Avis de mise en œuvre de la protection des renseignements personnels 2023-01 : Dépersonnalisation
1. Date d’entrée en vigueur
Le présent Avis de mise en œuvre entre en vigueur le 27 mai 2025. Il remplace l’avis ayant été publié le 17 mars 2023.
2. Pouvoirs et autorisations
Le présent Avis de mise en œuvre est émis en vertu de l’alinéa 71 (1)d) de la Loi sur la protection des renseignements personnels (LPRP).
3. Objectif
Le présent Avis de mise en œuvre fournit de l’information et une orientation aux institutions gouvernementales sur l’utilisation de la dépersonnalisation comme technique de préservation de la vie privée afin qu’elles puissent renforcer les mesures de protection des renseignements personnels dont elles sont responsables et, ainsi, s’acquitter de leurs obligations en vertu de la section 3.1.3 de la Politique sur la protection de la vie privée.
Le présent Avis fournit une nouvelle orientation à jour sur les concepts présentés pour la première fois dans l’Avis de mise en œuvre de la protection des renseignements personnels 2020-03 : Protection des renseignements personnels lors de la diffusion de renseignements à propos d’un petit nombre de personnes, qui offre une orientation pratique quant à la façon de dépersonnaliser l’information à diffuser, lorsque l’intention n’est pas de communiquer l’identité des personnes. Le présent Avis contient d’autres informations et éléments à prendre en considération sur la dépersonnalisation comme moyen de protéger les renseignements personnels. Il ne contient pas d’orientation sur l’anonymisation pour la diffusion publique d’informations.
Pour présenter aux institutions gouvernementales les utilisations possibles de la dépersonnalisation, le présent Avis englobe :
- les éléments caractérisant le contexte et le risque de réidentification à prendre en considération;
- une introduction aux méthodes de dépersonnalisation;
- une définition ad hoc des principaux termes liés à la dépersonnalisation.
Cette orientation doit être lue en parallèle avec d’autres orientations et exigences en matière de protection des renseignements personnels et des données, y compris celles liées à la gestion de l’information, à la gouvernance des données et à la sécurité.
Les définitions utilisées dans le présent Avis se trouvent en annexe.
4. Contexte
Les institutions gouvernementales recueillent, utilisent et communiquent des données et de l’information pour diverses raisons et dans diverses situations, par exemple pour l’administration d’un programme ou d’une activité, l’analyse statistique, la recherche, l’évaluation de programmes et la prise de décisions stratégiques. Il peut s’agir d’informations figurant dans des documents individuels et des tableaux, et de statistiques sommaires.
S’il y a des motifs raisonnables de croire que l’information, utilisée seule ou en combinaison avec d’autres informations accessibles, risque d’identifier une personne, il s’agit de renseignements personnels au sens de l’article 3 de la LPRP.
Lorsque des renseignements sont considérés comme étant personnels, ils doivent être protégés conformément à la LPRP, qui impose des limites à ce qu’une institution peut faire avec ces renseignements. Cependant, il existe des techniques de préservation de la vie privée que les institutions peuvent utiliser pour tirer davantage de valeur des renseignements qu’elles ont déjà collectés, dans les limites des pouvoirs qui leur sont conférés par la loi, tout en protégeant la vie privée des gens. Une approche consiste à dépersonnaliser les renseignements avant de les utiliser ou de les communiquer lorsqu’il n’est pas nécessaire de connaître l’identité des gens. Il est possible de prendre d’autres mesures de protection de la vie privée en plus de la dépersonnalisation, comme la minimisation des données et l’utilisation appropriée d’accords.
Cette orientation s’applique à toute information, quelle que soient sa forme ou quel que soit son support, mais particulièrement à l’information et aux données écrites, dactylographiées, sous forme de tableaux ou dans d’autres formats numériques similaires. Si le format de l’information change, les pratiques de dépersonnalisation devraient changer également.
Aux fins du présent Avis, le terme « information » doit être interprété au sens large et tient compte des « données ». Pour obtenir une comparaison des termes « information » et « données », veuillez consulter l’annexe D de la Ligne directrice sur les services et le numérique.
