Avis de mise en œuvre de la protection des renseignements personnels 2023-01 : Dépersonnalisation
1. Date d’entrée en vigueur
Le présent Avis de mise en œuvre entre en vigueur le 17 mars 2023.
2. Pouvoirs et autorisations
Le présent Avis de mise en œuvre est émis en vertu de l’alinéa 71 (1)d) de la Loi sur la protection des renseignements personnels.
3. Objectif
Le présent Avis de mise en œuvre fournit de l’information et une orientation aux institutions gouvernementales sur l’utilisation de la dépersonnalisation comme technique de préservation de la vie privée afin qu’elles puissent renforcer les mesures de protection des renseignements personnels dont elles sont responsables et, ainsi, s’acquitter de leurs obligations en vertu de la section 3.1.3 de la Politique sur la protection de la vie privée.
Le présent Avis fournit une nouvelle orientation à jour sur les concepts présentés pour la première fois dans l’Avis de mise en œuvre de la protection des renseignements personnels 2020-03 : Protection des renseignements personnels lors de la diffusion de renseignements à propos d’un petit nombre de personnes, qui offre une orientation pratique quant à la façon de dépersonnaliser l’information à diffuser, lorsque l’intention n’est pas de communiquer l’identité des personnes. Le présent Avis contient d’autres informations et éléments à prendre en considération sur la dépersonnalisation comme moyen de protéger les renseignements personnels. Il ne contient pas d’orientation sur l’anonymisation pour la diffusion publique d’informations.
Pour présenter aux institutions gouvernementales les utilisations possibles de la dépersonnalisation, le présent Avis englobe :
- les éléments caractérisant le contexte et le risque de repersonnalisation à prendre en considération;
- une introduction aux méthodes de dépersonnalisation;
- une définition ad hoc des principaux termes liés à la dépersonnalisation.
Cette orientation doit être lue en parallèle avec d’autres orientations et exigences en matière de protection des renseignements personnels et des données, y compris celles liées à la gestion de l’information, à la gouvernance des données et à la sécurité.
Les définitions utilisées dans le présent Avis se trouvent en annexe.
4. Contexte
Les institutions gouvernementales recueillent, utilisent et communiquent des données et de l’information pour diverses raisons et dans diverses situations, par exemple pour l’administration d’un programme ou d’une activité, l’analyse statistique, la recherche, l’évaluation de programmes et la prise de décisions stratégiques. Il peut s’agir d’informations figurant dans des documents individuels et des tableaux, et de statistiques sommaires.
S’il y a des motifs raisonnables de croire que l’information, utilisée seule ou en combinaison avec d’autres informations accessibles, risque d’identifier une personne, il s’agit de renseignements personnels au sens de l’article 3 de la Loi sur la protection des renseignements personnels.
Lorsque des renseignements sont considérés comme étant personnels, ils doivent être protégés conformément à la Loi sur la protection des renseignements personnels, qui impose des limites à ce qu’une institution peut faire avec ces renseignements. Cependant, il existe des techniques de préservation de la vie privée que les institutions peuvent utiliser pour tirer davantage de valeur des renseignements qu’elles ont déjà collectés, dans les limites des pouvoirs qui leur sont conférés par la loi, tout en protégeant la vie privée des gens. Une approche consiste à dépersonnaliser les renseignements avant de les utiliser ou de les communiquer lorsqu’il n’est pas nécessaire de connaître l’identité des gens. Il est possible de prendre d’autres mesures de protection de la vie privée en plus de la dépersonnalisation, comme la minimisation des données et l’utilisation appropriée d’accords.
Cette orientation s’appliquent à toute information, quelle que soient sa forme ou quel que soit son support, mais particulièrement à l’information et aux données écrites, dactylographiées, sous forme de tableaux ou dans d’autres formats numériques similaires. Si le format de l’information change, les pratiques de dépersonnalisation devraient changer également.
Aux fins du présent Avis, le terme « information » doit être interprété au sens large et tient compte des « données ». Pour obtenir une comparaison des termes « information » et « données », veuillez consulter l’annexe D de la Ligne directrice sur les services et le numérique.
5. Orientation
La dépersonnalisation est un processus statistique qui constitue un pas vers l’anonymisation. Il s’agit d’une technique de préservation de la vie privée qui peut être appliquée aux renseignements personnels afin de permettre d’en tirer une valeur supplémentaire, tout en protégeant la vie privée des personnes.
Puisque les renseignements dépersonnalisés risquent d’être repersonnalisés, ils sont visés par la Loi sur la protection des renseignements personnels. À la discrétion de l’institution et après qu’elle ait mené une évaluation, les renseignements dépersonnalisés peuvent être utilisés ou communiqués en appliquant des mesures de protection des renseignements personnels appropriées et proportionnées.
La définition de la dépersonnalisation figurant dans l’annexe sera utilisée uniquement aux fins du présent Avis. Comme il s’agit d’un domaine émergent, le terme évoluera au fil du temps. Trois éléments principaux de la définition sont au cœur du concept, indépendamment de la formulation de la définition comme telle.
- Contexte : Les circonstances de l’utilisation et de la divulgation de l’information ont une incidence sur le degré de dépersonnalisation nécessaire pour protéger l’information contre toute repersonnalisation.
- Risque résiduel de repersonnalisation : Il est rarement possible d’éliminer complètement le risque de repersonnalisation des renseignements dépersonnalisés. Le niveau de risque acceptable doit être déterminé en fonction du contexte.
- Processus : Les mesures prises pour modifier les renseignements personnels, c’est-à-dire supprimer ou masquer les identifiants directs et/ou indirects dans le but de dépersonnaliser les renseignements.
Il est possible d’avoir recours à plus d’une méthode de dépersonnalisation pour réduire le risque de repersonnalisation. Cela permet de réduire l’incidence d’une mauvaise utilisation, d’une divulgation inappropriée ou d’autres atteintes à la vie privée. Selon le degré de dépersonnalisation appliqué, d’autres mesures de contrôle techniques et administratifs peuvent être nécessaires.
Certaines activités augmentent le risque de repersonnalisation, comme l’intégration de jeux de données ou le couplage de données. Il est donc important de toujours évaluer les risques d’atteinte à la vie privée et de repersonnalisation, même après avoir appliqué des mesures de protection des renseignements personnels.
Compte tenu de la nature de l’information (données elles-mêmes, contexte d’utilisation ou de divulgation, incidences de la repersonnalisation sur les personnes, etc.), le cas d’utilisation proposé et les types de méthodes de dépersonnalisation possibles selon l’infrastructure de données de l’institution, les responsables de programmes et de la protection des renseignements personnels doivent collaborer avec les experts en statistiques et en données afin de déterminer le niveau acceptable de risque résiduel.
Les institutions devraient également consulter Statistique Canada, en tant qu’autorité principale du Canada en matière de normes, méthodes et processus statistiques.
Une note sur l’identifiabilité
Il peut être utile de considérer l’identification sous l’angle d’un spectre si l’on souhaite appuyer la protection des renseignements personnels, tout en tirant profit de l’information. L’endroit où l’information dépersonnalisée se situe sur le spectre peut aider à déterminer les mesures de protection des renseignements personnels proportionnées qui s’imposent pour protéger l’information de manière appropriée.
À une extrémité du spectre se trouvent les renseignements personnels au sens de la Loi sur la protection des renseignements personnels. Les identifiants directs se situeraient à cette extrémité, tout comme la combinaison de nombreux identifiants indirects. Il faut mettre en place de solides mesures de protection des renseignements personnels dans le cadre de la gestion des renseignements personnels.
À l’autre extrémité du spectre se trouve l’information autre que les renseignements personnels, qui n’a jamais été à caractère personnel. L’information utilisée dans les rapports budgétaires, la planification intégrée et les tableaux de bord de projets, et autre information similaire sont des exemples d’informations qui ne sont pas à caractère personnel. La gestion de l’information à caractère non personnel ne nécessite pas de mesures de protection des renseignements personnels. Cependant, il faut continuer, s’il y a lieu, d’appliquer les mesures générales de sécurité et de gestion de l’information du gouvernement.
5.1 Quand dépersonnaliser
Il est possible que les institutions souhaitent utiliser et communiquer des renseignements dépersonnalisés afin d’appuyer un large éventail d’activités, où l’identité des personnes n’est pas requise. Certaines de ces activités incluent, entre autres :
- les activités de recherche, d’analyse statistique, d’examen par les pairs ou d’analyse des tendances réalisées en interne ou avec d’autres institutions gouvernementales ou administrations;
- les décisions relatives aux politiques ou aux programmes fondés sur des données probantes, notamment l’informatique décisionnelle, l’évaluation des programmes et l’incidence des programmes sur les groupes issus de la diversité;
- l’évaluation des préjugés et des préjudices, comme les analyses d’informations pour trouver et atténuer les préjugés systémiques dans les fonds d’information de l’institution.
