Le monde est rythmé par le profit et les innovations découlant des nouvelles technologies. Plusieurs services en ligne, illusoirement gratuits, s’avèrent profitables en vertu des renseignements personnels qu’ils collectent, utilisent et communiquent pour
prodiguer des services.Toutes les informations qui concernent et permettent d’identifier une personne1 ont une valeur2. Or, le caractère lucratif des renseignements personnels pour les entreprises n’est pas sans coût pour les propriétaires de ces renseignements qui peuvent être la proie d’escroqueries, de fraudes, d’usurpation d’identité, voire d’atteinte à la vie privée. Dernièrement, tant les sujets de droit que le législateur se voient confrontés à des défis aussi importants que la protection des renseignements personnels et confidentiels. Dans un souci de protection de la vie privée et de la confidentialité, les enjeux de la collecte, de l’usage et de la communication de ces renseignements ont été la source de nouvelles législations d’abord sur la sphère Européenne, puis sur la sphère mondiale3. Le législateur Québécois n’a pas fait exception à la règle, en adoptant des mesures significatives par l’entremise du projet de loi 64, maintenant nommé loi 254. Ces mesures s’inscrivent dans le principe de minimisation des atteintes à la vie privée5. Parmi ces mesures, il y a notamment la question de la destruction des renseignements personnels lorsque les fins auxquelles ils ont été recueillis ou utilisés sont accomplies, sous réserve d’un délai de conservation prévu par une loi6 ou un règlement. Ce principe est modéré par l’anonymisation, un processus mis en œuvre afin que les renseignements personnels ne puissent plus être rattachés à l’individu auquel ils se rapportent7.
Selon la Commission nationale de l’Informatique et des Libertés (CNIL), l’anonymisation est l’un des procédés à privilégier en vue d’exclure tout risque d’atteinte à la vie privée8.Bien que cette affirmation laisse transparaître la capacité du processus d’anonymisation à renforcer la protection des renseignements personnelles, il n’en demeure pas moins que l’anonymisation n’élimine pas intégralement le risque d’incident de confidentialité qu’elle vise justement à enrayer et qui justifie son usage9.
L’anonymisation présente donc certaines limites juridiques relatives à la protection des renseignements personnels
des individus qu’il convient de relever par l’entremise de ce texte. Dans le cadre de notre recherche, nous avons relevé des limitations textuelles (I) des limitations pratiques (II) ainsi que des limitations jurisprudentielles (III) qui impactent l’efficacité du procédé d’anonymisation.
I. Les limitations textuelles de l’anonymisation
Selon le législateur québécois, un renseignement concernant une personne physique
est anonymisé « lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne »10. En prime, le législateur déclare à l’alinéa 2 de l’article 28 et 119 précité que : « Les renseignements anonymisés en vertu de la présente loi doivent l’être selon les meilleures pratiques généralement reconnues et selon les critères et modalités déterminés par règlement. »11D’abord, s’il est louable de constater au vu de la définition d’anonymisation du législateur québécois que les renseignements personnels anonymisés ne doivent pas permettre pour le présent et l’avenir d’identifier leur propriétaire par quelque manœuvre que ce soit, force est toutefois d’admettre que le législateur demeure silencieux quant aux moyens à déployer pour mettre en œuvre cette disposition12. L’application concrète de l’anonymisation peut à priori paraître relativement floue à la lecture de la Loi 25, comme la loi ne fixe pas de conditions de forme précises aux entreprises en vue de
remplir la condition de fond. En d’autres termes, le législateur n’impose aucun procédé pour rencontrer les exigences des critères d’irréversibilité d’identification directe et indirecte, indispensables à l’anonymisation. L’absence d’indication spécifique quant aux
mesures à prendre donne une certaine souplesse au droit. C’est cette souplesse précisément qui permet au droit de s’adapter à l’évolution fulgurante et constante des technologies de l’information, qui repoussent constamment le cadre normatif, comme l’innovation résulte souvent de la contrainte13. Un article de loi trop spécifique quant aux « meilleures pratiques généralement reconnues » aurait donc eu pour effet d’obliger le législateur à réécrire constamment la loi, ce qui aurait été contre-productif. En pratique, toutefois, ce flou volontaire rend l’application du principe d’anonymisation plus complexe, au regard du manque de précision concrète de la loi14.
Ensuite, il faut déplorer le fait qu’à la lecture de la loi, le législateur ne soit pas plus contraignant envers les entreprises quant à la responsabilité des entreprises par rapport aux renseignements anonymisés. L’emploi du terme raisonnable dans l’article 119 de la loi 2515permet de déduire que les organisations ont une obligation de moyens envers les renseignements personnels des personnes concernées16 et ce malgré l’obligation de résultat propre à la définition même de l’anonymisation17.