5. Orientation
La dépersonnalisation est un processus statistique qui constitue un pas vers l’anonymisation. Il s’agit d’une technique de préservation de la vie privée qui peut être appliquée aux renseignements personnels afin de permettre d’en tirer une valeur supplémentaire, tout en protégeant la vie privée des personnes.
Puisque les renseignements dépersonnalisés risquent d’être repersonnalisés, ils sont visés par la LPRP. À la discrétion de l’institution et après qu’elle ait mené une évaluation, les renseignements dépersonnalisés peuvent être utilisés ou communiqués en appliquant des mesures de protection des renseignements personnels appropriées et proportionnées.
Comme il s’agit d’un domaine émergent, le terme « dépersonnalisation » évoluera au fil du temps. Trois éléments principaux de la définition sont au cœur du concept, indépendamment de la formulation de la définition comme telle.
- Contexte : Les circonstances de l’utilisation et de la communication de l’information ont une incidence sur le degré de dépersonnalisation nécessaire pour protéger l’information contre toute réidentification.
- Risque résiduel de réidentification : Il est rarement possible d’éliminer complètement le risque de réidentification des renseignements dépersonnalisés. Le niveau de risque acceptable doit être déterminé en fonction du contexte.
- Processus : Les mesures prises pour modifier les renseignements personnels, c’est-à-dire supprimer ou masquer les identifiants directs et/ou indirects dans le but de dépersonnaliser les renseignements.
Il est possible d’avoir recours à plus d’une méthode de dépersonnalisation pour réduire le risque de réidentification. Cela permet de réduire l’incidence d’une mauvaise utilisation, d’une communication inappropriée ou d’autres atteintes à la vie privée. Selon le degré de dépersonnalisation appliqué, d’autres mesures de contrôle techniques et administratifs peuvent être nécessaires.
Certaines activités augmentent le risque de réidentification, comme l’intégration de jeux de données ou le couplage de données. Il est donc important de toujours évaluer les risques d’atteinte à la vie privée et de réidentification, même après avoir appliqué des mesures de protection des renseignements personnels.
Compte tenu de la nature de l’information (données elles-mêmes, contexte d’utilisation ou de communication, incidences de la réidentification sur les personnes, etc.), le cas d’utilisation proposé et les types de méthodes de dépersonnalisation possibles selon l’infrastructure de données de l’institution, les responsables de programmes et de la protection des renseignements personnels doivent collaborer avec les experts en statistiques et en données afin de déterminer le niveau acceptable de risque résiduel.
Les institutions devraient également consulter Statistique Canada, en tant qu’autorité principale du Canada en matière de normes, méthodes et processus statistiques.
Une note sur l’identifiabilité
Il peut être utile de considérer l’identification sous l’angle d’un spectre si l’on souhaite appuyer la protection des renseignements personnels, tout en tirant profit de l’information. L’endroit où l’information dépersonnalisée se situe sur le spectre peut aider à déterminer les mesures de protection des renseignements personnels proportionnées qui s’imposent pour protéger l’information de manière appropriée.
À une extrémité du spectre se trouvent les renseignements personnels au sens de la LPRP. Les identifiants directs se situeraient à cette extrémité, tout comme la combinaison de nombreux identifiants indirects. Il faut mettre en place de solides mesures de protection des renseignements personnels dans le cadre de la gestion des renseignements personnels.
À l’autre extrémité du spectre se trouve l’information autre que les renseignements personnels, qui n’a jamais été à caractère personnel. L’information utilisée dans les rapports budgétaires, la planification intégrée et les tableaux de bord de projets, et autre information similaire sont des exemples d’informations qui ne sont pas à caractère personnel. La gestion de l’information à caractère non personnel ne nécessite pas de mesures de protection des renseignements personnels. Cependant, il faut continuer, s’il y a lieu, d’appliquer les mesures générales de sécurité et de gestion de l’information du gouvernement.
5.1 Quand dépersonnaliser
Il est possible que les institutions souhaitent utiliser et communiquer des renseignements dépersonnalisés afin d’appuyer un large éventail d’activités, où l’identité des personnes n’est pas requise. Certaines de ces activités incluent, entre autres :
- les activités de recherche, d’analyse statistique, d’examen par les pairs ou d’analyse des tendances réalisées en interne ou avec d’autres institutions gouvernementales ou administrations;
- les décisions relatives aux politiques ou aux programmes fondés sur des données probantes, notamment l’informatique décisionnelle, l’évaluation des programmes et l’incidence des programmes sur les groupes issus de la diversité;
- l’évaluation des préjugés et des préjudices, comme les analyses d’informations pour trouver et atténuer les préjugés systémiques dans les fonds d’information de l’institution.
