Réduire l’identifiabilité dans la perspective internationale : définitions législatives et politiques relatives à l’anonymisation, la pseudonymisation et la dépersonnalisation dans les pays du G7
Le 11 octobre 2024
Les dernières années ont été marquées par un intérêt accru pour l’utilisation et l’application de processus et de technologies permettant de réduire l’identifiabilité des personnes en agissant sur leurs renseignements personnelsNote de bas de page 1, notamment par la dépersonnalisation, la pseudonymisation et l’anonymisation de ceux-ci.
Lorsqu’ils sont utilisés de manière appropriée, ces processus et les technologies utilisées pour les appliquer peuvent faciliter l’utilisation novatrice de données, contribuer à minimiser les risques qui pèsent sur la vie privée et soutenir la protection du droit fondamental à la vie privée.
Toutefois, la manière dont ces processus sont intégrés aux cadres politiques de protection de la vie privée et des données varie considérablement d’un pays à l’autre. Dans les pays du G7, on constate notamment des différences dans la manière dont la dépersonnalisation, la pseudonymisation et l’anonymisation sont définies dans les lois sur la protection de la vie privée et des données et dans la façon dont ces termes influencent les exigences en matière de protection de la vie privée. Ces différences peuvent générer chez les organisations une moins grande certitude en ce qui concerne leurs responsabilités.
Le présent document est publié par les autorités de protection des données et de la vie privée du G7 afin de favoriser une compréhension cohérente des approches en matière de dépersonnalisation, de pseudonymisation et d’anonymisation dans les différents cadres politiques. Il résume les définitions politiques et législatives de chaque terme et indique les principaux domaines de chevauchement et de divergence. Il comprend, en annexe, un tour d’horizon des définitions législatives propres à chaque administration et de certaines définitions qui ne se retrouvent pas dans les lois.
Le présent document n’a pas pour objectif de fournir des conseils en matière de conformité aux obligations qui incombent aux organisations aux termes de lois précises sur la protection de la vie privée ou des données. Les organisations qui souhaitent obtenir des conseils sur le respect de la vie privée doivent s’adresser à l’autorité réglementaire compétente.
Synthèse comparative
Les pays du G7 ont intégré des définitions de la dépersonnalisation, de la pseudonymisation et de l’anonymisation à leurs cadres politiques relatifs à la protection de la vie privée et des données. De manière générale, ces définitions établissent des sens juridiques précis pour ces termes, de même que des seuils à partir desquels l’information est considérée comme faisant partie du champ d’application d’un terme donné. Dans certains cas, les définitions incluent ou sous-entendent des processus particuliers ou des exigences supplémentaires à respecter.
En fonction de l’administration, les renseignements qui relèvent d’une définition ou d’une autre peuvent ou non faire l’objet de restrictions moindres en matière d’utilisation et de communication et peuvent, dans certains cas, être exclus du champ d’application de la législation relative à la protection des données. La façon dont les termes sont définis et dont les paramètres d’inclusion et d’exclusion sont fixés a donc, tout comme les exigences et les seuils connexes, des conséquences importantes sur la protection des renseignements personnels dans une administration donnée.
Les sections suivantes résument les domaines de chevauchement et de divergence de ces définitions dans les cadres politiques du G7. Le cas échéant, on y prend en compte les administrations infranationales ainsi que le cadre régional en place au sein de l’Union européenne (UE), en plus des cadres nationaux. En tant que règlement, le cadre de l’UE s’applique également au niveau national en France, en Allemagne et en Italie.
Les principaux domaines de chevauchement et de divergence sont les suivants :
- La mesure dans laquelle l’identifiabilité doit être réduite;
- La mesure dans laquelle les renseignements peuvent être utilisés pour identifier une personne;
- Les techniques et processus prescrits pour réduire l’identifiabilité;
- La question de savoir si l’information obtenue est considérée comme des renseignements personnels.
Jusqu’à un certain point, et en fonction de l’administration, la signification et l’interprétation des définitions reposent également sur la définition de « renseignements personnels » dans un cadre donné.
Dépersonnalisation
Des définitions de « dépersonnalisation » se trouvent dans la Loi sur la protection de la vie privée des consommateurs (LPVPC)Note de bas de page 2 proposée par le Canada,la loi sur la protection des données de 2018 (Data Protection Act 2018,[DPA]) du Royaume-Uni et le règlement en regard de la vie privée de la loi sur la responsabilisation et la portabilité de l’assurance-maladie (Health Insurance Portability and Accountability Act,[HIPAA]) des États-Unis. À l’échelle infranationale, des définitions sont comprises dans la loi sur la vie privée du consommateur de la Californie (California Consumer Privacy Act [CCPA]), la Loi sur la protection des renseignements personnels dans le secteur privé (loi du secteur privé) et la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (loi relative au secteur public) du Québec et la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS)Note de bas de page 3 de l’Ontario.