Ainsi, les organisations s’engagent à entreprendre des mesures raisonnables pour parvenir à anonymiser les renseignements personnels, sans toutefois garantir la réussite de l’anonymisation qui par nature définit le concept. Ceci implique que les organisations; qui s’engagent à anonymiser les renseignements personnels selon les meilleures pratiques généralement reconnues, selon des critères et modalités qui semble-t-il seront déterminés par règlement ou prodigués par les autorités compétentes, et qui font preuve de diligence
raisonnable; pourraient ne pas voir leur responsabilité engagée suite à un incident de confidentialité résultant de la faillibilité des techniques d’anonymisation employées. La « diligence raisonnable » est un moyen de défense juridique important en droit québécois18. Dans la mesure où l’incident était imprévisible et que les préjudices subis ne sont pas trop considérables, la démonstration d’écrits montrant les précautions prises par l’entreprise avant que les évènements ne surviennent pourrait permettre à une organisation d’éviter une amende considérable, dans la mesure où elles sont appropriées ou rationnelles, compte tenu des circonstances en l’espèce19.
Ainsi, l’obligation pour les organisations d’atteindre l’objectif d’irréversibilité d’identification directe et indirecte de l’anonymisation est tempérée par une promesse d’accomplir toutes les diligences nécessaires à la réalisation de son obligation contractuelle, ainsi
que les limites des normes de pratique aussi définies comme étant les “meilleures pratiques généralement reconnues” actuellement.
En somme, les organisations qui emploient le procédé d’anonymisation doivent s’engager à mettre au service des personnes concernées tous les moyens dont elles disposent, pour protéger leurs renseignements personnels et leur identification. Toutefois,
la dichotomie entre l’obligation de résultat à l’essence même du procédé de l’anonymisation et l’obligation de moyens résultant aux entreprises semble incongrue. La mise en application du principe d’anonymisation et des obligations propres aux entreprises doivent faire l’objet de précisions en vue d’une meilleure protection des renseignements personnels.
II. Les limitations pratiques de l’anonymisation
En pratique, la mise en place du procédé d’anonymisation ne garantit en rien l’application adéquate des techniques d’anonymisation. En fait, les techniques à appliquer peuvent varier en fonction de la nature des renseignements personnels, de leur sensibilité, de l’architecture des systèmes affectés, des autres procédés mis en place, Etc. Il faut avoir un certain niveau d’expertise pour pouvoir appliquer la bonne technique de la bonne façon selon le contexte20. La complexité conceptuelle et de mise en application des techniques d’anonymisation peut représenter un défi de taille. Dans la mesure où cette complexité affecte l’implantation adéquate du procédé, ceci pourrait grandement en limiter l’efficacité. En soit, cette situation s’avère problématique dans la mesure où la démonstration de la mise en place de mesure d’anonymisation peut permettre aux entreprises d’être automatiquement exemptées des exigences en matière de protection des renseignements personnels.
À cet égard, selon Jean Loup Le Roux, ingénieur et fondateur de Henri & Wolf, « il n’existe pas encore de critères standardisés pour vérifier si les mesures entreprises sont appliquées adéquatement de manière à empêcher l’identification indirecte et de garantir
l’efficacité du processus d’anonymisation. La raison étant qu’une obligation de résultat est énoncée sans prodiguer le(s) moyen(s) d’atteindre ce résultat ». Cette situation peut représenter un risque pour la protection des renseignements personnels ou confidentiels
détenus par les entreprises. Sur une autre note, les techniques d’anonymisation doivent être constamment mises à
jour pour conserver le caractère anonyme des renseignements personnels. Ainsi, les organisations doivent réévaluer régulièrement les risques associés à l’anonymisation pour éviter la ré-identification directe ou indirecte des personnes au regard de l’évolution
des pratiques liées à l’anonymisation. Or, souvent, l’anonymisation offre à tort un faux sentiment de sécurité21, et les entreprises ne prennent pas toujours le temps de revoir sporadiquement leurs pratiques, pensant bien faire en ayant appliqué les « meilleures pratiques généralement reconnues » à une époque précise.