5.2 Éléments à prendre en considération
Cette orientation suppose qu’il a été décidé que la dépersonnalisation est une technique acceptable de préservation de la vie privée à utiliser dans ce contexte. Cette décision devrait être prise par le ou les fonctionnaires compétent(s) responsable(s) de l‘information, en consultation avec le ou les fonctionnaires responsables de la protection de la vie privée au sein de leur institution.
Conformément à la section 4.2.5 de la Politique sur la protection de la vie privée, les institutions doivent établir un protocole de protection des renseignements personnels pour la collecte, l’utilisation et la divulgation des renseignements personnels à des fins non administratives, peu importe s’ils sont dépersonnalisés ou non. Un protocole de protection des renseignements personnels peut également être utilisé pour documenter les mesures prises pour évaluer et dépersonnaliser les renseignements de manière appropriée, ainsi que pour démontrer la manière dont l’institution informera les personnes de ses pratiques de dépersonnalisation.
5.2.1 Contexte de l’information
L’utilisation de renseignements dépersonnalisés doit être évaluée au cas par cas, en collaboration avec les experts de la protection de la vie privée de l’institution. Voici des exemples de facteurs qui devraient être pris en compte dans les évaluations (adaptés de l’Avis de mise en œuvre de la protection des renseignements personnels 2020-03) :
- l’utilisation externe par rapport à l’utilisation interne;
- le degré de sensibilité de l’information;
- le préjudice éventuel qui pourrait résulter de la repersonnalisation;
- le niveau de granularité de l’information (p. ex., contient-elle la date de naissance complète ou seulement l’année de naissance);
- toute information à la disposition des utilisateurs qui pourrait être mise en correspondance avec les renseignements dépersonnalisés, ou intégrée à ceux-ci, et utilisée pour identifier les personnes.
Des renseignements supplémentaires sur la sensibilité et les préjudices se trouvent dans la Trousse d’outils pour la gestion des atteintes à la vie privée et la Politique sur la sécurité du gouvernement.
5.2.1.1 Utilisation externe (une institution communique des renseignements dépersonnalisés à une autre entité)
Les institutions peuvent communiquer des renseignements personnels dans des circonstances limitées en vertu du paragraphe 8 (2) de la Loi sur la protection des renseignements personnels. Avec une dépersonnalisation suffisante et en tenant compte du contexte, une institution peut juger que les renseignements de répondent pas à la définition de renseignements personnels dans la Loi sur la protection des renseignements personnels.
Afin d’en arriver à cette décision, il faut tenir compte de l’utilisateur des renseignements (p. ex., autre institution du gouvernement fédéral, autre ordre de gouvernement, milieu universitaire), de la probabilité de repersonnalisation et des risques pour les personnes si les renseignements étaient repersonnalisés. Par exemple, les entités du gouvernement du Canada et celles à l’extérieur de celui-ci peuvent avoir d’autres informations ou connaissances qui, une fois combinées aux renseignements dépersonnalisés, peuvent faciliter la repersonnalisation. Elles peuvent également être soumises à des lois différentes prévoyant ou non des sanctions en cas de repersonnalisation et être moins conscientes du risque de repersonnalisation. De plus, elles peuvent avoir différentes exigences en matière de protection des renseignements personnels et différentes procédures d’intervention en cas d’atteinte à la vie privée.
Des mesures administratives appropriées doivent être mises en place avant de passer à la divulgation comme telle. Les accords doivent définir la façon de traiter et de protéger les renseignements, limiter la divulgation ultérieure des renseignements dépersonnalisés par l’entité destinataire et décrire les procédures à suivre en cas d’atteinte à la vie privéeNote de bas de page 1. Voir le Document d’orientation pour aider à préparer des Ententes d’échange de renseignements personnels pour obtenir d’autres informations sur les éléments à prendre en compte.
L’information et les données qui seront publiées par l’entremise des processus du gouvernement ouvert doivent être dépersonnalisées. Le site du gouvernement ouvert et les autres sites d’affichage public des données ne sont pas visés par le présent Avis, car les institutions de l’administration publique centrale sont déjà assujetties à la Directive sur le gouvernement ouvert.
5.2.1.2 Utilisation interne
En général, et sous réserve du principe du besoin de savoir, les employés et les agents de programmes ou d’activités peuvent traiter les renseignements personnels. Lorsque les employés ou les agents doivent utiliser de l’information pour leur travail qui n’est pas directement liée à un processus décisionnel, comme l’évaluation d’un programme ou la recherche, le fait de travailler avec des renseignements dépersonnalisés constitue une pratique de préservation de la vie privée, car la probabilité et l’incidence d’une atteinte à la vie privée sont réduites.
Les institutions peuvent envisager d’inclure la dépersonnalisation dans les processus nouveaux ou existants lorsqu’elles prévoient d’autres façons d’utiliser les renseignements. Par exemple, il est possible de faciliter les utilisation futures en créant une version dépersonnalisée des renseignements immédiatement après les avoir utilisés à des fins administratives. Cette version des renseignements comporterait essentiellement une couche de protection des renseignements personnels qui pourrait ultérieurement être améliorée au moyen d’autres méthodes de dépersonnalisation pour une utilisation ou une divulgation particulière. Les institutions peuvent faire un meilleur usage des données qu’elles détiennent, tout en protégeant les renseignements personnels des gens, en intégrant la dépersonnalisation dans le cadre de leurs processus.
5.2.2 Risque de repersonnalisation
Le risque de repersonnalisation est inhérent aux renseignements dépersonnalisés. Par conséquent, le niveau de risque acceptable doit être déterminé au cas par cas, et les mesures de protection des renseignements personnels appropriées et proportionnées doivent être appliquées. Le risque de repersonnalisation peut être considéré en fonction des renseignements eux-mêmes, de la probabilité de repersonnalisation et du préjudice éventuel si les renseignements sont compromis.
Par exemple, une institution peut dépersonnaliser des renseignements personnels avant de procéder à une analyse statistique. Les statisticiens n’ont pas besoin de connaître l’identité des personnes pour l’analyse. L’institution peut donc protéger les renseignements personnels contenus dans le jeu de données en question. S’il s’agit d’une analyse très détaillée, il est possible que les statisticiens puissent identifier les personnes à partir du jeu de données. Bien que la probabilité que cela se produise puisse être élevée, le risque pour les gens dont les renseignements figurent dans le jeu de données et le risque pour la réputation de l’institution sont faibles en raison de l’utilisation limitée des données (analyse statistique) et de l’accès contrôlé aux données (p. ex., utilisation interne uniquement, par des employés responsables ayant reçu une formation appropriée sur les pratiques de traitement de l’information et disposant des cotes de sécurité nécessaires). Même lorsque le risque pour les gens est faible, la dépersonnalisation est une technique de préservation de la vie privée que les institutions peuvent adopter pour réduire la probabilité de repersonnalisation.
L’évaluation du risque de repersonnalisation pour la divulgation de renseignements dépersonnalisés doit comporter une analyse du contexte de la divulgation afin de déterminer la probabilité de repersonnalisation ainsi que l’incidence sur la personne et l’institution. Dans ce cas, il peut être question d’un degré de probabilité moyen, mais l’incidence sur la personne et l’institution pourrait être élevée, tout dépendant du destinataire (p. ex., elle pourrait être plus élevée si les renseignements sont communiqués à un chercheur du secteur privé plutôt qu’à un gouvernement provincial qui a ses propres obligations en matière de protection de la vie privée). Les institutions devraient peut-être songer à mettre à jour leurs processus visant les divulgations courantes en vertu du paragraphe 8 (2), afin d’y ajouter une étape pour déterminer si le destinataire accepterait des renseignements dépersonnalisés plutôt que des renseignements personnels.
Les institutions peuvent s’appuyer sur des méthodes statistiques pour mesurer le risque de repersonnalisation et définir des seuils de risque pour certains types d’informations, comme les données structurées sous forme de tableaux. La Trousse d’outils pour la gestion des atteintes à la vie privée fournit une orientation sur le risque et peut aider à déterminer le seuil de risque lié à la repersonnalisation.