Ces définitions varient considérablement en ce qui concerne la mesure dans laquelle l’identifiabilité doit être réduite pour que les renseignements soient considérés comme étant dépersonnalisés. La LPVPC proposée par le Canada et les lois du secteur privé et du secteur public du Québec exigent que les personnes ne puissent pas être directement identifiées à partir des renseignements. De même, la DPA du Royaume-Uni définit la dépersonnalisation dans les mêmes termes que la pseudonymisation, qui exige que les renseignements ne puissent plus être attribués à une personne en particulier sans l’utilisation de renseignements supplémentaires conservés séparémentNote de bas de page 4. En revanche, le règlement en regard de la vie privée de la HIPAA des États-Unis, la CCPA, et la LPRPS de l’Ontario fixent des seuils plus élevés en ce qui a trait à la dépersonnalisation des renseignements et exigent de réduire au minimum, dans une certaine mesure, la possibilité d’identification indirecte d’une personne. Pour sa part, la CCPA exige que les renseignements ne puissent pas être raisonnablement utilisés pour déduire de l’information à propos d’une personne, tandis que la LPRPS exige que les renseignements ne permettent pas d’identifier des personnes dans des circonstances raisonnablement prévisibles. Dans le règlement en regard de la vie privée de la HIPAA des États-Unis on considère que les renseignements sur la santé ne permettent pas d’identifier une personne et qu’il n’y a « aucun motif raisonnable de croire » que les renseignements peuvent être utilisés pour identifier une personneNote de bas de page 5.
Les définitions de « dépersonnalisation » varient également en fonction du fait que les renseignements dépersonnalisés sont considérés ou non comme étant des renseignements personnels aux fins de la loi sur la protection des données concernée. Selon le règlement en regard de la vie privée de la HIPAA des États-Unis et la LPRPS de l’Ontario (faisant tous deux partie de la législation sectorielle traitant de la protection de la vie privée dans le contexte des données de santé), les renseignements dépersonnalisés ne sont pas traités comme des renseignements personnels (sur la santé) et ne sont donc pas visés par les protections applicables dans le cas de ces renseignements. Au titre de la LPVPC proposée par le Canada, de la DPA du Royaume-Uni et des lois du secteur public et privé du Québec, les renseignements dépersonnalisés sont considérés comme étant des renseignements personnels et sont donc inclus dans le champ d’application de ces lois. Cette différence correspond, en quelque sorte, à la variation des seuils à partir desquels les renseignements sont jugés dépersonnalisés : lorsque les renseignements dépersonnalisés ne sont pas considérés comme des renseignements personnels, les seuils à partir desquels les renseignements sont jugés dépersonnalisés sont généralement plus élevés.
Dans plusieurs administrations, la dépersonnalisation est considérée comme un processus réversible. Le règlement en regard de la vie privée de la HIPAA des États-Unis envisage explicitement la possibilité de réidentification d’une personne au moyen d’un code ou d’un enregistrement conçu à cette fin et prévoit la protection nécessaire pour de tels renseignementsNote de bas de page 6. La LPRPS ontarienne et la LPVPC proposée par le Canada comprennent des dispositions concernant un certain nombre de scénarios dans lesquels il est légalement permis de réidentifier (ou de chercher à réidentifier) des personnes à partir de renseignements qui ont été dépersonnalisés.
Pseudonymisation
Des définitions de « pseudonymisation » se trouvent dans le Règlement général sur la protection des données de l’Union européenne (General Data Protection Regulation [RGPD de l’UE]), le Règlement général sur la protection des données du Royaume-Uni (General Data Protection Regulation [RGPD du R.-U.]) de même que dans la loi japonaise sur la protection des renseignements personnels (Act on the Protection of Personal Information [APPI]). À l’échelle infranationale, le concept de pseudonymisation est défini dans la CCPA.
Dans l’ensemble, les définitions de « pseudonymisation » sont cohérentes en ce qui concerne la mesure dans laquelle l’identifiabilité doit être réduite dans le cadre applicable. L’APPI, la CCPA et les RGPD du R.-U. et de l’UE exigent que les personnes ne puissent pas être réidentifiées à partir de renseignements qui ont été pseudonymisés, à moins que ces derniers ne soient combinés à d’autres renseignements.