Le domaine de la protection des renseignements personnels et les techniques d’anonymisation des données sont en
constante effervescence. La législation et les responsabilités affiliées ne cessent d’évoluer au rythme des nouvelles technologies émergentes. Dès lors, rien ne garantit à une entreprise si la méthode utilisée restera acceptable à l’avenir. Il sera donc très important pour les entreprises de prendre toutes les mesures raisonnables pour assurer leur conformité aux lois sur la protection des renseignements personnels en analysant rigoureusement chaque possibilité ou méthode suggérée à la
lumière des exigences en vigueur et en menant un examen approfondi des façons dont les données anonymisées ou agrégées pourraient faire l’objet de réidentification dans le présent et dans le futur. En somme, il peut s’avérer complexe en pratique de savoir quelles mesures techniques appliquées selon les circonstances, sans ligne directrice standardisée, ce qui peut dès lors impacter l’efficacité du procédé d’anonymisation déjà excessivement complexe. De plus, le faux sentiment de sécurité attribuable à l’anonymisation peut engendrer de la négligence par rapport à la mise à niveau des procédés techniques indispensables à
l’anonymisation. Ainsi, il est primordial de s’entourer d’experts compétents en la matière pour éviter des erreurs regrettables lorsque l’on fait usage de procédés d’anonymisation.
III. Les limitations jurisprudentielles de l’anonymisation
Le droit d’action fondé sur l’atteinte à la vie privée a été reconnu par la Cour d’appel de
l’Ontario dans l’arrêt Jones c. Tsige 22. Dans celle-ci, le juge a reconnu qu’une faute intentionnelle restreinte et limitée donne lieu à un recours aux particuliers. Il s’agit notamment des cas dans lesquels un défendeur s’est introduit délibérément et de façon
importante dans les affaires privées d’un demandeur. La Cour d’appel a alors dégagé de l’affaire Jones c. Tsige23 des critères importants pour la réparation des préjudices moraux en cas de fuite des renseignements personnels.
En effet, il s’agit entre autre de l’exigence de conduite, la condition d’état d’esprit et l’exigence de conséquence24. Si ces différents critères constituaient pour les potentiels sujets de droit lésés un espoir d’obtenir réparation en cas de préjudice moral subi, force
est cependant de constater que dans le cadre des personnes morales, les personnes lésées ne peuvent établir la constitution du délit d’intrusion dans l’isolement. En effet, comme nous l’indique l’affaire Owsianik25, le délit d’intrusion dans l’isolement ne peut être établi contre une entreprise au motif d’un défaut d’empêcher un tiers intrusion dans les affaires privées du demandeur. Cette affirmation confirme que les entreprises ayant procédées à l’anonymisation ne pourraient pas être poursuivies en cas de fuite de renseignements personnels pour une éventuelle réparation des préjudices moraux26. Dans cette affaire datant de l’année 2017, des pirates informatiques ont pu accéder sans autorisation à des renseignements personnels recueillis et stockés par l’entreprise Equifax. La partie demanderesse a estimé que l’entreprise Equifax avait commis une atteinte à la vie privée en n’ayant pas empêché les pirates informatiques d’avoir accès à ces renseignements. La cour a rejeté la demande fondée sur le délit d’intrusion du demandeur, en affirmant que la nécessité d’établir que le défendeur a commis un acte de nature intrusive ou invasive est un élément fondamental et indispensable à l’atteinte à la vie privée et que, cet élément ne peut être établi sur le fondement d’un défaut allégué d’empêcher un tiers de s’immiscer dans les affaires privées du demandeur27.
Il ressort de notre étude que l’anonymisation ne permet pas nécessairement d’obtenir réparation morale ou pécuniaire d’un point de vue légal et jurisprudentiel. Les personnes lésées semblent n’avoir aucun recours pour la réparation de leur droit. Une telle situation
ne poserait aucun problème dans une situation ou l’anonymisation serait un recours sans faille. Toutefois, force est de constater que cette approche présente de nombreux risques dans la pratique qu’il convient d’analyser. En conclusion, l’anonymisation est le moyen optimal pour protéger les renseignements personnels. S’il permet, mieux que d’autres processus de protéger les données et les
renseignements personnels, il n’en demeure pas moins qu’il n’échappe pas aux failles techniques qui peuvent porter préjudice à tout individu.
Dans le cadre de notre recherche, nous avons relevé que les limites de l’obligation de résultats, la complexité technique de la mise en application du procédé et le manque de responsabilisation des entreprises compromettent l’efficience du procédé d’anonymisation. Pour ajouter, il faudrait aussi analyser l’hypothèse voulant que les entreprises ne semblent pas toujours prendre en considération la période de latence particulière marquant le début de l’effectivité de l’anonymisation. Il semblerait que l’anonymisation n’ait pas toujours un effet instantané, malgré son application en bonne et due forme. Même si des moyens peuvent avoir été mis en œuvre pour implanter le procédé d’anonymisation, dans certaines conditions les effets de l’anonymisation peuvent se concrétiser plusieurs mois après leur mise en place28.
