Opinions

Dépersonnalisé, anonymisé, agrégé, pseudonymisé... mais de quoi parlez-vous?

Main image

Vanessa Deschênes

2020-12-15 11:15:00

« C’est tout à fait sécuritaire, les renseignements sont anonymisés. » Avez-vous déjà entendu cette phrase? Je parie que oui!

Me Vanessa Deschênes, l’auteure de cet article. Photo : Site web de Robic
Me Vanessa Deschênes, l’auteure de cet article. Photo : Site web de Robic
Lorsque nous travaillons sur des projets ou que nous parlons avec un fournisseur de services, il arrive souvent qu’on nous dise que nos renseignements sont sécurisés puisqu’ils sont anonymisés ou qu’il n’y a pas de problème à utiliser les données puisqu’elles sont conservées de manière anonyme. Au quotidien, vous ou certains membres de votre équipe rencontrez possiblement fréquemment les concepts de données « anonymisées », « dépersonnalisées » et/ou « agrégées ».

Par exemple, la nouvelle Loi sur la protection de la vie privée des consommateurs (« LPVPC ») prévoit que « (l)’organisation peut utiliser les renseignements personnels d’un individu à son insu ou sans son consentement à des fins de recherche et de développement internes, s’ils sont dépersonnalisés avant leur utilisation ».

Un autre exemple de ces concepts pourrait également se retrouver dans un contrat qui exclut les renseignements dépersonnalisés de la portée des obligations des parties, ou même au sein de votre propre secteur de sécurité de l’information, lequel indiquant que les renseignements ont été anonymisés parce qu’ils ne contiennent pas de « renseignements pouvant identifier une personne ».

Toute personne chargée de la protection de la vie privée ou du respect des lois en la matière doit être vigilante lorsqu’elle entend les termes « dépersonnalisé », « anonymisé », « agrégé », « pseudonymisé », « non personnellement identifiable » ou des termes similaires, non seulement parce qu’ils ne sont pas synonymes (comme nous l’expliquerons ci-dessous), mais également en raison du fait que ces termes ont une incidence sur vos obligations en matière de protection des renseignements personnels, étant donné qu’ils peuvent, ou non, s’inscrire dans la portée des lois sur la protection des données.

Dans un tel contexte, il existe un risque réel de non-conformité en écartant, de bonne foi, les dispositions des lois en matière de protection des renseignements personnels en croyant à tort qu’elles ne trouvent pas application. Afin d’éviter ce type de risque, vous devez faire preuve de prudence lorsque vous tentez de déterminer si vous êtes en présence ou non de renseignements personnels.

Mais quelles sont donc les distinctions entre ces concepts?

Qu’est-ce que des données dépersonnalisées, anonymisées, agrégées ou pseudonymisées?

Saviez-vous qu’il existe une différence entre certains de ces termes? D’entrée de jeu, nous désirons attirer votre attention sur le fait que l’anonymisation est difficile à obtenir et que la plupart des organisations ne sont malheureusement pas qualifiées pour développer leur propre processus d’anonymisation.

Qui plus est, au fil des ans, des chercheurs ont démontré que les données anonymisées ne peuvent jamais être totalement anonymes. Malheureusement, cela n’empêche pas certaines organisations de prétendre que les ensembles de données sont complètement anonymisés, et ce, de manière sécuritaire, ce qui pourrait éventuellement devenir un enjeu du fait que les données peuvent être repersonnalisées.

La plupart des entreprises procèdent généralement à la dépersonnalisation plutôt qu’à l’anonymisation des données. Cela signifie que les noms et les identifiants évidents sont supprimés, mais que le reste des données est laissé intact. En plus de la confusion existante, les lois en matière de protection des renseignements personnels ne traitent pas non plus de ces concepts de la même manière.

Prenons par exemple le Projet de loi C-11. La nouvelle LPVPC définit la dépersonnalisation comme le fait de « (m)odifier des renseignements personnels — ou créer des renseignements à partir de renseignements personnels — au moyen de procédés techniques afin que ces renseignements ne permettent pas d’identifier un individu ni ne puissent, dans des circonstances raisonnablement prévisibles, être utilisés, seuls ou en combinaison avec d’autres renseignements, pour identifier un individu ».

Si nous analysons de plus près cette définition, nous réalisons que la LPVPC n’énonce pas les moyens par lesquels la dépersonnalisation des renseignements doit avoir lieu. De plus, la définition confond les concepts de données pseudonymisées et de données non identifiables. En analysant le Projet de loi québécois (le Projet de loi no 64), le nouvel article 23 énonce des critères d’anonymisation qui nous permettent également de comprendre la différence entre les concepts d’anonymisation et de dépersonnalisation :

« …un renseignement concernant une personne physique est anonymisé lorsqu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne. »

En nous référant à cet article, selon le législateur québécois, nous pouvons conclure que :
  • le processus d’anonymisation doit être irréversible;

  • il doit être impossible d’identifier directement ou indirectement la personne concernée.

En ce qui a trait à la dépersonnalisation, le nouvel article 12 établit qu’ « un renseignement personnel est dépersonnalisé lorsque ce renseignement ne permet plus d’identifier directement la personne concernée ».

Comme vous l’avez sans doute constaté, le terme « indirectement » est donc au cœur de la distinction entre l’anonymisation et la dépersonnalisation. S’il est possible d’utiliser des informations supplémentaires pour identifier la personne, il s’agit alors de dépersonnalisation et non d’anonymisation.

Mais qu’en est-il dans d’autres juridictions ?

L’Ontario

Comme certains d’entre vous le savent peut-être, afin de poursuivre son mandat d’innovation numérique, l’Ontario cherche actuellement à combler les lacunes de son cadre législatif en matière de protection des renseignements personnels, ainsi qu’à établir des règles exhaustives et actualisées qui protégeront le droit à la vie privée et augmenteront la confiance des Ontariens dans les services numériques.