Au titre du RGPD du R.-U. et de l’UE ainsi que de la CCPA, « pseudonymisation » signifie « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ». En outre, le seuil d’identifiabilité tient compte de tous les moyens raisonnablement susceptibles d’être utilisés à des fins d’identification, soit par le responsable du traitement, soit par une autre personne, pour identifier la personne physique directement ou indirectement, tels que le ciblage. En ce qui a trait au traitement en question, l’APPI du Japon précise que la pseudonymisation s’effectue soit par la suppression des identifiants, soit par leur remplacement par d’autres identifiants sans suivre de modèle permettant de rétablir leur état d’origine. Il est généralement admis, dans le cadre des RGPD du R.-U. et de l’UE, que la pseudonymisation implique des processus similaires. Elle est également incluse en tant qu’exemple de mesure de protection pouvant être mise en œuvre pour soutenir, par exemple, la protection des données dès la conception et par défaut ainsi que la sécurité du traitement.
Dans tous ces cadres, les renseignements qui sont pseudonymisés sont considérés comme étant des renseignements personnels. Des mesures supplémentaires sont également nécessaires pour empêcher la réidentification des personnes, y compris la conservation des renseignements ayant fait l’objet d’une pseudonymisation séparément des renseignements supplémentaires qui pourraient être utilisés pour la réidentification. Étant donné que les renseignements supplémentaires peuvent, par définition, conduire à une réidentification des personnes à partir des renseignements pseudonymisés, la pseudonymisation n’est pas jugée irréversible selon ces cadres.
Anonymisation
Des définitions du concept d’anonymisation se trouvent dans la LPVPC proposée par le Canada, dans les RGPD de l’UE et du R.-U.Note de bas de page 7 ainsi que dans l’APPI du Japon. À l’échelle infranationale, le terme « anonymisation » est défini dans les lois des secteurs privé et public du Québec.
Les définitions sont généralement cohérentes en ce qui a trait à l’exigence que les renseignements rendus anonymes ne permettent pas d’identifier une personne, que ce soit directement ou indirectement. Cependant, il existe des différences en ce qui concerne le seuil de détermination de l’identifiabilité dans ce contexte. Selon les lois québécoises sur les secteurs privé et public, il s’agit de déterminer s’il est « raisonnable de prévoir, dans les circonstances » que les renseignements permettent d’identifier directement ou indirectement une personne. Le processus d’anonymisation doit également respecter les critères et modalités établis par la réglementation ainsi que les « meilleures pratiques généralement acceptées ». Dans le cadre des RGPD du R.-U. et de l’UE, les renseignements rendus anonymes ne doivent pas atteindre le seuil requis pour être considérés comme étant des données personnelles, ce qui nécessite la prise en compte de tous les moyens « raisonnablement susceptibles d’être utilisés » pour l’identification d’une personne, que ce soit par le responsable du traitement ou par une autre personne. Au Japon, les renseignements ne doivent pas permettre d’identifier une personne en particulier et le traitement doit être effectué conformément aux normes réglementaires. Dans chaque cas, ces seuils établissent une norme contextuelle selon laquelle les facteurs susceptibles d’entraîner une réidentification doivent être anticipés et pris en compte.
Dans certaines administrations, le processus d’anonymisation des renseignements doit être irréversible. C’est le cas des lois québécoises sur les secteurs privé et public et de l’APPI japonaise, qui précisent que l’anonymisation doit être « irréversible », c’est-à-dire qu’il ne soit plus possible d’identifier (dans le cas des lois québécoises, directement ou indirectement) une personne à partir de renseignements rendus anonymes. Les RGPD du R.-U. et de l’UE n’exigent pas explicitement que le processus soit irréversible. Le RGPD de l’UE précise que les renseignements anonymes sont des renseignements qui ne se rapportent pas à une personne physique identifiée ou identifiable, ou sont des renseignements ne permettant plus d’identifier une personne. Les deux RGPD reconnaissent également que les progrès technologiques peuvent rendre les techniques d’anonymisation inefficaces au fil du temps et qu’il incombe aux responsables du traitement des données de veiller à ce qu’elles demeurent efficaces. Certaines autorités de protection des données ont interprété l’irréversibilité comme une composante de l’anonymisation, jusqu’à un certain pointNote de bas de page 8.