5.2.2.1 Informations sensibles
Lors de la dépersonnalisation de renseignements personnels sensibles, il est important de prendre des mesures afin de veiller à ce que le risque de repersonnalisation soit très faible. Les institutions peuvent choisir de dépersonnaliser les renseignements personnels sensibles jusqu’à les rendre anonymes afin de garantir un risque de repersonnalisation presque nul. Les renseignements personnels des mineurs et les renseignements sur la santé sont des exemples courants de renseignements personnels sensibles.
5.2.3 Méthodes
Les renseignements peuvent être dépersonnalisés manuellement ou en utilisant des outils sous forme de code ou d’algorithme. Il est possible de consulter Statistique Canada pour obtenir des conseils et des recommandations sur la façon d’y parvenir.
Les méthodes manuelles peuvent être aussi simples que la suppression de colonnes entières d’un jeu de données qui sont des identifiants directs ou considérés comme très sensibles. Une approche modérée peut consister à réduire le niveau de granularité des jeux de données pour faire en sorte que les unités soient moins uniques. Par exemple, il peut s’agir d’utiliser une tranche d’âge plutôt que l’âge exact ou l’indicatif régional plutôt que le numéro de téléphone comme tel. Une méthode plus sophistiquée serait d’utiliser des algorithmes pour créer ou masquer artificiellement certaines données. Cette option peut être examinée de façon plus approfondie par les experts de l’institution en matière de données.
Le choix des méthodes dépend de divers facteurs, notamment ceux que nous avons déjà évoqués, tels que le contexte, les données elles-mêmes et le niveau acceptable de risque résiduel pour la repersonnalisation. Il est également possible d’utiliser plus d’une méthode pour un jeu de données ou un ensemble d’informations.
Les méthodes techniques ne sont qu’un aspect de la préservation de la vie privée. La dépersonnalisation aide à protéger les renseignements en réduisant le risque de divulgation involontaire de renseignements personnels. D’autres mesures, telles que les mesures administratives, notamment les accords, les mesures d’accès et les audits, sont également importants pour réduire davantage le risque de divulgation involontaire, d’accès non autorisé, de repersonnalisation et d’inférence, et préserver et promouvoir de manière générale la vie privée des gens.
5.2.3.1 Petits nombres de personnes
L’Avis de mise en œuvre de la protection des renseignements personnels 2020-03 : Protection des renseignements personnels lors de la diffusion de renseignements à propos d’un petit nombre de personnes fournit des renseignements utiles pour la diffusion de données sur un petit nombre de personnes lorsque l’intention est de ne pas divulguer l’identité des personnes. Cet Avis comprend de l’information sur les mesures de protection contre la repersonnalisation à l’aide de fichiers de microdonnées, notamment comment supprimer, masquer et caviarder les identifiants directs, et évaluer le risque de repersonnalisation par l’entremise d’identifiants indirects. Il offre également une orientation portant sur la publication de tableaux agrégés, par exemple comment déterminer la taille minimale appropriée des cellules lors de la publication de données dans des tableaux et modifier des données pour atténuer le risque de repersonnalisation.
5.2.3.2 Masquage et obscurcissement
Le masquage et l’obscurcissement sont des termes généraux qui englobent diverses méthodes permettant de supprimer, d’enlever, de remplacer, de modifier ou de cacher des identifiants dans un jeu de données. Quelques exemples plus précis sont présentés ci-dessous.
- Annulation, suppression de champ – Remplacement des valeurs par des chaînes vides, telles que des tirets.
- Arrondissement, généralisation, agrégation – Arrondissement des chiffres à la valeur inférieure ou supérieure la plus proche. Par exemple, arrondir ou généraliser à une décimale près, au multiple de cinq le plus proche, ou regrouper des tranches d’âge.
- Expression rationnelle (REGEX) – Code qui permet d’effectuer des recherches dans un jeu de données pour trouver des chaînes de caractères spécifiques et les remplacer par certaines valeurs (annule des éléments spécifiques d’une valeur qui a une certaine caractéristique). Par exemple, la fonction d’expression rationnelle pourrait rechercher une série de neuf chiffres (comme un numéro d’assurance sociale [NAS]) et remplacer les six premiers par des zéros, mais laisser les trois derniers.
- Perturbation – Remplacement de valeurs spécifiques par d’autres valeurs qui sont les mêmes pour chaque personne. Par exemple, en ajoutant ou en soustrayant deux ans à l’âge réel de chaque personne.