5.2 Éléments à prendre en considération
Cette orientation suppose qu’il a été décidé que la dépersonnalisation est une technique acceptable de préservation de la vie privée à utiliser dans ce contexte. Cette décision devrait être prise par le ou les fonctionnaires compétent(s) responsable(s) de l‘information, en consultation avec le ou les fonctionnaires responsables de la protection de la vie privée au sein de leur institution.
Conformément à la section 4.2.9 de la Politique sur la protection de la vie privée, les institutions doivent établir un protocole de protection des renseignements personnels pour la collecte, l’utilisation et la communication des renseignements personnels à des fins non administratives, peu importe s’ils sont dépersonnalisés ou non. Un protocole de protection des renseignements personnels peut également être utilisé pour documenter les mesures prises pour évaluer et dépersonnaliser les renseignements de manière appropriée, ainsi que pour démontrer la manière dont l’institution informera les personnes de ses pratiques de dépersonnalisation.
5.2.1 Contexte de l’information
L’utilisation de renseignements dépersonnalisés doit être évaluée au cas par cas, en collaboration avec les experts de la protection de la vie privée de l’institution. Voici des exemples de facteurs qui devraient être pris en compte dans les évaluations (adaptés de l’Avis de mise en œuvre de la protection des renseignements personnels 2020-03) :
- l’utilisation externe par rapport à l’utilisation interne;
- le degré de sensibilité de l’information;
- le préjudice éventuel qui pourrait résulter de la réidentification;
- le niveau de granularité de l’information (p. ex., contient-elle la date de naissance complète ou seulement l’année de naissance);
- toute information à la disposition des utilisateurs qui pourrait être mise en correspondance avec les renseignements dépersonnalisés, ou intégrée à ceux-ci, et utilisée pour identifier les personnes.
Des renseignements supplémentaires sur la sensibilité et les préjudices se trouvent dans la Trousse d’outils pour la gestion des atteintes à la vie privée et la Politique sur la sécurité du gouvernement.
5.2.1.1 Utilisation externe (une institution communique des renseignements dépersonnalisés à une autre entité)
Les institutions peuvent communiquer des renseignements personnels dans des circonstances limitées en vertu du paragraphe 8(2) de la LPRP. Avec une dépersonnalisation suffisante et en tenant compte du contexte, une institution peut juger que les renseignements ne répondent pas à la définition de renseignements personnels dans la LPRP.
Afin d’en arriver à cette décision, il faut tenir compte de l’utilisateur des renseignements (p. ex., autre institution du gouvernement fédéral, autre ordre de gouvernement, milieu universitaire), de la probabilité de réidentification et des risques pour les personnes si les renseignements étaient repersonnalisés. Par exemple, les entités du gouvernement du Canada et celles à l’extérieur de celui-ci peuvent avoir d’autres informations ou connaissances qui, une fois combinées aux renseignements dépersonnalisés, peuvent faciliter la réidentification. Elles peuvent également être soumises à des lois différentes prévoyant ou non des sanctions en cas de réidentification et être moins conscientes du risque de réidentification. De plus, elles peuvent avoir différentes exigences en matière de protection des renseignements personnels et différentes procédures d’intervention en cas d’atteinte à la vie privée.
Des mesures administratives appropriées doivent être mises en place avant de passer à la communication comme telle. Les accords doivent définir la façon de traiter et de protéger les renseignements, limiter la communication ultérieure des renseignements dépersonnalisés par l’entité destinataire et décrire les procédures à suivre en cas d’atteinte à la vie privéeNote de bas de page 1. Voir le Document d’orientation pour aider à préparer des Ententes d’échange de renseignements personnels pour obtenir d’autres informations sur les éléments à prendre en compte.
L’information et les données qui seront publiées par l’entremise des processus du gouvernement ouvert doivent être anonymisés. Le site du gouvernement ouvert et les autres sites d’affichage public des données ne sont pas visés par le présent Avis. Les institutions de l’administration publique centrale sont assujetties à la Directive sur le gouvernement ouvert.
