Élaboration de directives sur la dépersonnalisation des renseignements personnels sur la santé pour l'ensemble du Canada
Cette page Web a été archivée dans le Web
L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.
Organisation
Institut de recherche de l’Hôpital pour enfants de l’Est de l’Ontario
Publication
2007
Sommaire
Cette étude porte sur les risques de repersonnalisation des renseignements personnels sur la santé anonymisés lorsque ces renseignements sont combinés à de l’information issue de bases de données publiques ou à des données obtenues par déduction (par exemple, la prédiction du sexe et de l’année de naissance à partir des prénoms et des années d’obtention des diplômes). L’étude a permis d’apprendre que, dans certaines circonstances, le taux de succès d’une tentative de repersonnalisation de données de santé anonymisées peut être très élevé. L’étude a également révélé que de tels risques de repersonnalisation ne sont pas négligeables, particulièrement parmi les chercheurs d’emploi qui peuvent afficher suffisamment de renseignements personnels sur des sites Web publiquement accessibles pour permettre quelques tentatives simples de repersonnalisation.
Forte de ces conclusions, l’équipe de recherche a élaboré des lignes directrices pratiques et un outil concret d’anonymisation des données qui permettront aux gardiens des données sur la santé de gérer les risques de repersonnalisation liés à leurs activités de diffusion des données et de protéger la vie privée des Canadiennes et des Canadiens. L’accent est principalement mis sur l’anonymisation des quasi-identificateurs tels que le sexe, la date de naissance et les codes postaux ou de zone.
Les auteurs citent la recherche américaine effectuée par Latanya Sweeney, selon laquelle il est possible d’identifier 87 p. 100 de la population américaine uniquement à partir de sources de données publiques, en utilisant les trois variables quasi identificatrices du code de zone, du sexe et de la date de naissance. Le sexe, la date de naissance et la ville ou la municipalité de résidence permettent à eux seuls d’identifier 53 p. 100 de la population américaine.
Les auteurs ont cherché à déterminer à quoi ressemblerait une situation parallèle dans laquelle on mettrait à profit les quasi-identificateurs et les bases de données accessibles en Ontario. Afin de cerner les bases de données d’identification dont pourrait se servir une personne qui tente de procéder à une repersonnalisation, les chercheurs ont examiné les ensembles de données accessibles auprès de 29 ministères de l’Ontario, de courtiers de renseignements commerciaux, de sources généalogiques, de sociétés professionnelles, de Statistique Canada et d’Élections Canada. Ils ont également testé la capacité de relier les données sur les personnes par le biais de diverses sources publiquement accessibles, ce qui a permis de tirer certaines conclusions statistiques incontestables sur la capacité de relier les listes des médecins et avocats de l’Ontario à des codes postaux domiciliaires et dates de naissance, et sur la capacité également d’obtenir la date de naissance, les numéros de téléphone à domicile et le sexe des propriétaires occupants à Ottawa et à Toronto. Les auteurs du rapport se penchent également sur les tentatives par inférence – particulièrement la précision avec laquelle on peut faire des déductions sur le sexe et l’année de naissance au moyen d’un logiciel permettant d’établir le sexe et d’autres méthodes prédictives. On trouve également une analyse détaillée de la capacité de prédire le code postal domiciliaire d’une personne à partir d’un autre code postal – par exemple, une adresse de travail ou une adresse de médecin. Les chercheurs ont pris en considération des codes postaux urbains et ruraux en Alberta, en Ontario et en Nouvelle-Écosse.
En s’appuyant sur les résultats de cette recherche, les auteurs ont conclu que la région seule (code postal), le sexe seul, l'année de naissance seule et la combinaison du sexe et de la région constituaient des quasi-identificateurs représentant de façon générale un faible risque de repersonnalisation de données gardées anonymes. Toutefois, ils préviennent que cela s’applique uniquement aux circonstances précises de leurs scénarios de tentatives et de leurs hypothèses sur le seuil de risques. Ils sont d’avis que le travail ultérieur sur ces questions devrait viser à consigner le niveau des risques de repersonnalisation.
L’étude contient des résultats de recherche récente sur l’ampleur des renseignements personnels (nom, adresse, code postal, numéro de téléphone et un indicateur de l’âge) que les Canadiennes et les Canadiens sont disposés à afficher sur Internet lorsqu’ils envoient leur curriculum vitae, et aussi les renseignements personnels qu’on peut récupérer à partir des disques durs vendus. À partir d’un utilitaire de récupération des fichiers, les chercheurs ont pu récupérer de l’information personnelle dans 39 des 60 unités de lecture qu’ils s’étaient procurés auprès de vendeurs de matériel informatique usagé, en dépit de la répartition et du reformatage. La grande majorité des unités de lecture avec des données récupérées contenaient des renseignements personnels, notamment sur les salaires et les déclarations de revenus, de la correspondance personnelle, de l’information sur les polices d’assurance-vie et les héritages, des données sur la liste de paie, des vérifications des casiers judiciaires, des documents de divorce ainsi que des renseignements personnels sur la santé. Il y avait même une unité de lecture avec de l’information très délicate sur la santé mentale d’un certain nombre de personnes.
Devant un tel état de choses, les auteurs recommandent un processus décisionnel pour rendre anonyme un ensemble de données, et fournissent une liste non numérotée de certaines considérations utiles et détaillées pour différents quasi-identificateurs.
Ce document est disponible dans la (les) langue(s) suivante(s) :
Anglais seulement
Recherche subventionnée par le CPVP
Ce projet a reçu un soutien financier dans le cadre du Programme des contributions du Commissariat à la protection de la vie privée du Canada. Les opinions exprimées dans les rapports et les sommaires sont celles des auteurs et ne reflètent pas nécessairement l’opinion du Commissariat à la protection de la vie privée du Canada. Les sommaires ont été fournis par les auteurs des projets. Veuillez noter que les projets sont publiés dans leur langue d’origine.
Renseignements
Children's Hospital of Eastern Ontario
401 Smyth Road
Ottawa, Ontario
K1H 8L1
Email: kelemam@cheo.on.ca
Website: http://www.cheori.org/
- Date de modification :