Avis de mise en œuvre de la protection des renseignements personnels 2020-03 : protection des renseignements personnels lors de la diffusion de renseignements à propos d’un petit nombre de personnes

5.1.1. Supprimer, masquer ou caviarder les identifiants directs

Les identifiants directs (aussi appelés attributs d’identification directe ou identifiants personnels) sont des caractéristiques qui peuvent être utilisées seules pour identifier, de façon unique, une personne concernée ou qui peuvent permettre de remonter jusqu’à une personne identifiable. Les numéros d’assurance sociale et de dossier médical constituent des exemples d’identifiants directs.

Les identifiants directs n’ajoutent généralement aucune valeur quant aux analyses et devraient être supprimés ou remplacés par une valeur pseudonyme.

5.1.2. Évaluer le risque de repersonnalisation des données au moyen d’identifiants indirects

Les identifiants indirects (aussi appelés quasi identifiants) sont des caractéristiques qui, utilisées seules ou en combinaison avec d’autres, peuvent permettre d’établir un lien avec d’autres informations ou être utilisées par une personne possédant des connaissances du contexte, pour identifier une personne précise. L’âge, le sexe ou la province de résidence sont des exemples d’identifiants indirects.

Si les données à diffuser contiennent ces caractéristiques, les institutions devraient évaluer le risque de repersonnalisation des données en examinant les éléments suivants :

• les champs du jeu de données;
• les renseignements qui pourraient être liés aux identifiants indirects qui ne font pas partie du jeu de données.

Plus le nombre d’identifiants indirects est élevé, plus la probabilité (ou possibilité) de repersonnalisation est élevée.

5.1.3. Au moment de diffuser des données sous forme de tableau, il faut déterminer la taille minimale appropriée de la cellule

Le terme cellule fait référence aux données, habituellement présentées sous forme de tableau sommaire, à propos d’un groupe de personnes qui partagent des caractéristiques communes. La taille de cellule est le nombre de personnes qui ont en commun une caractéristique unique ou une combinaison unique de caractéristiques. Par exemple, si un jeu de données comprend des champs pour le sexe et l’âge, tous les documents correspondant à des femmes âgées de 40 ans feront partie d’une même cellule. La taille d’une cellule désigne le nombre de personnes qui font partie de cette cellule.

La suppression de l’information des cellules qui ne respectent pas la taille de cellule minimale ne permet pas d’éliminer complètement le risque de repersonnalisation, mais elle permet de le réduire considérablement. La taille minimale des cellules est étroitement liée au concept de seuil de risque de repersonnalisation. Ainsi, il faudra peut-être arrondir les totaux de certaines colonnes ou de certaines rangées pour qu’il ne soit pas possible de rétablir les cellules supprimées.

Le risque de repersonnalisation peut être défini comme la probabilité qu’un tiers soit en mesure de faire correctement le lien entre l’identité d’une personne concernée et son dossier. La probabilité d’identifier correctement une personne dépendra de la mesure dans laquelle il sera possible d’identifier la personne concernée parmi les membres du groupe. Le risque de repersonnalisation peut donc être calculé comme étant 1 diviser par la taille de la cellule. Par exemple, une taille de cellule minimale de 10 engendre un risque de repersonnalisation de 0,1. Plus la taille minimale d’une cellule augmente, plus le risque de repersonnalisation diminue.

La taille de cellule minimale devra être déterminée au cas par cas en tenant compte des éléments suivants :

• le degré de sensibilité des données;
• l’éventuel préjudice qui pourrait découler de la repersonnalisation;
• la présence de membres de groupes vulnérables dans les données;
• le niveau de granularité des données;
• l’âge des données;
• les attentes en matière de confidentialité ou de protection des renseignements personnels qu’avaient les personnes concernées lorsqu’elles ont fourni les renseignements;
• si le jeu de données comprend ou non tous les membres de la population réelle de personnes concernées (recensement) ou s’il constitue un sous-échantillon, en indiquant de quelle façon ce sous-échantillon a été choisi;
• si la collecte de données était obligatoire ou volontaire;
• si les données seront rendues publiques ou si l’accès, l’utilisation et la transmission éventuelle des données seront limités par différentes ententes d’échange de données, politiques sur la gouvernance ou mesures de sécurité;
• le besoin d’adopter une approche uniforme si les diffusions de données sont courantes ou si elles sont toujours effectuées de façon continue;
• l’existence d’information déjà accessible au public qui pourrait être associée aux données et être utilisée à des fins de repersonnalisation.

Il pourrait s’agir d’information déjà accessible au public en raison de demandes d’accès à l’information antérieures ou de la publication de rapports destinés au grand public, ou d’information du domaine public (comme lorsqu’il est question d’information concernant une personne bien connue de la population).

