à caractère personnel, alors que les informations anonymes ne sont pas visées par cette loi (voir le Considérant 26 du RGPD)[1]. Au Québec par contre, rien n’indique que les renseignements anonymisés ne soient plus sujets à la Loi sur le secteur privé.

L’objectif du Règlement est de garantir que les renseignements personnels seront anonymisés suivant un processus rigoureux qui permettra de diminuer de manière importante les risques de réidentification liés à l’anonymisation.

On peut y retenir les grands principes suivants :

  • avant de débuter un processus d’anonymisation, il est nécessaire d’établir les fins pour lesquelles on désire utiliser les renseignements personnels anonymisés;
  • le processus d’anonymisation doit être réalisé sous la supervision d’une personne compétente en la matière;
  • au début d’un processus d’anonymisation, il est nécessaire de retirer tous les renseignements personnels qui permettent d’identifier directement une personne;
  • il est nécessaire d’effectuer une analyse des risques de réidentification à plusieurs reprises dans le processus d’anonymisation, et il est même nécessaire de mettre à jour cette analyse périodiquement par après pour notamment tenir compte des avancées technologiques;
  • l’analyse des risques de réidentification doit tenir compte du critère d’individualisation, du critère de corrélation et du critère d’inférence (il s’agit de trois facteurs techniques qui sont plus amplement définis dans le Règlement), ainsi que des risques que d’autres renseignements raisonnablement disponibles, notamment dans l’espace public, soient utilisés pour identifier directement ou indirectement une personne;
  • il est nécessaire d’établir des mesures de protection et de sécurité raisonnables pour diminuer les risques de réidentification;
  • il n’est pas nécessaire de démontrer un risque nul de réidentification, directement ou indirectement, des personnes à partir des renseignements anonymisés, mais le risque résiduel de réidentification doit être « très faible »;
  • il est nécessaire consigner dans un registre certains renseignements obligatoires au sujet du processus d’anonymisation des renseignements personnels.

On peut constater qu’il s’agit d’un processus très rigoureux, et il est probable que des entreprises qui croient avoir anonymisé des renseignements personnels ne l’aient pas fait de façon conforme au Règlement. Il serait donc approprié que les entreprises fassent une revue approfondie du processus d’anonymisation des renseignements personnels ayant été effectué dans le passé.

Le Règlement entre en vigueur le 30 mai 2024, à l’exception de l’obligation d’avoir en place un registre, qui entre en vigueur le 1er janvier 2025.

Inscrivez-vous à nos publications pour être au courant des plus récentes orientations et règles en matière de protection de la vie privée au Canada. N’hésitez pas à consulter notre équipe de protection de la vie privée et des données pour toute question relative à l’anonymisation de vos données.


[1] Il y a lieu d’appliquer les principes relatifs à la protection des données à toute information concernant une personne physique identifiée ou identifiable. Les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable. Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. Pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il convient de prendre en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci. Il n’y a dès lors pas lieu d’appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Le présent règlement ne s’applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche.