Accueil
Nous joindre
Plan du site
Québec.ca
FAQ
English
Recherche avancée
Lois et règlements codifiés
Lois codifiées
Règlements codifiés
Lois et règlements annuels
Lois annuelles
Règlements annuels
Information complémentaire
L’Éditeur officiel du Québec
Quoi de neuf?
Note d’information
Politique du ministre de la Justice
Lois : Modifications
Lois : Dispositions non en vigueur
Lois : Entrées en vigueur
Lois annuelles : Versions PDF depuis 1996
Règlements : Modifications
Règlements annuels : Versions PDF depuis 1996
Décisions des tribunaux
A-2.1, r. 0.1
- Règlement sur l’anonymisation des renseignements personnels
Table des matières
Occurrences
0
Version courante
Texte complet
À jour au 30 mai 2024
Ce document a valeur officielle.
chapitre
A-2.1, r. 0.1
Règlement sur l’anonymisation des renseignements personnels
ACCÈS AUX DOCUMENTS — ANONYMISATION
Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels
(chapitre A-2.1, a. 155, 1
er
al., par. 6.3)
.
A-2.1
Loi sur la protection des renseignements personnels dans le secteur privé
(chapitre P-39.1, a. 90, 1
er
al., par. 3.2)
.
P-39.1
01
1
er
05
mai
2024
30
05
mai
2024
SECTION
I
CHAMP D’APPLICATION ET DÉFINITIONS
783-2024
D. 783-2024
,
sec.
I
.
1
.
Le présent règlement s’applique à tout organisme public visé à l’article 3 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (
chapitre A-2.1
), de même qu’à toute personne qui exploite une entreprise et qui est visée par la Loi sur la protection des renseignements personnels dans le secteur privé (
chapitre P-39.1
).
Il s’applique également aux ordres professionnels, dans la mesure prévue par le Code des professions (
chapitre C-26
).
783-2024
D. 783-2024
,
a.
1
.
2
.
Dans le présent règlement, on entend par:
«
critère de corrélation
»
: le fait de ne pas être en mesure de relier entre eux des ensembles de données qui concernent une même personne;
«
critère d’individualisation
»
: le fait de ne pas être en mesure d’isoler ou de distinguer une personne dans un ensemble de données;
«
critère d’inférence
»
: le fait de ne pas être en mesure de déduire des renseignements personnels à partir d’autres renseignements disponibles;
«
organisation
»
: un organisme public, une personne qui exploite une entreprise ou un ordre professionnel auxquels s’applique le présent règlement.
783-2024
D. 783-2024
,
a.
2
.
SECTION
II
CRITÈRES ET MODALITÉS APPLICABLES À L’ANONYMISATION DES RENSEIGNEMENTS PERSONNELS
783-2024
D. 783-2024
,
sec.
II
.
3
.
Avant de débuter un processus d’anonymisation, une organisation doit établir les fins pour lesquelles elle entend utiliser les renseignements anonymisés. L’organisation doit s’assurer que ces fins sont conformes, selon le cas, à l’article 73 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (
chapitre A-2.1
) ou à l’article 23 de la Loi sur la protection des renseignements personnels dans le secteur privé (
chapitre P-39.1
).
Si une organisation souhaite utiliser des renseignements anonymisés à des fins autres que celles établies avant de débuter le processus d’anonymisation conformément au premier alinéa, elle doit, avant de les utiliser, s’assurer que ces fins sont conformes, selon le cas, à cet article 73 ou à cet article 23.
783-2024
D. 783-2024
,
a.
3
.
4
.
Un processus d’anonymisation doit être réalisé sous la supervision d’une personne compétente en la matière.
783-2024
D. 783-2024
,
a.
4
.
5
.
Une organisation doit, au début d’un processus d’anonymisation, retirer tous les renseignements personnels qui permettent d’identifier directement la personne concernée des renseignements qu’elle entend anonymiser.
Elle doit ensuite effectuer une analyse préliminaire des risques de réidentification en considérant notamment le critère d’individualisation, le critère de corrélation et le critère d’inférence, ainsi que les risques que d’autres renseignements raisonnablement disponibles, notamment dans l’espace public, soient utilisés pour identifier directement ou indirectement une personne.
783-2024
D. 783-2024
,
a.