Par ailleurs, plusieurs organismes de réglementation ont reconnu que, dans la pratique, il peut être difficile, voire impossible, d’éliminer totalement toute possibilité de réidentification. Il faut donc comprendre que l’exigence du caractère « irréversible » de l’anonymisation réfère à une irréversibilité aux fins de la législation sur la protection des données plutôt qu’à un état nécessairement absolu. Par exemple, les orientations publiées conjointement par le Contrôleur européen de la protection des données (CEPD) et l’agence espagnole de protection des données (Agencia Espanola Proteccion Datos) indiquent qu’il n’est pas toujours possible de réduire à zéro la « probabilité de réidentification à partir d’un ensemble de données » et qu’« un processus d’anonymisation solide vise à réduire le risque de réidentification en dessous d’un certain seuil » plutôt qu’à atteindre nécessairement une anonymisation à 100 %Note de bas de page 9. Au Québec, le Règlement sur l’anonymisation des renseignements personnels précise qu’il n’est pas nécessaire de démontrer un risque nul de réidentification d’une personne lorsqu’on procède à l’analyse de risqueNote de bas de page 10. De même, les orientations publiées par le bureau du commissaire à l’information du Royaume-Uni (Information Commissioner’s Office) indiquent que la loi sur la protection des données n’exige pas que l’anonymisation soit totalement exempte de risques et que les entités doivent seulement être en mesure d’atténuer les risques jusqu’à ce qu’ils soient suffisamment réduits pour que les renseignements soient effectivement rendus anonymes lorsque le contexte est pris en compteNote de bas de page 11. Les lignes directrices publiées par la commission de la protection des renseignements personnels du Japon (Personal Information Protection Commission, 個人情報保護委員会) précisent qu’il n’est pas nécessaire d’éliminer toutes les possibilités techniques de rétablir les renseignements personnels anonymisés à leur état d’origine par quelque mesure que ce soit, mais qu’il faut au moins traiter les renseignements jusqu’à ce que l’exploitant qui traite les renseignements personnels et celui qui traite les renseignements personnels anonymisés ne puissent pas rétablir les renseignements à leur état d’origine par des mesures ordinaires basées sur les capacités et les mesures des personnes ordinaires et des exploitants ordinaires, tout en tenant compte d’autres facteursNote de bas de page 12.
Certains organismes de réglementation se sont également penchés sur la question à savoir si les renseignements sont anonymes pour toutes les parties, ou si les mêmes renseignements peuvent être anonymes pour une partie et ne pas l’être pour une autre, en fonction des autres renseignements disponibles pour chacune d’entre elles. Au Royaume-Uni, le bureau du commissaire à l’information a indiqué que, selon lui, le même renseignement peut être un renseignement personnel pour une organisation, mais un renseignement anonyme pour une autre, son état dépendant des circonstances et du contexte de sa communicationNote de bas de page 13. L’Organisation internationale de normalisation, bien qu’il ne soit pas un organisme de règlementation, définit l’anonymisation comme le fait d’empêcher l’identification par le contrôleur de l’information, seul ou en collaboration avec toute autre partieNote de bas de page 14.
Dans l’ensemble des administrations, les renseignements anonymes ne sont pas considérés comme des renseignements personnels et ne sont donc pas visés par les exigences de la législation sur la protection des données à l’égard de ce type de renseignements. Dans certaines administrations, certaines exigences légales s’appliquent aux renseignements anonymisés, par exemple, là où il est interdit de réidentifier ou de tenter de réidentifier une personne.
Conclusion
Il y a d’importantes similitudes et différences entre les administrations dans la manière dont les termes clés liés à la diminution de l’identifiabilité sont définis et intégrés dans les cadres de protection de la vie privée et des données.
Les différences portent entre autres sur les termes utilisés, sur les circonstances dans lesquelles les renseignements sont considérés comme entrant dans le champ d’application d’un terme donné et sur les exigences en matière de protection de la vie privée applicables à ces renseignements. Dans certaines administrations, les définitions et les exigences correspondantes en matière d’anonymisation et de dépersonnalisation sont pratiquement interchangeables, et les renseignements résultant de ces processus ne sont pas visés par les exigences en matière de protection de la vie privée applicables aux renseignements personnels de la législation sur la protection des données. Au sein d’autres administrations, les définitions de « dépersonnalisation » correspondent davantage au concept de pseudonymisation et les renseignements restent des renseignements personnels visés par la législation sur la protection des données. Ces renseignements peuvent également faire l’objet d’exemptions d’exigences précises en matière de protection de la vie privée dans certaines administrations, alors qu’ils ne le sont pas dans d’autres.
Ces zones de chevauchement et de divergence entre les cadres politiques offrent l’occasion d’améliorer l’harmonisation transnationale des approches adoptées en matière de dépersonnalisation, de pseudonymisation et d’anonymisation. Il pourrait notamment y avoir une coopération réglementaire quant à l’interprétation des cadres et à leur intégration aux processus et techniques de réduction de l’identifiabilité, en particulier lorsque ceux-ci sont nouveaux ou qu’il y a une incertitude quant à la manière dont ils s’intègrent aux cadres établis. D’une administration à l’autre, il semble que les termes « pseudonymisation » et « anonymisation » se chevauchent généralement moins et sont plus précis que le terme « dépersonnalisation ».