- Hachage – Application de fonction de hachage cryptographique pour convertir les données d’origine en une valeur non reconnaissable. Les fonctions de hachage sont largement connues et il est possible de reconstituer la valeur d’origine à partir de la valeur hachée.
- Salage – Ajout de longues valeurs aléatoires (le sel) au jeu de données d’origine avant le hachage. Comme le sel est ajouté au jeu de données avant le hachage, il est pratiquement impossible de procéder à une rétroconception du jeu de données.
5.2.3.3 Pseudonymisation
De manière générale, la pseudonymisation est un processus qui consiste à masquer les identifiants directs. La pseudonymisation est une forme courante de dépersonnalisation.
La pseudonymisation est très semblable à l’annulation et à la suppression de champs décrites ci‑dessus, mais les identifiants directs sont remplacés par des alias et ces mêmes alias sont utilisés de manière cohérente dans tous les jeux de données. Ainsi, bien que les identifiants directs d’une personne soient pseudonymisés dans divers jeux de données, ceux qui disposent d’une « clé » peuvent identifier les personnes. Il est donc important de générer correctement un pseudo-identifiant et de veiller à ce que la correspondance avec les identifiants directs soit protégée et limitée aux personnes ayant besoin de savoir.
La pseudonymisation peut être particulièrement utile pour les utilisations internes de renseignements dépersonnalisés pour lesquelles un identifiant unique est nécessaire. Il peut s’agir de dossiers hiérarchisés (p. ex., structures familiales) ou lorsqu’il est nécessaire d’établir un lien entre différentes sources d’information. Lorsqu’aucune autre stratégie de dépersonnalisation n’est mise en place en plus de la pseudonymisation, le risque de repersonnalisation reste assez élevé.
5.2.3.4 Génération de données synthétiques
Les algorithmes peuvent générer des données synthétiques en « lisant » le jeu de données d’origine et en créant un nouveau jeu de données avec des valeurs complètement fausses. Le jeu de données nouvellement créé contient les mêmes propriétés statistiques que le jeu de données d’origine, mais ne contient pas de données individuelles réelles. La génération de données synthétiques peut présenter un intérêt particulier pour la mise au point d’outils d’intelligence artificielle et d’apprentissage automatique, ainsi que pour les stratégies de données ouvertes telles que la formation ainsi que la sensibilisation, y compris aux données.
5.3 Audit et surveillance
Une fois les données dépersonnalisées, le recours à des audits et à la surveillance de façon régulière permettra de veiller à ce que le niveau de dépersonnalisation soit maintenu et que les processus de dépersonnalisation utilisés par l’institution soient efficaces. Au fil du temps, de nouvelles informations et technologies peuvent faciliter la repersonnalisation de renseignements qui avaient été dépersonnalisés. Cette possibilité est particulièrement importante à prendre en considération pour les renseignements dépersonnalisés qui ont été communiqués ou qui le seront à l’extérieur de l’institution. L’audit et la surveillance peuvent permettre de modifier les stratégies à venir, et la technologie peut être exploitée pour renforcer les pratiques de dépersonnalisation.
Les institutions doivent prévoir des calendriers d’essais, d’audit et de surveillance proportionnels aux types de renseignements utilisés afin de veiller à ce que les renseignements restent dépersonnalisés à l’avenir et que leurs techniques de personnalisation soient à jour.
6. Application
Le présent Avis de mise en œuvre s’applique aux institutions gouvernementales définies à l’article 3 de la Loi sur la protection des renseignements personnels, y compris les sociétés d’État mères et toute filiale à part entière de ces sociétés. Toutefois, le présent Avis ne s’applique pas à la Banque du Canada ni aux renseignements exclus en vertu de la Loi sur la protection des renseignements personnels.
7. Documents de référence et ressources
- Directive sur l’évaluation des facteurs relatifs à la vie privée
- Directive sur les pratiques relatives à la protection de la vie privée
- Directive sur les services et le numérique
- IAPP – De-identification 101: A lawyer’s guide to masking, encryption, and everything in between (en anglais seulement)
- ICO call for views: Anonymisation, pseudonymisation and privacy enhancing technologies guidance | ICO (en anglais seulement)
- IPC – De-identification Guidelines for Structured Data (en anglais seulement)
- NIST – De-identification of personal information (en anglais seulement)
- Politique sur la protection de la vie privée
- Politique sur les services et le numérique
- Loi sur la protection des renseignements personnels
- Trousse d’outils pour la gestion des atteintes à la vie privée
- Avis de mise en œuvre de la protection des renseignements personnels 2020-03 : protection des renseignements personnels lors de la diffusion de renseignements à propos d’un petit nombre de personnes
8. Demandes de renseignements
Les membres du public peuvent contacter le personnel chargé des demandes de renseignements du public du SCT pour obtenir des renseignements sur le présent Avis de mise en œuvre.