5.2.1.2 Utilisation interne
En général, et sous réserve du principe du besoin de savoir, les employés et les agents de programmes ou d’activités peuvent traiter les renseignements personnels. Lorsque les employés ou les agents doivent utiliser de l’information pour leur travail qui n’est pas directement liée à un processus décisionnel, comme l’évaluation d’un programme ou la recherche, le fait de travailler avec des renseignements dépersonnalisés constitue une pratique de préservation de la vie privée, car la probabilité et l’incidence d’une atteinte à la vie privée sont réduites.
Les institutions peuvent envisager d’inclure la dépersonnalisation dans les processus nouveaux ou existants lorsqu’elles prévoient d’autres façons d’utiliser les renseignements. Par exemple, il est possible de faciliter les utilisations futures en créant une version dépersonnalisée des renseignements immédiatement après les avoir utilisés à des fins administratives. Cette version des renseignements comporterait essentiellement une couche de protection des renseignements personnels qui pourrait ultérieurement être améliorée au moyen d’autres méthodes de dépersonnalisation pour une utilisation ou une communication particulière. Les institutions peuvent faire un meilleur usage des données qu’elles détiennent, tout en protégeant les renseignements personnels des gens, en intégrant la dépersonnalisation dans le cadre de leurs processus.
5.2.2 Risque de réidentification
Le risque de réidentification est inhérent aux renseignements dépersonnalisés. Par conséquent, le niveau de risque acceptable doit être déterminé au cas par cas, et les mesures de protection des renseignements personnels appropriées et proportionnées doivent être appliquées. Le risque de réidentification peut être considéré en fonction des renseignements eux-mêmes, de la probabilité de réidentification et du préjudice éventuel si les renseignements sont compromis.
Par exemple, une institution peut dépersonnaliser des renseignements personnels avant de procéder à une analyse statistique. Les statisticiens n’ont pas besoin de connaître l’identité des personnes pour l’analyse. L’institution peut donc protéger les renseignements personnels contenus dans le jeu de données en question. S’il s’agit d’une analyse très détaillée, il est possible que les statisticiens puissent identifier les personnes à partir du jeu de données. Bien que la probabilité que cela se produise puisse être élevée, le risque pour les gens dont les renseignements figurent dans le jeu de données et le risque pour la réputation de l’institution sont faibles en raison de l’utilisation limitée des données (analyse statistique) et de l’accès contrôlé aux données (p. ex., utilisation interne uniquement, par des employés responsables ayant reçu une formation appropriée sur les pratiques de traitement de l’information et disposant des cotes de sécurité nécessaires). Même lorsque le risque pour les gens est faible, la dépersonnalisation est une technique de préservation de la vie privée que les institutions peuvent adopter pour réduire la probabilité de réidentification.
L’évaluation du risque de réidentification pour la communication de renseignements dépersonnalisés doit comporter une analyse du contexte de la communication afin de déterminer la probabilité de réidentification ainsi que l’incidence sur la personne et l’institution. Dans ce cas, il peut être question d’un degré de probabilité moyen, mais l’incidence sur la personne et l’institution pourrait être élevée, tout dépendant du destinataire (p. ex., elle pourrait être plus élevée si les renseignements sont communiqués à un chercheur du secteur privé plutôt qu’à un gouvernement provincial qui a ses propres obligations en matière de protection de la vie privée). Les institutions devraient peut-être songer à mettre à jour leurs processus visant les communications courantes en vertu du paragraphe 8(2), afin d’y ajouter une étape pour déterminer si le destinataire accepterait des renseignements dépersonnalisés plutôt que des renseignements personnels.
Les institutions peuvent s’appuyer sur des méthodes statistiques pour mesurer le risque de réidentification et définir des seuils de risque pour certains types d’informations, comme les données structurées sous forme de tableaux. La Trousse d’outils pour la gestion des atteintes à la vie privée fournit une orientation sur le risque et peut aider à déterminer le seuil de risque lié à la réidentification.