Annexe : Définitions des principaux termes
Cette annexe présente les définitions de « dépersonnalisation », « pseudonymisation » et « anonymisation » proposées par les organismes publics des pays du G7. Elle inclut les définitions législatives de ces termes, lorsqu’elles existent, de même que les définitions non législatives proposées dans des documents réglementaires et politiques, lorsqu’elles donnent un aperçu des utilisations politiques et réglementaires courantes de ces termes, en particulier dans les administrations où aucune définition législative n’est en vigueur.
Dépersonnalisation
Canada
Bien que la législation fédérale actuelle sur la protection de la vie privée ne définisse pas ce terme, la Loi sur la protection de la vie privée des consommateurs (LPVPC), si elle est adoptéeNote de bas de page 15, définira « dépersonnalisation » comme l’action de l’action de « modifier des renseignements personnels afin de réduire le risque, sans pour autant l’éliminer, qu’un individu puisse être identifié directement ».Note de bas de page 16 Les documents actuels du gouvernement du Canada décrivent l’identification directe comme « l’action d’établir l’identité d’une personne au moyen d’un identifiant direct », c’est-à-dire « un attribut qui permet à lui seul d’identifier une personne »Note de bas de page 17. La LPVPC exigerait que tous les procédés techniques et administratifs appliqués aux renseignements dépersonnalisés soient proportionnels aux fins auxquelles ces renseignements sont dépersonnalisés et à la nature sensible de ceux-ciNote de bas de page 18.
Au Québec, la Loi sur la protection des renseignements personnels dans le secteur privé et la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels définissent les renseignements dépersonnalisés comme des renseignements qui « ne permet [tent] plus d’identifier directement la personne concernéeNote de bas de page 19 ».
Dans la province de l’Ontario, la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS) définit l’action d’« anonymiser » [note du traducteur : dans cette loi, « de-identify » est traduit par « anonymiser »], en ce qui concerne les renseignements personnels sur la santé d’une personne, comme le fait de « retirer les renseignements qui permettent [d’] identifier [une personne] ou à l’égard desquels il est raisonnable de prévoir, dans les circonstances, qu’ils pourraient servir, seuls ou avec d’autres renseignements, à l’identifier »Note de bas de page 20. Notez que dans la version française officielle de la Loi de 2004 LPRPS de l’Ontario, le terme anglais « de-identify » a été traduit par « anonymiser », qui peut aussi traduire le verbe anglais « anonymize ». De l’orientation publiée en 2016 par le commissaire à l’information et à la protection de la vie privée de l’Ontario indique que la « dépersonnalisation » est le terme général désignant le processus de suppression des renseignements personnels d’un document ou d’un ensemble de données, et qu’une fois dépersonnalisé, un ensemble de données est considéré comme ne contenant plus de renseignements personnelsNote de bas de page 21 ».
Définitions non législatives
Dans un avis de mise en œuvre de la protection des renseignements personnels, le Secrétariat du Conseil du Trésor du Canada, qui fournit des directives sur l’interprétation et l’application de la Loi sur la protection des renseignements personnels, définit les renseignements dépersonnalisés comme suit aux fins de l’avis : « renseignements personnels qui ont été modifiés dans le cadre d’un processus visant à supprimer ou à modifier les identifiants dans une mesure appropriée aux circonstancesNote de bas de page 22 ».
Dans une enquête récente sur l’utilisation des données sur la mobilité par une autorité fédérale de santé publique, le Commissariat à la protection de la vie privée du Canada a défini la dépersonnalisation comme suit aux fins du rapport : « processus par lequel tous les éléments permettant d’établir l’identité d’un individu, comme le nom, le numéro de téléphone ou l’identifiant d’un appareil dans un contexte de données sur la mobilité, sont retirés des données personnelles (et souvent remplacés par un identifiant attribué de manière aléatoire)Note de bas de page 23 ». Dans un lexique en ligne, le gouvernement du Canada définit la dépersonnalisation comme une « modification de renseignements personnels de sorte qu’ils ne permettent plus l’identification de la personne concernéeNote de bas de page 24 ».
Royaume-Uni
La loi sur la protection des données de 2018 (Data Protection Act 2018,[DPA]) du Royaume-Uni définit les données personnelles dépersonnalisées, relativement à deux infractions criminelles concernant la réidentification d’un sujet après la dépersonnalisation de données personnelles, comme des données qui ont été traitées de telle manière qu’elles ne peuvent plus être attribuées à une personne concernée précise, sans avoir recours à des renseignements supplémentairesNote de bas de page 25. Les notes explicatives de la DPA précisent que cette disposition définit le sens de la dépersonnalisation et de la réidentification aux fins de l’infraction criminelle et reflète la définition de pseudonymisation que l’on retrouve au paragraphe 4 (5) du RGPD du R.‑U.