Les employés des institutions fédérales peuvent communiquer avec leur coordonnateur de l’accès à l’information et de la protection des renseignements personnels pour obtenir des renseignements sur le présent Avis de mise en œuvre.
Les coordonnateurs de l’accès à l’information et de la protection des renseignements personnels peuvent communiquer avec la Division de la vie privée et données responsables pour obtenir des renseignements sur le présent Avis de mise en œuvre et veiller à ce que leur institution respecte ses obligations en matière de protection de la vie privée concernant la dépersonnalisation.
Pour obtenir des conseils et des recommandations sur l’anonymisation et sur la façon d’évaluer le risque de repersonnalisation, il est nécessaire de communiquer avec Statistique Canada.
Annexe : Définitions
Il existe plusieurs définitions pour les concepts suivants, et le sens peut changer en fonction du contexte dans lequel le mot est utilisé. Aux fins du présent Avis de mise en œuvre, les définitions suivantes sont utilisées.
renseignements anonymisés (Anonymized information)
Renseignements personnels qui ont été dépersonnalisés à un point tel qu’il n’existe aucune possibilité sérieuse de repersonnalisation par toute personne ou tout organe utilisant des données ou des technologies supplémentaires à ce moment-ciNote de bas de page 2.
données (Data)
Ensemble des valeurs liées à des sujets concernant des variables qualitatives ou quantitatives qui représente de façon officielle des faits, des statistiques ou des éléments d’information d’une manière qui est propice à la divulgation, à la réinterprétation ou au traitement (Politique sur les services et le numérique).
renseignements dépersonnalisés (De-identified information)
Renseignements personnels qui ont été modifiés dans le cadre d’un processus visant à supprimer ou à modifier les identifiants dans une mesure appropriée aux circonstances. Les renseignements dépersonnalisés comportent un risque résiduel de repersonnalisationNote de bas de page 3.
identifiant direct (Direct identifier)
Caractéristique qui peut être utilisée seule pour identifier une personne identifiable ou qui peut permettre de remonter jusqu’à une telle personne (p. ex., nom, numéro d’assurance sociale ou numéro de dossier médical) (Avis de mise en œuvre de la protection des renseignements personnels 2020-03 : protection des renseignements personnels lors de la diffusion de renseignements à propos d’un petit nombre de personnes).
identifiant indirect (Indirect identifier)
Caractéristique qui utilisée, seule ou en combinaison avec d’autres, peut établir un lien avec d’autres informations ou être utilisés par une personne possédant des connaissances du contexte pour identifier une personne (p. ex., âge, sexe ou province de résidence). Plus le nombre d’identifiants indirects est élevé, plus la probabilité de repersonnalisation est élevée (Avis de mise en œuvre de la protection des renseignements personnels 2020-03 : protection des renseignements personnels lors de la diffusion de renseignements à propos d’un petit nombre de personnes).
information (Information)
Connaissances saisies sous quelque forme que ce soit, comme des faits, des événements, des choses, des processus ou des idées, qui peuvent être structurés ou non, y compris des concepts qui, dans un certain contexte, ont une signification particulière. L’information comprend les données (Politique sur les services et le numérique).
mesures de protection des renseignements personnels proportionnées (Proportionate privacy protections)
Les mesures de protection des renseignements personnels appliquées aux renseignements sont proportionnelles au risque d’atteinte à la vie privée ou de repersonnalisation. La détermination des mesures de protection des renseignements personnels proportionnées comprend une analyse de nombreux facteurs interdépendants tels que le degré de sensibilité associé à l’information initiale, le fait que les utilisateurs de l’information soient au sein de l’institution ou ailleurs, le but dans lequel ils utilisent l’information et la manière dont l’information est transféréeNote de bas de page 4.
Détails de la page
- Date de modification :