Ordre des chiropraticiens du Québec

RENSEIGNEMENTS PERSONNELS : ANONYMISATION

Publié le 16 mai 2024

RENSEIGNEMENTS PERSONNELS : ANONYMISATION

(LAG) Le Règlement sur l’anonymisation des renseignements personnels entrera en vigueur dans deux semaines, à l’exception de l’article 9 qui entrera en vigueur le 1er janvier 2025. Il a été édicté avec modifications.

Ce règlement prévoit les critères et les modalités qui devront être respectés lors du processus d’anonymisation d’un renseignement personnel, entre autres, pour les organismes publics qui souhaiteront utiliser des données à des fins de recherche.

Rappelons qu’un organisme public doit anonymiser un renseignement personnel s’il souhaite «l’utiliser à des fins d’intérêt public» si les fins pour lesquelles il a été recueilli ou utilisé sont accomplies.

Même chose pour les entreprises qui souhaitent anonymiser un renseignement personnel pour l’utiliser à «des fins sérieuses et légitimes».

Ainsi, le règlement prévoit à l’article 5 qu’une organisation «doit, au début d’un processus d’anonymisation, retirer tous les renseignements personnels qui permettent d’identifier directement la personne concernée des renseignements qu’elle entend anonymiser».

Ensuite, elle doit «effectuer une analyse préliminaire des risques de réidentification en considérant notamment le critère d’individualisation, le critère de corrélation et le critère d’inférence, ainsi que les risques que d’autres renseignements raisonnablement disponibles, notamment dans l’espace public, soient utilisés pour identifier directement ou indirectement une personne».

Selon l’article 6, en fonction des risques de réidentification déterminés, «une organisation doit établir les techniques d’anonymisation à utiliser, lesquelles doivent être conformes aux meilleures pratiques généralement reconnues. Elle doit également établir des mesures de protection et de sécurité raisonnables pour diminuer les risques de réidentification».

Par la suite, selon l’article 7, après avoir mis en œuvre les techniques d’anonymisation établies pour le processus d’anonymisation et les mesures de protection et de sécurité, une organisation doit effectuer une analyse des risques de réidentification.

«Les résultats de l’analyse doivent démontrer qu’il est, en tout temps, raisonnable de prévoir dans les circonstances que les renseignements produits à la suite d’un processus d’anonymisation ne permettent plus, de façon irréversible, d’identifier directement ou indirectement une personne», précise le règlement.

Quant à l’article 9, dont l’entrée en vigueur est prévue pour le 1er janvier 2025, il obligera une organisation qui procède à l’anonymisation de renseignements personnels de consigner certains renseignements dans un registre.

Selon le ministre Jean-François Roberge, dans son mémoire adressé à ses collègues ministres, ce règlement garantira aux citoyens que leurs renseignements personnels seront anonymisés selon un processus rigoureux qui permettra de réduire les risques de réidentification et, ainsi, de protéger leur vie privée.

Par ailleurs, en l’absence d’un tel règlement, les organismes publics ne pourraient, par exemple, utiliser des données à des fins de recherche ou de statistiques, justifie-t-on.

 

Source : Le Courrier Parlementaire / L’Actualité gouvernementale, édition du jeudi 16 mai 2024.

À la une

Consulter l'archive →