A-2.1, r. 0.1 - Règlement sur l’anonymisation des renseignements personnels

Texte complet
À jour au 1er octobre 2024
Ce document a valeur officielle.
chapitre A-2.1, r. 0.1
Règlement sur l’anonymisation des renseignements personnels
Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels
(chapitre A-2.1, a. 155, 1er al., par. 6.3).
Loi sur la protection des renseignements personnels dans le secteur privé
(chapitre P-39.1, a. 90, 1er al., par. 3.2).
SECTION I
CHAMP D’APPLICATION ET DÉFINITIONS
D. 783-2024, sec. I.
1. Le présent règlement s’applique à tout organisme public visé à l’article 3 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1), de même qu’à toute personne qui exploite une entreprise et qui est visée par la Loi sur la protection des renseignements personnels dans le secteur privé (chapitre P-39.1).
Il s’applique également aux ordres professionnels, dans la mesure prévue par le Code des professions (chapitre C-26).
D. 783-2024, a. 1.
2. Dans le présent règlement, on entend par:
«critère de corrélation» : le fait de ne pas être en mesure de relier entre eux des ensembles de données qui concernent une même personne;
«critère d’individualisation» : le fait de ne pas être en mesure d’isoler ou de distinguer une personne dans un ensemble de données;
«critère d’inférence» : le fait de ne pas être en mesure de déduire des renseignements personnels à partir d’autres renseignements disponibles;
«organisation» : un organisme public, une personne qui exploite une entreprise ou un ordre professionnel auxquels s’applique le présent règlement.
D. 783-2024, a. 2.
SECTION II
CRITÈRES ET MODALITÉS APPLICABLES À L’ANONYMISATION DES RENSEIGNEMENTS PERSONNELS
D. 783-2024, sec. II.
3. Avant de débuter un processus d’anonymisation, une organisation doit établir les fins pour lesquelles elle entend utiliser les renseignements anonymisés. L’organisation doit s’assurer que ces fins sont conformes, selon le cas, à l’article 73 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1) ou à l’article 23 de la Loi sur la protection des renseignements personnels dans le secteur privé (chapitre P-39.1).
Si une organisation souhaite utiliser des renseignements anonymisés à des fins autres que celles établies avant de débuter le processus d’anonymisation conformément au premier alinéa, elle doit, avant de les utiliser, s’assurer que ces fins sont conformes, selon le cas, à cet article 73 ou à cet article 23.
D. 783-2024, a. 3.
4. Un processus d’anonymisation doit être réalisé sous la supervision d’une personne compétente en la matière.
D. 783-2024, a. 4.
5. Une organisation doit, au début d’un processus d’anonymisation, retirer tous les renseignements personnels qui permettent d’identifier directement la personne concernée des renseignements qu’elle entend anonymiser.
Elle doit ensuite effectuer une analyse préliminaire des risques de réidentification en considérant notamment le critère d’individualisation, le critère de corrélation et le critère d’inférence, ainsi que les risques que d’autres renseignements raisonnablement disponibles, notamment dans l’espace public, soient utilisés pour identifier directement ou indirectement une personne.
D. 783-2024, a. 5.
6. En fonction des risques de réidentification déterminés conformément au deuxième alinéa de l’article 5, une organisation doit établir les techniques d’anonymisation à utiliser, lesquelles doivent être conformes aux meilleures pratiques généralement reconnues. Elle doit également établir des mesures de protection et de sécurité raisonnables pour diminuer les risques de réidentification.
D. 783-2024, a. 6.
7. Après avoir mis en œuvre les techniques d’anonymisation établies pour le processus d’anonymisation et les mesures de protection et de sécurité conformément à l’article 6, une organisation doit effectuer une analyse des risques de réidentification.
Les résultats de l’analyse doivent démontrer qu’il est, en tout temps, raisonnable de prévoir dans les circonstances que les renseignements produits à la suite d’un processus d’anonymisation ne permettent plus, de façon irréversible, d’identifier directement ou indirectement une personne.
Pour l’application du deuxième alinéa, il n’est pas nécessaire de démontrer un risque nul. Cependant, les résultats de l’analyse doivent démontrer, en tenant compte notamment des éléments suivants, que les risques résiduels de réidentification sont très faibles:
1°  les circonstances liées à l’anonymisation des renseignements personnels, notamment les fins pour lesquelles elle entend utiliser les renseignements anonymisés;
2°  la nature des renseignements;
3°  le critère d’individualisation, le critère de corrélation et le critère d’inférence;
4°  les risques que d’autres renseignements raisonnablement disponibles, notamment dans l’espace public, soient utilisés pour identifier directement ou indirectement une personne;
5°  les moyens nécessaires pour réidentifier les personnes, notamment en considérant les efforts, les ressources et le savoir-faire requis pour mettre en œuvre ces moyens.
D. 783-2024, a. 7.
8. Une organisation doit périodiquement évaluer les renseignements qu’elle a anonymisés afin de s’assurer qu’ils le demeurent. Pour ce faire, elle doit mettre à jour la dernière analyse des risques de réidentification qu’elle a effectuée. Cette mise à jour doit notamment considérer les avancées technologiques qui peuvent contribuer à réidentifier une personne.
Les résultats de la mise à jour de cette analyse doivent être conformes au deuxième alinéa de l’article 7. Dans le cas contraire, les renseignements ne sont plus considérés comme anonymisés.
Pour l’application du premier alinéa, la périodicité à laquelle une organisation doit évaluer ces renseignements est déterminée en fonction des risques résiduels identifiés dans la dernière analyse des risques de réidentification qu’elle a effectuée et des éléments prévus au troisième alinéa de l’article 7.
D. 783-2024, a. 8.
En vig.: 2025-01-01
9. Une organisation qui procède à l’anonymisation de renseignements personnels doit consigner dans un registre les renseignements suivants:
1°  une description des renseignements personnels qui ont été anonymisés;
2°  les fins pour lesquelles elle entend utiliser ces renseignements anonymisés;
3°  les techniques d’anonymisation utilisées et les mesures de protection et de sécurité établies conformément à l’article 6;
4°  la date à laquelle l’analyse des risques de réidentification effectuée conformément à l’article 7 a été complétée et, le cas échéant, la date à laquelle la mise à jour de l’analyse effectuée conformément à l’article 8 a été complétée.
D. 783-2024, a. 9.
SECTION III
DISPOSITION FINALE
D. 783-2024, sec. III.
10. (Omis).
D. 783-2024, a. 10.
RÉFÉRENCES
D. 783-2024, 2024 G.O. 2, 2847