Dans le cadre de la législation sur la protection des données, le seul renvoi aux données dépersonnalisées se trouve dans l’article 171 de la DPA, qui précise que le traitement des données personnelles dépersonnalisées à des fins de réidentification constitue une infraction criminelle. Dans ce contexte, les données personnelles dépersonnalisées sont des données pseudonymisées ou des données qui sont considérées comme anonymisées, mais qui peuvent, compte tenu de tous les moyens raisonnablement susceptibles d’être utilisés, être traitées à des fins de réidentification.
États-Unis
La loi sur la responsabilisation et la portabilité de l’assurance-maladie des États-Unis (Health Insurance Portability and Accountability Act,[HIPAA]) définit les renseignements dépersonnalisés comme des renseignements sur la santé qui ne permettent pas d’identifier une personne et pour lesquels il n’y a pas de motif raisonnable de croire qu’ils peuvent être utilisés pour identifier une personneNote de bas de page 26. Pour que les renseignements soient considérés comme dépersonnalisés, ils doivent respecter certaines spécifications de mise en œuvre.
À l’échelle infranationale, la loi sur la vie privée du consommateur de la Californie (California Consumer Privacy Act [CCPA]) définit les renseignements dépersonnalisés comme des renseignements qui ne peuvent pas être raisonnablement utilisés pour déduire des renseignements sur un consommateur particulier ou être autrement liés à celui-ci, pourvu que l’entreprise qui possède les renseignements prenne certaines mesures pour assurer leur protectionNote de bas de page 27.
Définitions non législatives
Dans un document technique, le National Institute of Standards and Technology (NIST) a défini la dépersonnalisation comme un terme général désignant tout processus visant à supprimer l’association entre un ensemble de données d’identification et la personne concernéeNote de bas de page 28.
Pseudonymisation
Canada
Définitions non législatives
Dans un avis de mise en œuvre de la protection des renseignements personnels, le Secrétariat du Conseil du Trésor du Canada, qui fournit des directives sur l’interprétation et l’application de la Loi sur la protection des renseignements personnels, décrit la pseudonymisation comme « un processus qui consiste à masquer les identifiants directs » et souligne que la pseudonymisation est une forme courante de dépersonnalisation. L’avis suggère en outre que la pseudonymisation se produit lorsque les identifiants directs sont remplacés par des alias et que ces mêmes alias sont utilisés de manière cohérente dans tous les ensembles de donnéesNote de bas de page 29.
Le Lexique sur les renseignements personnels et la protection de la vie privée du gouvernement du Canada définit la pseudonymisation comme « une technique de dépersonnalisation par laquelle les attributs permettant l’identification directe d’une personne sont remplacés par des pseudonymes », en soulignant que : « lors de la pseudonymisation, les attributs permettant l’identification indirecte d’une personne ne sont pas modifiésNote de bas de page 30 ».
Dans un document de discussion, le ministère de la Justice Canada a défini la pseudonymisation comme « une forme spéciale de dépersonnalisation qui implique l’ajout de nouveaux éléments qui substituent des informations identifiablesNote de bas de page 31 ».
Union européenne et Royaume-Uni
Le Règlement général sur la protection des données du Royaume-Uni (General Data Protection Regulation [RGPD du R.-U.]) et le Règlement général sur la protection des données de l’Union européenne (General Data Protection Regulation [RGPD de l’UE]) définissent la pseudonymisation comme suit : « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ». Ainsi, l’utilisation d’informations supplémentaires peut mener à l’attribution à des personnesNote de bas de page 32. En pratique, la pseudonymisation suppose habituellement le remplacement des attributs de données d’identification directe d’un ensemble de données (p. ex. le nom) par une forme d’identification indirecte des attributs de données (p. ex. alias, numérotation séquentielle, données chiffrées et nombreuses mises en place de procédé de hachage)Note de bas de page 33.
Le commissariat à l’information du Royaume-Uni a fait remarquer que la pseudonymisation fait référence à des techniques qui remplacent, suppriment ou transforment des renseignements qui permettent d’identifier une personne, notamment : remplacer un ou plusieurs identificateurs qui sont facilement attribués à des personnes (comme des noms) par un pseudonyme (comme un numéro de référence)Note de bas de page 34.
Selon le RGPD du R.-U. et le RGPD de l’UE, les données personnelles qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable. Autrement dit, les données qui ont fait l’objet d’un processus de pseudonymisation demeurent des données personnellesNote de bas de page 35.