5
.
6
.
En fonction des risques de réidentification déterminés conformément au deuxième alinéa de l’article 5, une organisation doit établir les techniques d’anonymisation à utiliser, lesquelles doivent être conformes aux meilleures pratiques généralement reconnues. Elle doit également établir des mesures de protection et de sécurité raisonnables pour diminuer les risques de réidentification.
783-2024
D. 783-2024
,
a.
6
.
7
.
Après avoir mis en œuvre les techniques d’anonymisation établies pour le processus d’anonymisation et les mesures de protection et de sécurité conformément à l’article 6, une organisation doit effectuer une analyse des risques de réidentification.
Les résultats de l’analyse doivent démontrer qu’il est, en tout temps, raisonnable de prévoir dans les circonstances que les renseignements produits à la suite d’un processus d’anonymisation ne permettent plus, de façon irréversible, d’identifier directement ou indirectement une personne.
Pour l’application du deuxième alinéa, il n’est pas nécessaire de démontrer un risque nul. Cependant, les résultats de l’analyse doivent démontrer, en tenant compte notamment des éléments suivants, que les risques résiduels de réidentification sont très faibles:
1
°
les circonstances liées à l’anonymisation des renseignements personnels, notamment les fins pour lesquelles elle entend utiliser les renseignements anonymisés;
2
°
la nature des renseignements;
3
°
le critère d’individualisation, le critère de corrélation et le critère d’inférence;
4
°
les risques que d’autres renseignements raisonnablement disponibles, notamment dans l’espace public, soient utilisés pour identifier directement ou indirectement une personne;
5
°
les moyens nécessaires pour réidentifier les personnes, notamment en considérant les efforts, les ressources et le savoir-faire requis pour mettre en œuvre ces moyens.
783-2024
D. 783-2024
,
a.
7
.
8
.
Une organisation doit périodiquement évaluer les renseignements qu’elle a anonymisés afin de s’assurer qu’ils le demeurent. Pour ce faire, elle doit mettre à jour la dernière analyse des risques de réidentification qu’elle a effectuée. Cette mise à jour doit notamment considérer les avancées technologiques qui peuvent contribuer à réidentifier une personne.
Les résultats de la mise à jour de cette analyse doivent être conformes au deuxième alinéa de l’article 7. Dans le cas contraire, les renseignements ne sont plus considérés comme anonymisés.
Pour l’application du premier alinéa, la périodicité à laquelle une organisation doit évaluer ces renseignements est déterminée en fonction des risques résiduels identifiés dans la dernière analyse des risques de réidentification qu’elle a effectuée et des éléments prévus au troisième alinéa de l’article 7.
783-2024
D. 783-2024
,
a.
8
.
En vig.: 2025-01-01
9
.
Une organisation qui procède à l’anonymisation de renseignements personnels doit consigner dans un registre les renseignements suivants:
1
°
une description des renseignements personnels qui ont été anonymisés;
2
°
les fins pour lesquelles elle entend utiliser ces renseignements anonymisés;
3
°
les techniques d’anonymisation utilisées et les mesures de protection et de sécurité établies conformément à l’article 6;
4
°
la date à laquelle l’analyse des risques de réidentification effectuée conformément à l’article 7 a été complétée et, le cas échéant, la date à laquelle la mise à jour de l’analyse effectuée conformément à l’article 8 a été complétée.
783-2024
D. 783-2024
,
a.
9
.
SECTION
III
DISPOSITION FINALE
783-2024
D. 783-2024
,
sec.
III
.
10
.
(Omis).
783-2024
D. 783-2024
,
a.
10
.
RÉFÉRENCES
D. 783-2024, 2024 G.O. 2, 2847
Copier
Sélectionner cet élément
Sélectionner l'élément parent
Désélectionner tous les éléments
Copier vers Rédaction
Copier vers LAW
Copier vers le presse-papier
×
Pour copier : Ctrl+C
0
Nous joindre
Plan du site
Québec.ca
Accessibilité
Politique de confidentialité
© Gouvernement du Québec
Sélections
×
Afficher
Les sélections du document courant
Toutes les sélections de la collection
Fragments sélectionnés
Supprimer toutes les sélections
Afficher les sélections
Cyberlex
×
Version 2.2.0.3