5.2.2.1 Informations sensibles
Lors de la dépersonnalisation de renseignements personnels sensibles, il est important de prendre des mesures afin de veiller à ce que le risque de réidentification soit très faible. Les institutions peuvent choisir de dépersonnaliser les renseignements personnels sensibles jusqu’à les rendre anonymes afin de garantir un risque de réidentification presque nul. Les renseignements personnels des mineurs et les renseignements sur la santé sont des exemples courants de renseignements personnels sensibles.
5.2.3 Méthodes
Les renseignements peuvent être dépersonnalisés manuellement ou en utilisant des outils sous forme de code ou d’algorithme. Il est possible de consulter Statistique Canada pour obtenir des conseils et des recommandations sur la façon d’y parvenir.
Les méthodes manuelles peuvent être aussi simples que la suppression de colonnes entières d’un jeu de données qui sont des identifiants directs ou considérés comme très sensibles. Une approche modérée peut consister à réduire le niveau de granularité des jeux de données pour faire en sorte que les unités soient moins uniques. Par exemple, il peut s’agir d’utiliser une tranche d’âge plutôt que l’âge exact ou l’indicatif régional plutôt que le numéro de téléphone comme tel. Une méthode plus sophistiquée serait d’utiliser des algorithmes pour créer ou masquer artificiellement certaines données. Cette option peut être examinée de façon plus approfondie par les experts de l’institution en matière de données.
Le choix des méthodes dépend de divers facteurs, notamment ceux que nous avons déjà évoqués, tels que le contexte, les données elles-mêmes et le niveau acceptable de risque résiduel pour la réidentification. Il est également possible d’utiliser plus d’une méthode pour un jeu de données ou un ensemble d’informations.
Les méthodes techniques ne sont qu’un aspect de la préservation de la vie privée. La dépersonnalisation aide à protéger les renseignements en réduisant le risque de communication involontaire de renseignements personnels. D’autres mesures, telles que les mesures administratives, notamment les accords, les mesures d’accès et les audits, sont également importants pour réduire davantage le risque de communication involontaire, d’accès non autorisé, de réidentification et d’inférence, et préserver et promouvoir de manière générale la vie privée des gens.
5.2.3.1 Petits nombres de personnes
L’Avis de mise en œuvre de la protection des renseignements personnels 2020-03 : Protection des renseignements personnels lors de la diffusion de renseignements à propos d’un petit nombre de personnes fournit des renseignements utiles pour la diffusion de données sur un petit nombre de personnes lorsque l’intention est de ne pas communiquer l’identité des personnes. Cet Avis comprend de l’information sur les mesures de protection contre la réidentification à l’aide de fichiers de microdonnées, notamment comment supprimer, masquer et caviarder les identifiants directs, et évaluer le risque de réidentification par l’entremise d’identifiants indirects. Il offre également une orientation portant sur la publication de tableaux agrégés, par exemple comment déterminer la taille minimale appropriée des cellules lors de la publication de données dans des tableaux et modifier des données pour atténuer le risque de réidentification.
5.2.3.2 Masquage et obscurcissement
Le masquage et l’obscurcissement sont des termes généraux qui englobent diverses méthodes permettant de supprimer, d’enlever, de remplacer, de modifier ou de cacher des identifiants dans un jeu de données. Quelques exemples plus précis sont présentés ci-dessous.
- Annulation, suppression de champ – Remplacement des valeurs par des chaînes vides, telles que des tirets.
- Arrondissement, généralisation, agrégation – Arrondissement des chiffres à la valeur inférieure ou supérieure la plus proche. Par exemple, arrondir ou généraliser à une décimale près, au multiple de cinq le plus proche, ou regrouper des tranches d’âge.
- Expression rationnelle (REGEX) – Code qui permet d’effectuer des recherches dans un jeu de données pour trouver des chaînes de caractères spécifiques et les remplacer par certaines valeurs (annule des éléments spécifiques d’une valeur qui a une certaine caractéristique). Par exemple, la fonction d’expression rationnelle pourrait rechercher une série de neuf chiffres (comme un numéro d’assurance sociale [NAS]) et remplacer les six premiers par des zéros, mais laisser les trois derniers.
- Perturbation – Remplacement de valeurs spécifiques par d’autres valeurs qui sont les mêmes pour chaque personne. Par exemple, en ajoutant ou en soustrayant deux ans à l’âge réel de chaque personne.