Il existe également d’autres approches permettant d’établir un seuil de risque acceptable ou la taille minimale d’une cellule. Il peut être possible d’envisager de mettre en œuvre ces approches en faisant appel à des spécialistes en la matière pour obtenir de l’aide (voir la section Demande de renseignements du présent avis).

5.1.4. Modifier les données afin d’atténuer le risque de repersonnalisation

Plusieurs techniques peuvent être utilisées pour modifier les données jusqu’à ce qu’il n’y ait aucun groupe de personnes ayant des caractéristiques uniques ou des combinaisons uniques de caractéristiques qui ait une taille inférieure à la taille de cellule minimale, dont les suivantes :

• la suppression (caviardage) de données pour les groupes dont la taille est inférieure à la taille de cellule minimale;
• l’échantillonnage de données afin de communiquer un jeu de données représentatif qui s’avère utile pour les analyses, mais qui laisse une certaine incertitude pour ce qui est des personnes qui font partie de la population en général;
• la généralisation de la valeur des caractéristiques en question afin de regrouper les petits groupes identifiables pour former des groupes plus grands (par exemple, les valeurs selon l’âge pourraient être généralisées sous forme de fourchettes d’âge et les nombres pourraient être arrondis);
• l’utilisation de techniques plus sophistiquées afin d’assurer, dans une certaine mesure, l’imprévisibilité des données (ces techniques ne devraient être utilisées qu’avec les conseils d’un spécialiste en la matière).

Au terme de la mise en œuvre des différentes mesures de protection contre la repersonnalisation, les responsables chargés d’examiner les jeux de données pourraient déterminer qu’il ne faut pas diffuser l’information si le risque de repersonnalisation est trop élevé ou si une trop grande quantité d’éléments de données a été supprimée et que le jeu de données n’est plus utile.

5.1.5. Étayer le processus

Il y a lieu de tenir un dossier des facteurs pris en considération et des techniques utilisées pour dépersonnaliser les données. Il est important de faire preuve de transparence et d’informer les utilisateurs finaux que les données ont été dépersonnalisées, ce qui les aidera à interpréter convenablement l’information. Les institutions devraient également être prêtes à montrer les grandes étapes qu’elles ont suivies pour protéger les renseignements personnels. Toutefois, la méthode exacte de dépersonnalisation des données ne devrait pas être diffusée, car cela pourrait faciliter la repersonnalisation des données en inversant les modifications apportées ou en combinant les données avec d’autres informations.

5.1.6. Planifier l’évaluation continue et périodique des risques de repersonnalisation

À mesure que la quantité d’informations rendues publiques augmente et que les avancées technologiques se poursuivent, les facteurs utilisés pour évaluer et gérer les risques liés à la communication devront évoluer. Il pourrait être approprié de revoir les stratégies de diffusion ou de modifier les modalités des ententes d’échange d’information à mesure que les circonstances changent.

5.2.1. Répondre à une demande en vertu de la Loi sur l’accès à l’information

L’article 19 de la Loi sur l’accès à l’information limite la divulgation des documents qui comportent des renseignements personnels, en particulier ceux pour lesquels il existe une forte possibilité de repersonnalisation des données. Si l’institution supprime (caviarde) des renseignements pour cette raison, elle devra également :

• indiquer l’exception invoquée;
• informer le demandeur de son droit de déposer une plainte auprès de la commissaire à l’information du Canada, en conformité avec les articles 7 et 10 de la Loi sur l’accès à l’information.

Les exceptions s’appliquant à l’interdiction de la communication de renseignements personnels sont indiquées au paragraphe 19(2) de la Loi sur l’accès à l’information.

• L’alinéa 19(2)a) permet la divulgation de renseignements personnels si la personne qu’ils concernent y consent.
• L’alinéa 19(2)b) permet la divulgation de renseignements personnels si le public a déjà accès aux renseignements.
• L’alinéa 19(2)c) permet la divulgation de renseignements personnels si celle-ci est conforme à l’article 8 de la Loi sur la protection des renseignements personnels.

Si l’information demandée est visée par l’une de ces exceptions, il sera possible de communiquer les renseignements personnels et aucune obligation légale de protection contre la repersonnalisation ne s’appliquera. Cela dit, comme la communication est de nature discrétionnaire, selon la collecte des renseignements ou le contexte dans lequel ils ont été fournis, il est tout de même nécessaire de s’assurer d’atténuer toutes conséquences pour la vie privée.

En fonction des circonstances, les institutions pourraient envisager de demander le consentement des personnes visées par le jeu de données, particulièrement dans le cas de cellules de petite taille.

Si un document demandé en vertu de la Loi sur l’accès à l’information comporte des renseignements personnels, il est interdit de le modifier au moyen de techniques de dépersonnalisation afin d’assurer la protection des renseignements personnels. Il faudrait plutôt caviarder les aspects d’identification du document pour protéger les renseignements personnels. Il faut porter une attention particulière à l’atténuation du risque que les renseignements communiqués ne puissent être combinés à d’autres informations divulguées dans le cadre de demandes d’accès à l’information ou à de l’information provenant de sources externes à des fins de repersonnalisation.