En cas de cyberattaque ou d’incident de confidentialité, avant l’effectivité même de l’anonymisation, les renseignements personnels se retrouvent donc vulnérables et sans la protection garantie par le procédé d’anonymisation et ce probablement à l’insu de l’entreprise bien intentionnée qui a implanté les mesures. Il serait donc intéressant d’évaluer plus en profondeur les nombreux enjeux qui guettent l’anonymisation pour optimiser ce procédé et réduire les risques d’atteinte à la vie privée.
Article rédigé par Marie-Eve Lida, juriste spécialisée en droit des technologies et Me Frédérique Turnier-Caron, avocate en droit de la vie privée, de la cybersécurité et de la gouvernance de données
Notes de bas de page
1 Art. 2 de la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1
2 A titre d’illustration, les auteurs Roussel Alexis et Barbey Gregoire déclarent que des publicitaires peuvent acheter des données à l’État. Ils citent aussi les partis politiques disposant de listes usitées au cours de scrutins en vue de contacter les citoyens. Roussel Alexis & Barbey Grégoire, « L’existence numérique des individus » dans, slatkine éd, Genève.
3 Règlement (UE) 2016/679 du Parlement Européen et du conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
4 Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, LQ 2021, c 25.
5 Camille Grange, « Collecte de données et éthique : des enjeux à décoder | HEC Montréal », (2022), en
ligne: https://www.hec.ca/ecole-des-dirigeants/actualites/2022/collecte-de-donnees-et-ethique-des-enjeux-a-decoder.html
6 Art. 28 et 119 de la Loi 25
7 Jessica Eynard, Les données personnelles : Quelle définition pour un régime de protection efficace ?, Paris, Michalon Editeur, 2013, à la p 47.; Une telle définition laisse transparaitre la différence entre la dépersonnalisation des données personnelles et leur anonymisation. En effet, l’anonymisation ne doit plus permettre, de façon irréversible, d’identifier directement ou indirectement l’individu. A contrario, la dépersonnalisation peut permettre d’identifier indirectement un individu. Cf. Julie Uzan-Naulin, « Dépersonnalisation, anonymisation et désindexation : nouveau jargon, nouvelles obligations! », (Aout 2020), en ligne: www.fasken.com/fr/knowledge/projet-de-loi-64/2020/08/24-depersonalisation-anonymisation-desindexation-nouvelles-obligations.
8 Eynard, Les données personnelles, 204; CNIL, Délibération n° 2005-213 du 11 octobre 2005 portant adoption d’une recommandation concernant les modalités d’archivage électronique dans le secteur privé, de données à caractère personnel.
9 Luc Rocher, Julien M. Hundrickx et Yves-Alexandre de Montjoye, « Estimating the success of re-identification in incomplete data sets using generative models » (2019), 10 Nature Communications 3069.
10 Art. 28 et 119 de la Loi 25. Cf Assemblée nationale du Québec, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.
11 Assemblée nationale du Québec, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.
12 Héloïse Gratton, Elisa Henry, François Joli-Coeur, et al., « Guide de conformité pour la réforme de la Loi
sur la protection des renseignements personnels dans le secteur privé », Borden Ladner Gervais, 12
octobre 2022, accessible en ligne : https://www.blg.com/fr/insights/2021/11/quebec-privacy-law-reform-a-compliance-guide-for-organizations
13 Mihaela Ailincai, « La soft law est-elle l’avenir des droits fondamentaux? », Appartient au dossier : “Le droit des libertés en question(s) – Colloque des 5 ans de la RDLF”, RDLF 2017, chron. n°20, en ligne: http://www.revuedlf.com/droit-fondamentaux/la-soft-law-est-elle-lavenir-des-droits-fondamentaux/
14Qu’à cela ne tienne, un règlement, des recommandations de la CAI, ainsi que de la jurisprudence risque de venir combler ce flou éminemment. D’ici là, plusieurs considèrent que les principes élaborés en Europe, permettent d’assurer l’application des meilleures pratiques généralement reconnues.
15 L’article 119 de la loi 25 se lit comme suit: « Un renseignement concernant une personne physique est anonymisé lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne ».
16 Sur les critères de distinction entre l’obligation de moyens et résultat, voir Myriam Pierrat, « De la distinction entre obligations de moyens et obligations de résultat : pile ou face ? », Journal des tribunaux (5 juin 2011).