- Hachage – Application de fonction de hachage cryptographique pour convertir les données d’origine en une valeur non reconnaissable. Les fonctions de hachage sont largement connues et il est possible de reconstituer la valeur d’origine à partir de la valeur hachée.
- Salage – Ajout de longues valeurs aléatoires (le sel) au jeu de données d’origine avant le hachage. Comme le sel est ajouté au jeu de données avant le hachage, il est pratiquement impossible de procéder à une rétroconception du jeu de données.
5.2.3.3 Pseudonymisation
De manière générale, la pseudonymisation est un processus qui consiste à masquer les identifiants directs. La pseudonymisation est une forme courante de dépersonnalisation.
La pseudonymisation est très semblable à l’annulation et à la suppression de champs décrites ci‑dessus, mais les identifiants directs sont remplacés par des alias et ces mêmes alias sont utilisés de manière cohérente dans tous les jeux de données. Ainsi, bien que les identifiants directs d’une personne soient pseudonymisés dans divers jeux de données, ceux qui disposent d’une « clé » peuvent identifier les personnes. Il est donc important de générer correctement un pseudo-identifiant et de veiller à ce que la correspondance avec les identifiants directs soit protégée et limitée aux personnes ayant besoin de savoir.
La pseudonymisation peut être particulièrement utile pour les utilisations internes de renseignements dépersonnalisés pour lesquelles un identifiant unique est nécessaire. Il peut s’agir de dossiers hiérarchisés (p. ex., structures familiales) ou lorsqu’il est nécessaire d’établir un lien entre différentes sources d’information. Lorsqu’aucune autre stratégie de dépersonnalisation n’est mise en place en plus de la pseudonymisation, le risque de réidentification reste assez élevé.
5.2.3.4 Génération de données synthétiques
Les algorithmes peuvent générer des données synthétiques en « lisant » le jeu de données d’origine et en créant un nouveau jeu de données avec des valeurs complètement fausses. Le jeu de données nouvellement créé contient les mêmes propriétés statistiques que le jeu de données d’origine, mais ne contient pas de données individuelles réelles. La génération de données synthétiques peut présenter un intérêt particulier pour la mise au point d’outils d’intelligence artificielle et d’apprentissage automatique, ainsi que pour les stratégies de données ouvertes telles que la formation ainsi que la sensibilisation, y compris aux données.
5.3 Audit et surveillance
Une fois les données dépersonnalisées, le recours à des audits et à la surveillance de façon régulière permettra de veiller à ce que le niveau de dépersonnalisation soit maintenu et que les processus de dépersonnalisation utilisés par l’institution soient efficaces. Au fil du temps, de nouvelles informations et technologies peuvent faciliter la réidentification de renseignements qui avaient été dépersonnalisés. Cette possibilité est particulièrement importante à prendre en considération pour les renseignements dépersonnalisés qui ont été communiqués ou qui le seront à l’extérieur de l’institution. L’audit et la surveillance peuvent permettre de modifier les stratégies à venir, et la technologie peut être exploitée pour renforcer les pratiques de dépersonnalisation.
Les institutions doivent prévoir des calendriers d’essais, d’audit et de surveillance proportionnels aux types de renseignements utilisés afin de veiller à ce que les renseignements restent dépersonnalisés à l’avenir et que leurs techniques de personnalisation soient à jour.
6. Application
Le présent Avis de mise en œuvre s’applique aux institutions gouvernementales définies à l’article 3 de la LPRP, y compris les sociétés d’État mères et toute filiale à part entière de ces sociétés. Toutefois, le présent Avis ne s’applique pas à la Banque du Canada ni aux renseignements exclus en vertu de la LPRP.
7. Documents de référence et ressources
- Directive sur les pratiques relatives à la protection de la vie privée
- Directive sur les services et le numérique
- IAPP – De-identification 101: A lawyer’s guide to masking, encryption, and everything in between (en anglais seulement)
- ICO call for views: Anonymisation, pseudonymisation and privacy enhancing technologies guidance | ICO (en anglais seulement)
- IPC – De-identification Guidelines for Structured Data (en anglais seulement)
- NIST – De-identification of personal information (en anglais seulement)
- Politique sur la protection de la vie privée
- Politique sur les services et le numérique
- Loi sur la protection des renseignements personnels
- Trousse d’outils pour la gestion des atteintes à la vie privée
- Avis de mise en œuvre de la protection des renseignements personnels 2020-03 : protection des renseignements personnels lors de la diffusion de renseignements à propos d’un petit nombre de personnes
8. Demandes de renseignements
Les membres du public peuvent contacter le personnel chargé des demandes de renseignements du public du SCT pour obtenir des renseignements sur le présent Avis de mise en œuvre.