5.2.2. Jeux de données comportant des renseignements concernant des employés d’institutions gouvernementales et des membres du personnel ministériel

Au moment de diffuser des jeux de données qui comprennent de l’information sur les cadres ou les employés du gouvernement, il convient de noter que certains types de renseignements sont exclus de la définition de renseignements personnels (voir l’alinéa 3j) de la Loi sur la protection des renseignements personnels). Il pourrait ne pas être nécessaire de protéger différents renseignements qui seraient habituellement considérés comme des identifiants directs (comme le nom, le titre ou le numéro de téléphone) lorsqu’ils sont liés au poste ou à la fonction de la personne, selon le contexte de la demande. Toutefois, si les renseignements exclus sont accompagnés d’identifiants indirects, la diffusion des renseignements pourrait permettre de tirer une déduction à l’égard des renseignements personnels protégés.

Par exemple, il pourrait être possible de divulguer un jeu de données ne comportant que le nom et l’échelle salariale de fonctionnaires, car ces renseignements sont visés par l’exception prévue à la définition de renseignements personnels, pourvu que le jeu de données ou une source d’information externe ne renferme aucun autre identifiant indirect. Cela dit, si le jeu de données comporte le nom et le salaire exact de fonctionnaires, ces renseignements ne peuvent pas être divulgués, car ils sont considérés comme des renseignements personnels. Il faudra alors envisager d’appliquer le paragraphe 19(2).

De même, au moment de diffuser des jeux de données comprenant de l’information sur les membres du personnel ministériel, il convient de garder à l’esprit que certains types de renseignements sont exclus de la définition de renseignements personnels (voir l’alinéa 3j.1) de la Loi sur la protection des renseignements personnels). Différents renseignements qui seraient normalement considérés comme des identifiants directs (comme le nom et le titre) pourraient ne pas avoir besoin d’être protégés s’ils figurent dans des jeux de données. Toutefois, si les renseignements exclus sont accompagnés d’identifiants indirects, la divulgation de ces derniers pourrait permettre de tirer une déduction à l’égard des renseignements personnels protégés.

Par exemple, un jeu de données ne comportant que le nom, le titre et le nom de l’institution de membres du personnel ministériel pourrait être diffusé à condition qu’il n’existe aucun identifiant indirect supplémentaire. Toutefois, si une colonne du document ou du jeu de données comporte des renseignements sur les responsabilités ou les fonctions de ces membres du personnel ministériel, elle ne peut pas être diffusée comme telle, puisque ces renseignements sont considérés comme des renseignements personnels. Il faudra alors envisager d’appliquer le paragraphe 19(2).

5.2.3. Échange de renseignements à des fins administratives, de recherches ou de statistiques

L’échange de renseignements personnels signifie que l’une des parties peut communiquer des renseignements personnels à l’autre, ou en obtenir de celle-ci, ou que les deux parties peuvent se communiquer des renseignements personnels entre elles. Compte tenu des conséquences liées à la protection des renseignements personnels, les institutions doivent se demander s’il existe des approches à l’égard de l’échange de renseignements personnels avec d’autres institutions qui leur permettraient d’améliorer la protection des renseignements personnels, et ce, même dans les situations où les deux institutions sont légalement autorisées à recueillir, utiliser, conserver et communiquer des renseignements personnels. Par exemple, elles peuvent envisager les méthodes suivantes :

• l’échange de renseignements dépersonnalisés (dans lesquels tous les identifiants directs ont été retirés);
• l’échange de données agrégées (par exemple, en utilisant des plages d’âges au lieu d’un âge particulier).

Si le but de l’échange de renseignements ne peut être atteint au moyen de renseignements autres que des renseignements personnels, les institutions devraient envisager des approches pour réduire ou éliminer les risques d’atteinte à la vie privée, notamment :

• limiter l’utilisation des données à des fins précises;
• limiter l’accès aux données à certaines personnes dans des espaces de travail sécurisés;
• limiter le transfert ultérieur des données.

Les institutions qui reçoivent des renseignements personnels dans le cadre d’ententes sur l’échange d’information ont la responsabilité d’assurer le même niveau de protection des données que celui exigé par le propriétaire initial des données.

Différentes ententes sur l’échange de renseignements à des fins de recherches ou de statistiques sont présentées à l’alinéa 8(2)j) de la Loi sur la protection des renseignements personnels.

Les coordonnateurs de l’accès à l’information et de la protection des renseignements personnels, de même que les autres parties intéressées, devraient consulter le Document d’orientation pour aider à préparer des Ententes d’échange de renseignements personnels du SCT.