17 9101-5388 Québec inc. c. Martel Desjardins, 2007 QCCS 3213
18 9101-5388 Québec inc. c. Martel Desjardins, 2007 QCCS 3213
19 Les mesures à prendre sont habituellement déterminées au cas par cas.
20 Giulio Foresto, «De la difficulté technique de l’anonymisation, ou comment mal anonymiser ses
données», Meetech – We Love Tech, sep. 14, 2018, en ligne : https://medium.com/meetech/de-la-difficult%C3%A9-technique-de-lanonymisation-ou-comment-mal-anonymiser-ses-donn%C3%A9es-b1cc44f623cc .
21 Robert C Piasentin & Kristen Shaw, « Les risques de l’anonymisation et de l’agrégation de données », (1
décembre 2021), McMillan SENCRL, s.r.l, en ligne: https://mcmillan.ca/fr/perspectives/les-risques-de-lanonymisation-et-de-lagregation-de-donnees/
22 Jones v. Tsige, 2012 ONCA 32.
23 Laura F. Cooper et al., « Failure to Prevent a Data Breach Not an Invasion of Privacy ».
24 Laura F. Cooper et al., « Failure to Prevent a Data Breach Not an Invasion of Privacy ».
25 Owsianik v. Equifax Canada Co., 2022 ONCA 813.
26 Laura F. Cooper et al.
27 Ibid
28 Robert C Piasentin & Kristen Shaw, « Les risques de l’anonymisation et de l’agrégation de données », (1 décembre 2021), en ligne: McMillan SENCRL, s.r.l . ; Cette situation est d’autant plus dangereuse dans le cadre d’entreprises détenant un nombre important de renseignements personnels, étant donné que l’anonymisation n’est pas nécessairement instantanée. Elle peut intervenir après plusieurs mois, dans un contexte où les entreprises sont constamment exposées à des menaces de cyberattaques. Par exemple, dans certains cas, l’anonymisation peut intervenir après 9 mois pour des données qui sont automatiquement collectées .Eynard, Les données personnelles.
Bibliographie
Jurisprudence
9101-5388 Québec inc. c. Martel Desjardins, 2007 QCCS 3213
Jones v. Tsige, 2012 ONCA 32.
Owsianik v. Equifax Canada Co., 2022 ONCA 813.
Doctrine
Camille Grange, « Collecte de données et éthique : des enjeux à décoder | HEC
Montréal », (2022), en ligne:
https://www.hec.ca/ecole-des-dirigeants/actualites/2022/collecte-de-donnees-et-ethiquedes-enjeux-a-decoder.html
Eynard, Les données personnelles, 204; CNIL, Délibération n° 2005-213 du 11 octobre
2005 portant adoption d’une recommandation concernant les modalités d’archivage
électronique dans le secteur privé, de données à caractère personnel.
Giulio Foresto, «De la difficulté technique de l’anonymisation, ou comment mal
anonymiser ses données», Meetech – We Love Tech, sep. 14, 2018, en ligne :
https://medium.com/meetech/de-la-difficult%C3%A9-technique-de-lanonymisation-ou-co
mment-mal-anonymiser-ses-donn%C3%A9es-b1cc44f623cc
Héloïse Gratton, Elisa Henry, François Joli-Coeur, et al., « Guide de conformité pour la
réforme de la Loi sur la protection des renseignements personnels dans le secteur privé
», Borden Ladner Gervais, 12 octobre 2022, accessible en ligne :
https://www.blg.com/fr/insights/2021/11/quebec-privacy-law-reform-a-compliance-guide-f
or-organizations
Jessica Eynard, Les données personnelles : Quelle définition pour un régime de
protection efficace ?, Paris, Michalon Editeur, 2013, à la p 47
Laura F. Cooper et al., « Failure to Prevent a Data Breach Not an Invasion of Privacy ».
Luc Rocher, Julien M. Hundrickx et Yves-Alexandre de Montjoye, « Estimating the
success of re-identification in incomplete data sets using generative models » (2019), 10
Nature Communications 3069.
Myriam Pierrat, « De la distinction entre obligations de moyens et obligations de
résultat : pile ou face ? », Journal des tribunaux (5 juin 2011).
Robert C Piasentin & Kristen Shaw, « Les risques de l’anonymisation et de l’agrégation
de données », (1 décembre 2021), McMillan SENCRL, s.r.l, en ligne:
https://mcmillan.ca/fr/perspectives/les-risques-de-lanonymisation-et-de-lagregation-de-d
onnees/
Législations
Loi modernisant des dispositions législatives en matière de protection des
renseignements personnels, LQ 2021, c 25.
Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c
P-39.1.
Règlement (UE) 2016/679 du Parlement Européen et du conseil relatif à la protection
des personnes physiques à l’égard du traitement des données à caractère personnel et
à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement
général sur la protection des données).