Home
Contact us
Site map
Québec.ca
FAQ
Français
Advanced search
Consolidated Statutes and Regulations
Consolidated Statutes
Consolidated Regulations
Annual Statutes and Regulations
Annual Statutes
Annual Regulations
Additional information
Québec Official Publisher
What’s new?
Information note
Policy of the Minister of Justice
Laws: Amendments
Laws: Provisions not in force
Laws: Provisions brought into force
Annual Statutes: PDF versions since 1996
Regulations: Amendments
Annual Regulations: PDF versions since 1996
Court Decisions
A-2.1, r. 0.1
- Règlement sur l’anonymisation des renseignements personnels
Table of contents
Enabling statutes
2
Alphanumeric
Title
A-2.1
Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels
P-39.1
Loi sur la protection des renseignements personnels dans le secteur privé
Occurrences
0
Full text
Updated to 1 June 2024
This document has official status.
chapitre
A-2.1, r. 0.1
Règlement sur l’anonymisation des renseignements personnels
ACCÈS AUX DOCUMENTS — ANONYMISATION
Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels
(chapitre A-2.1, a. 155, 1
er
al., par. 6.3)
.
A-2.1
Loi sur la protection des renseignements personnels dans le secteur privé
(chapitre P-39.1, a. 90, 1
er
al., par. 3.2)
.
P-39.1
01
1
er
05
mai
2024
30
05
mai
2024
SECTION
I
CHAMP D’APPLICATION ET DÉFINITIONS
783-2024
D. 783-2024
,
sec.
I
.
1
.
Le présent règlement s’applique à tout organisme public visé à l’article 3 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (
chapitre A-2.1
), de même qu’à toute personne qui exploite une entreprise et qui est visée par la Loi sur la protection des renseignements personnels dans le secteur privé (
chapitre P-39.1
).
Il s’applique également aux ordres professionnels, dans la mesure prévue par le Code des professions (
chapitre C-26
).
783-2024
D. 783-2024
,
a.
1
.
2
.
Dans le présent règlement, on entend par:
«
critère de corrélation
»
: le fait de ne pas être en mesure de relier entre eux des ensembles de données qui concernent une même personne;
«
critère d’individualisation
»
: le fait de ne pas être en mesure d’isoler ou de distinguer une personne dans un ensemble de données;
«
critère d’inférence
»
: le fait de ne pas être en mesure de déduire des renseignements personnels à partir d’autres renseignements disponibles;
«
organisation
»
: un organisme public, une personne qui exploite une entreprise ou un ordre professionnel auxquels s’applique le présent règlement.
783-2024
D. 783-2024
,
a.
2
.
SECTION
II
CRITÈRES ET MODALITÉS APPLICABLES À L’ANONYMISATION DES RENSEIGNEMENTS PERSONNELS
783-2024
D. 783-2024
,
sec.
II
.
3
.
Avant de débuter un processus d’anonymisation, une organisation doit établir les fins pour lesquelles elle entend utiliser les renseignements anonymisés. L’organisation doit s’assurer que ces fins sont conformes, selon le cas, à l’article 73 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (
chapitre A-2.1
) ou à l’article 23 de la Loi sur la protection des renseignements personnels dans le secteur privé (
chapitre P-39.1
).
Si une organisation souhaite utiliser des renseignements anonymisés à des fins autres que celles établies avant de débuter le processus d’anonymisation conformément au premier alinéa, elle doit, avant de les utiliser, s’assurer que ces fins sont conformes, selon le cas, à cet article 73 ou à cet article 23.
783-2024
D. 783-2024
,
a.
3
.
4
.
Un processus d’anonymisation doit être réalisé sous la supervision d’une personne compétente en la matière.
783-2024
D. 783-2024
,
a.
4
.
5
.
Une organisation doit, au début d’un processus d’anonymisation, retirer tous les renseignements personnels qui permettent d’identifier directement la personne concernée des renseignements qu’elle entend anonymiser.
Elle doit ensuite effectuer une analyse préliminaire des risques de réidentification en considérant notamment le critère d’individualisation, le critère de corrélation et le critère d’inférence, ainsi que les risques que d’autres renseignements raisonnablement disponibles, notamment dans l’espace public, soient utilisés pour identifier directement ou indirectement une personne.