Japon
Dans l’Act on the Protection of Personal Information (APPI) les renseignements personnels pseudonymisés sont définis comme des renseignements relatifs à une personne préparés d’une manière qui ne permet pas d’identifier une personne en particulier à moins qu’ils ne soient réunis avec d’autres renseignements, en supprimant tous les codes d’identification individuels contenus dans les renseignements personnels (dans le cas des renseignements personnels contenant de tels codes) ou en supprimant une partie des identifiants ou leur équivalent contenus dans les renseignements personnels (dans le cas de tous les autres renseignements personnels)Note de bas de page 36. Dans les deux cas, il est permis de remplacer tous les codes d’identification individuels, ou une partie des identifiants ou leur équivalent, par d’autres identifiants ou leur équivalent (plutôt que de les supprimer) sans suivre les modèles qui permettent de rétablir leur état initial.
D’une manière générale, on entend par identifiants tous les éléments qui peuvent être utilisés pour identifier une personne en particulier, y compris tout renseignement qui peut être facilement regroupé avec d’autres renseignements et donc utilisé pour identifier cette personne en particulierNote de bas de page 37. Les codes d’identification individuels sont généralement des codes convertis pour une utilisation informatique afin d’identifier une personne en particulier par une caractéristique distinctive, ou des codes utilisés pour identifier un utilisateur, un acheteur ou un destinataire en particulier qui sont attribués ou enregistrés différemment pour chacun d’euxNote de bas de page 38.
États-Unis
Au niveau infranational, la CCPA définit la pseudonymisation comme le traitement de renseignements personnels de sorte que les renseignements personnels ne sont plus attribuables à un consommateur spécifique sans l’utilisation de renseignements supplémentaires, à condition que les renseignements supplémentaires soient conservés séparément et soumis à des mesures techniques et organisationnelles pour s’assurer que les renseignements personnels ne puissent pas être liés à un consommateur identifié ou identifiableNote de bas de page 39.
Définitions non législatives
Le NIST a défini la pseudonymisation comme un type particulier de dépersonnalisation qui a pour effet de supprimer l’association avec une personne concernée et d’ajouter une association entre un ensemble particulier de caractéristiques relatives à la personne concernée et un ou plusieurs pseudonymesNote de bas de page 40. Le NIST ajoute que la technique est couramment utilisée de sorte que plusieurs observations concernant une personne au fil du temps puissent être appariées et qu’une personne puisse être réidentifiée s’il y a une raison stratégique de le faire.
Anonymisation
Canada
La LPVPC, si elle est adoptée, définirait l’anonymisation comme suit : « Modifier définitivement et irréversiblement, conformément aux meilleures pratiques généralement reconnuesNote de bas de page 41, des renseignements personnels afin qu’ils ne permettent pas d’identifier un individu, directement ou indirectement, par quelque moyen que ce soitNote de bas de page 42 ». Les renseignements anonymisés ne seraient pas visés par la LPVPC.
Au niveau infranational, selon la Loi sur la protection des renseignements personnels dans le secteur privé (loi du secteur privé) et la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (loi relative au secteur public) de la province de Québec, « un renseignement concernant une personne physique est anonymisé lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personneNote de bas de page 43 ». Ces lois précisent en outre que les renseignements doivent être anonymisés selon les meilleures pratiques généralement reconnues et selon les critères et modalités déterminés par règlement. Les règlements correspondants établissent les différentes étapes à suivre et les divers critères et modalités à respecter lorsqu’on procède à l’anonymisationNote de bas de page 44. Au titre de ces lois, les renseignements anonymisés ne peuvent être utilisés qu’« à des fins sérieuses et légitimes » par des organisations du secteur privé et « à des fins d’intérêt public » par des organisations du secteur public.
Définitions non législatives
Dans un avis de mise en œuvre de la protection des renseignements personnels, le Secrétariat du Conseil du Trésor du Canada, qui fournit des directives sur l’interprétation et l’application de la Loi sur la protection des renseignements personnels, définit les renseignements anonymisés aux fins de l’avis comme suit : « renseignements personnels qui ont été dépersonnalisés à un point tel qu’il n’existe aucune possibilité sérieuse de repersonnalisation par toute personne ou tout organe utilisant des données ou des technologies supplémentaires à ce moment-ciNote de bas de page 45 ».
