5. Une organisation doit, au début d’un processus d’anonymisation, retirer tous les renseignements personnels qui permettent d’identifier directement la personne concernée des renseignements qu’elle entend anonymiser.
Elle doit ensuite effectuer une analyse préliminaire des risques de réidentification en considérant notamment le critère d’individualisation, le critère de corrélation et le critère d’inférence, ainsi que les risques que d’autres renseignements raisonnablement disponibles, notamment dans l’espace public, soient utilisés pour identifier directement ou indirectement une personne.
783-2024D. 783-2024, a. 5.