Anonymiser les données pour les conserver plus longtemps ?

anonymisation-conservation-destruction-des-donnees
Image élaborée par Freepik

La finalité pour laquelle vous avez collecté des données personnelles est accomplie ? Selon la loi québécoise, vous avez aussitôt l’obligation de détruire les données. Seule restriction à cette obligation de destruction selon la Commission d’accès à l’information (CAI) : le délai prévu par la loi ou par un calendrier de conservation établi par règlement du gouvernement (ex. : pour des obligations fiscales). 

Néanmoins, la Loi 25 adoptée en septembre 2021 au Québec prévoit que les organisations pourraient, au lieu de détruire les renseignements personnels, les anonymiser pour les utiliser à des fins d’intérêt public (pour les organismes publics) ou sérieuses et légitimes (pour les entreprises).

Que veut dire anonymiser les données personnelles selon la loi 25 ?

« Un renseignement concernant une personne physique est anonymisé lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne. » selon la CAI. Il s’agit donc de garantir l’impossibilité de réidentification d’une personne physique par tout type de moyens technologiques.

« De plus, comme le rappelle la CAI, pour pouvoir être conservés plutôt que détruits, les renseignements doivent être anonymisés selon les meilleures pratiques généralement reconnues et selon les critères et modalités déterminées par règlement du gouvernement. » Seul problème, de tels règlements n’ont pas encore été établis aujourd’hui au Québec.

Que peut-on faire aujourd'hui en l'absence de règlements ?

La CAI a rendu cela très clair en mai 2023 : en l’absence de règlement du gouvernement, il n’est pas possible d’anonymiser des renseignements pour les conserver et les utiliser à des fins d’intérêt public ou sérieuses et légitimes.

Aussi, « À la lumière des avancées technologiques actuelles et futures, la Commission estime qu’il est quasi impossible de certifier que des renseignements anonymisés ne pourraient pas éventuellement être réidentifiés. »

Selon la CAI, l’anonymisation des renseignements personnels présuppose des risques d’incidents de confidentialité. La loi prévoit d’ailleurs des sanctions pour toute personne qui tente d’identifier une personne à partir de renseignements anonymisés.

Conclusion : la gestion documentaire avant tout

Et donc, à défaut de pouvoir conserver des renseignements personnels même anonymisés au-delà de la l’accomplissement d’une finalité, les organisations publiques et privées devant se conformer à la Loi 25 doivent s’organiser correctement pour :

  1. Mettre en place une procédure de gestion documentaire en : 
    – Inventoriant les types de données collectées, utilisées et conservées ;
    – Identifiant le niveau de confidentialité des données en fonction des critères de sensibilité, de finalité, de quantité, de répartition et de support.
  2. Bien respecter un calendrier de conservation des renseignements personnels
    Voici à ce titre quelques normes de la Bibliothèque des archives nationales du Québec (BanQ) pour guider les organismes publics dans la détermination des durées de conservation des données.
  3. Mettre en place des procédures sécuritaires pour détruire les renseignements personnels
    Sur ce point, regardez les recommandations de la Commission d’accès à l’information en matière de destruction des renseignements personnels.
Facebook
Twitter
LinkedIn
Email

Dernières publications

Obrigado por entrar em contato conosco! Em breve entraremos em contato.

Um erro aconteceu

Usamos apenas suas informações pra entrar em contato contigo e nada mais.