Le Lexique sur les renseignements personnels et la protection de la vie privée du gouvernement du Canada définit l’anonymisation comme suit : « technique de dépersonnalisation qui consiste à modifier de façon irréversible des renseignements personnels afin que la personne concernée ne puisse être réidentifiéeNote de bas de page 46 ». Dans un document de discussion, le ministère de la Justice Canada a souligné que « [d]’une manière générale, les informations “anonymisées “ ont été irréversiblement dépouillées de leurs identificateurs personnelsNote de bas de page 47 ». Dans les conclusions d’un rapport d’enquête, le Commissariat à la protection de la vie privée du Canada a souligné que les renseignements qui ont été anonymisés ne constituent pas des renseignements anonymes s’il est possible d’associer les données anonymisées à une personne identifiableNote de bas de page 48.
Union européenne et Royaume-Uni
Le RGPD du R.-U. et le RGPD de l’UE précisent que les principes de protection des données, c’est-à-dire la législation sur la protection des données, ne devraient pas s’appliquer aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiableNote de bas de page 49. Ces lois précisent que, pour déterminer si une personne physique est identifiable, il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. De plus, pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il convient de prendre en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaires à celle-ci, en tenant compte des technologies disponibles au moment du traitement et l’évolution de celles-ci.
Le commissariat à l’information du Royaume-Uni a publié une ébauche de ligne directrice (applicable au Royaume-Uni) soulignant que les renseignements anonymes peuvent être considérés comme le résultat final d’un processus qui convertit des données personnelles en renseignements auxquels la législation sur la protection des données ne s’applique plus, puisque les renseignements ne sont plus des données personnellesNote de bas de page 50. En France, l’autorité française de protection des données, la Commission nationale de l’informatique et des libertés a publié une directive qui définit l’anonymisation comme « un traitement qui consiste à utiliser un ensemble de techniques de manière à rendre impossible, en pratique, toute identification de la personne par quelque moyen que ce soit et de manière irréversibleNote de bas de page 51 ». Le Contrôleur européen de la protection des données (CEPD) a publié un document conjoint avec l’agence espagnole de protection des données, dans lequel il est indiqué que, contrairement aux données personnelles pseudonymisées, les données anonymes ne peuvent pas être associées à une personne en particulierNote de bas de page 52. En Allemagne, certaines lois fédérales sur la protection des données définissent l’anonymisation, à quelques détails près, comme le traitement des données personnelles de telle sorte que les détails individuels relatifs aux circonstances personnelles ou factuelles ne peuvent plus être attribués à une personne physique identifiée ou identifiable, à moins d’y consacrer une quantité disproportionnée de temps, d’argent et de main-d’œuvreNote de bas de page 53.
Japon
Dans l’APPI les renseignements personnels anonymisés sont définis comme des renseignements relatifs à une personne qui peuvent être préparés, de façon irréversible, de manière à rendre impossible l’identification d’une personne en particulier, en supprimant tous les codes d’identification individuels contenus dans les renseignements personnels (dans le cas des renseignements personnels contenant de tels codes) ou en supprimant une partie des identifiants ou leur équivalent contenus dans les renseignements personnels (dans le cas de tous les autres renseignements personnels)Note de bas de page 54. Dans les deux cas, il est permis de remplacer tous les codes d’identification individuels, ou une partie des identifiants ou leur équivalent, par d’autres identifiants ou leur équivalent (plutôt que de les supprimer) sans suivre les modèles qui permettent de rétablir leur état initial.
La APPI exige également que, lors de la préparation de renseignements personnels anonymisés dans une base de données contenant des renseignements personnels anonymisés ou l’équivalent, les entreprises qui gèrent des renseignements personnels les traitent, conformément aux normes prescrites par l’ordonnance de la commission de la protection des renseignements personnels, comme étant ceux qui sont nécessaires pour rendre impossible l’identification d’une personne en particulier et rétablir l’état initial des renseignements Note de bas de page 55.
États-Unis
Définitions non législatives
Le NIST a défini l’anonymisation comme un processus qui supprime l’association entre l’ensemble de données d’identification et la personne concernée, et souligne que le terme anonymisation est réservé aux processus de dépersonnalisation qui ne peuvent être inversésNote de bas de page 56.
Remerciements
Le présent document a été élaboré conjointement par les autorités de protection des données du G7, dans le cadre du groupe de travail sur les technologies émergentes du G7. L’élaboration du document a été dirigée par le Commissariat à la protection de la vie privée du Canada.
Les autorités de protection des données du G7 remercient les organisations ci-dessous pour leur révision du présent document ainsi que pour leur rétroaction :
- L’agence de protection de la vie privée de la Californie : California Privacy Protection Agency;
- La Commission d’accès à l’information du Québec;
- Le Commissaire à l’information et à la protection de la vie privée de l’Ontario;
- Le département de la santé et des services aux personnes des États-Unis : US Department of Health and Human Services.
- Date de modification :