Pour lancer cette discussion, le gouvernement a identifié une série de sujets qui reflètent les domaines clés qu’il souhaite explorer. Ces domaines clés seront d’ailleurs pris en considération dans l’élaboration d’une loi ontarienne sur la protection des renseignements personnels. L’un des domaines clés identifiés est notamment la dépersonnalisation.

Si nous jetons un coup d’œil au Document de travail sur la réforme de la protection de la vie privée (« Privacy Reform Discussion Paper »), les renseignements personnels dépersonnalisés sont définis comme des « (traduction libre) renseignements personnels qui ont été mis en commun de manière à empêcher l’identification des données personnelles de toute personne dans le mélange ».

Selon le Document de travail, « (traduction libre) les méthodes de dépersonnalisation comprennent la suppression des “identifiants” (par exemple, en supprimant les noms, les numéros d’identification), l’obscurcissement des renseignements (par exemple, en donnant une tranche d’âge au lieu de l’âge exact), et la suppression ou l’agrégation des renseignements de personnes qui constituent des données aberrantes ou qui font partie d’un groupe dont la taille est réduite (par exemple, lorsque moins de cinq personnes ont le même code postal) ».

L’Europe et le RGPD

Pour rendre les choses encore plus compliquées qu’elles ne le sont déjà, le Règlement général sur la protection des données (RGPD), dans l’Union européenne, introduit un concept nommé « pseudonymisation ». Ce concept est défini dans le RGPD comme :

« …le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ».

La pseudonymisation peut consister à remplacer les noms ou d’autres identifiants facilement attribuables à des personnes, par exemple, un numéro de référence. Bien que vous puissiez lier ce numéro de référence à la personne concernée si vous avez accès aux renseignements pertinents, vous avez mis en place des mesures techniques et organisationnelles pour garantir que ces renseignements supplémentaires soient conservés séparément et ainsi en assurer la protection.

Comme vous pouvez le constater, la pseudonymisation agit uniquement en tant que mesure de sécurité et ne fait pas perdre aux données leur caractère de renseignements personnels (ou de données personnelles pour reprendre les termes du RGPD). En effet, le 26e considérant indique clairement que les données personnelles pseudonymisées demeurent des données personnelles et s’inscrivent dans la portée du RGPD: « …Les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable… ».

Et qu’en est-il des données anonymisées ? Le 26e considérant mentionne justement que : « …Il n’y a dès lors pas lieu d’appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Le présent règlement ne s’applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche ».

En d’autres termes, les données personnelles qui ont été anonymisées ne sont pas soumises au RGPD. Notez que si vous pouvez, à tout moment, utiliser tout moyen raisonnablement disponible pour identifier de nouveau les personnes auxquelles les données se rapportent, ces données n’auront pas été véritablement anonymisées et seront plutôt considérées comme pseudonymisées.

Dépersonnaliser les données? Mais pourquoi?

La dépersonnalisation étant considérée comme réversible, pourquoi alors avoir recours à une telle technique, vous demandez-vous?

Même si la dépersonnalisation n’équivaut pas à une anonymisation, elle demeure une technique utile de minimisation des données et une mesure de sécurité. Pourquoi voudriez-vous que vos données soient dépersonnalisées et non anonymisées? À titre d’exemple, disons que vous désirez entraîner un modèle d’IA en utilisant un apprentissage automatique. Pour que le modèle fonctionne, vous devez utiliser des données qui peuvent être reliées entre elles. Les données d’entraînement n’ont pas besoin d’identifier précisément la personne concernée, mais doivent plutôt laisser entrevoir une tendance. Dans un tel contexte, les données dépersonnalisées seront utiles.

Et maintenant?

Il sera intéressant d’observer comment les décideurs politiques canadiens aborderont ces enjeux, surtout en sachant que ces techniques évoluent rapidement et que certains experts affirment que leurs recherches démontrent que l’anonymisation n’est pas suffisante pour soustraire les entreprises de l’application des lois comme le RGPD.

Peut-être devrions-nous commencer à envisager d’autres techniques telles que la « confidentialité différentielle », le « chiffrement homomorphe » ou les « ensembles de données artificiels ». Cela dit, comme mentionné précédemment, ces domaines évoluent rapidement et c’est la raison pour laquelle vous devriez, à tout le moins, comprendre quel degré de dépersonnalisation ou d’anonymisation est nécessaire en vertu des lois applicables en matière de protection des renseignements personnels afin de « transformer » les renseignements personnels en renseignements personnels non identifiables et ainsi rester conformes.

Sur l’auteure

Vanessa Deschênes est avocate chez Robic. Elle est Leader du secteur Protection des données, Vie privée et Cybersécurité et fait partie du Groupe des Technologies émergentes au sein du cabinet.


8060

Publier un nouveau commentaire

Annuler
Remarque

Votre commentaire doit être approuvé par un modérateur avant d’être affiché.

NETiquette sur les commentaires

Les commentaires sont les bienvenus sur le site. Ils sont validés par la Rédaction avant d’être publiés et exclus s’ils présentent un caractère injurieux, raciste ou diffamatoire. Si malgré cette politique de modération, un commentaire publié sur le site vous dérange, prenez immédiatement contact par courriel (info@droit-inc.com) avec la Rédaction. Si votre demande apparait légitime, le commentaire sera retiré sur le champ. Vous pouvez également utiliser l’espace dédié aux commentaires pour publier, dans les mêmes conditions de validation, un droit de réponse.

Bien à vous,

La Rédaction de Droit-inc.com

PLUS

Articles similaires