783-2024
D. 783-2024
,
a.
5
.
6
.
En fonction des risques de réidentification déterminés conformément au deuxième alinéa de l’article 5, une organisation doit établir les techniques d’anonymisation à utiliser, lesquelles doivent être conformes aux meilleures pratiques généralement reconnues. Elle doit également établir des mesures de protection et de sécurité raisonnables pour diminuer les risques de réidentification.
783-2024
D. 783-2024
,
a.
6
.
7
.
Après avoir mis en œuvre les techniques d’anonymisation établies pour le processus d’anonymisation et les mesures de protection et de sécurité conformément à l’article 6, une organisation doit effectuer une analyse des risques de réidentification.
Les résultats de l’analyse doivent démontrer qu’il est, en tout temps, raisonnable de prévoir dans les circonstances que les renseignements produits à la suite d’un processus d’anonymisation ne permettent plus, de façon irréversible, d’identifier directement ou indirectement une personne.
Pour l’application du deuxième alinéa, il n’est pas nécessaire de démontrer un risque nul. Cependant, les résultats de l’analyse doivent démontrer, en tenant compte notamment des éléments suivants, que les risques résiduels de réidentification sont très faibles:
1
°
les circonstances liées à l’anonymisation des renseignements personnels, notamment les fins pour lesquelles elle entend utiliser les renseignements anonymisés;
2
°
la nature des renseignements;
3
°
le critère d’individualisation, le critère de corrélation et le critère d’inférence;
4
°
les risques que d’autres renseignements raisonnablement disponibles, notamment dans l’espace public, soient utilisés pour identifier directement ou indirectement une personne;
5
°
les moyens nécessaires pour réidentifier les personnes, notamment en considérant les efforts, les ressources et le savoir-faire requis pour mettre en œuvre ces moyens.
783-2024
D. 783-2024
,
a.
7
.
8
.
Une organisation doit périodiquement évaluer les renseignements qu’elle a anonymisés afin de s’assurer qu’ils le demeurent. Pour ce faire, elle doit mettre à jour la dernière analyse des risques de réidentification qu’elle a effectuée. Cette mise à jour doit notamment considérer les avancées technologiques qui peuvent contribuer à réidentifier une personne.
Les résultats de la mise à jour de cette analyse doivent être conformes au deuxième alinéa de l’article 7. Dans le cas contraire, les renseignements ne sont plus considérés comme anonymisés.
Pour l’application du premier alinéa, la périodicité à laquelle une organisation doit évaluer ces renseignements est déterminée en fonction des risques résiduels identifiés dans la dernière analyse des risques de réidentification qu’elle a effectuée et des éléments prévus au troisième alinéa de l’article 7.
783-2024
D. 783-2024
,
a.
8
.
En vig.: 2025-01-01
9
.
Une organisation qui procède à l’anonymisation de renseignements personnels doit consigner dans un registre les renseignements suivants:
1
°
une description des renseignements personnels qui ont été anonymisés;
2
°
les fins pour lesquelles elle entend utiliser ces renseignements anonymisés;
3
°
les techniques d’anonymisation utilisées et les mesures de protection et de sécurité établies conformément à l’article 6;
4
°
la date à laquelle l’analyse des risques de réidentification effectuée conformément à l’article 7 a été complétée et, le cas échéant, la date à laquelle la mise à jour de l’analyse effectuée conformément à l’article 8 a été complétée.
783-2024
D. 783-2024
,
a.
9
.
SECTION
III
DISPOSITION FINALE
783-2024
D. 783-2024
,
sec.
III
.
10
.
(Omis).
783-2024
D. 783-2024
,
a.
10
.
RÉFÉRENCES
D. 783-2024, 2024 G.O. 2, 2847
Copy
Select this element
Select parent element
Unselect all
Copy to Drafting
Copy to LAW
Copy to Clipboard
×
To copy : Ctrl+C
0
Contact us
Site map
Québec.ca
Accessibility
Privacy policy
© Gouvernement du Québec
Selections
×
Show
Selections in current document
All selections in the collection
Selected elements
Delete all selections
Show selections
Cyberlex
×
Version 2.2.0.3