Les employés des institutions fédérales peuvent communiquer avec leur coordonnateur de l’accès à l’information et de la protection des renseignements personnels pour obtenir des renseignements sur le présent Avis de mise en œuvre.
Les coordonnateurs de l’accès à l’information et de la protection des renseignements personnels peuvent communiquer avec la Division de la vie privée et données responsables pour obtenir des renseignements sur le présent Avis de mise en œuvre et veiller à ce que leur institution respecte ses obligations en matière de protection de la vie privée concernant la dépersonnalisation.
Pour obtenir des conseils et des recommandations sur l’anonymisation et sur la façon d’évaluer le risque de réidentification, il est nécessaire de communiquer avec Statistique Canada.
Annexe : Définitions
Il existe plusieurs définitions pour les concepts suivants, et le sens peut changer en fonction du contexte dans lequel le mot est utilisé. Aux fins du présent Avis de mise en œuvre, les définitions suivantes sont utilisées.
renseignements anonymisés (Anonymized information)
Renseignements personnels qui ont été dépersonnalisés à un point tel qu’il n’existe aucune possibilité sérieuse de réidentification par toute personne ou tout organe utilisant des données ou des technologies supplémentaires à ce moment-ciNote de bas de page 2.
données (Data)
Ensemble des valeurs liées à des sujets concernant des variables qualitatives ou quantitatives qui représente de façon officielle des faits, des statistiques ou des éléments d’information d’une manière qui est propice à la communication, à la réinterprétation ou au traitement (Politique sur les services et le numérique).
dépersonnalisation (de-identification)
Processus qui consiste à modifier des renseignements personnels afin de supprimer ou de modifier les identifiants pour réduire l’identifiabilité et à mettre en œuvre des contrôles d’atténuation à un degré raisonnable dans le contexte. Les renseignements dépersonnalisés comportent un risque résiduel de réidentification (Directive sur les pratiques relatives à la protection de la vie privée).
renseignements dépersonnalisés (De-identified information)
Informations résultant de l’application de la dépersonnalisation (Directive sur les pratiques relatives à la protection de la vie privée).
identifiant direct (Direct identifier)
Caractéristique qui peut être utilisée seule pour identifier une personne identifiable ou qui peut permettre de remonter jusqu’à une telle personne (p. ex., nom, numéro d’assurance sociale ou numéro de dossier médical) (Avis de mise en œuvre de la protection des renseignements personnels 2020-03 : protection des renseignements personnels lors de la diffusion de renseignements à propos d’un petit nombre de personnes).
identifiant indirect (Indirect identifier)
Caractéristique qui utilisée, seule ou en combinaison avec d’autres, peut établir un lien avec d’autres informations ou être utilisés par une personne possédant des connaissances du contexte pour identifier une personne (p. ex., âge, sexe ou province de résidence). Plus le nombre d’identifiants indirects est élevé, plus la probabilité de réidentification est élevée (Avis de mise en œuvre de la protection des renseignements personnels 2020-03 : protection des renseignements personnels lors de la diffusion de renseignements à propos d’un petit nombre de personnes).
information (Information)
Connaissances saisies sous quelque forme que ce soit, comme des faits, des événements, des choses, des processus ou des idées, qui peuvent être structurés ou non, y compris des concepts qui, dans un certain contexte, ont une signification particulière. L’information comprend les données (Politique sur les services et le numérique).
mesures de protection des renseignements personnels proportionnées (Proportionate privacy protections)
Les mesures de protection des renseignements personnels appliquées aux renseignements sont proportionnelles au risque d’atteinte à la vie privée ou de réidentification. La détermination des mesures de protection des renseignements personnels proportionnées comprend une analyse de nombreux facteurs interdépendants tels que le degré de sensibilité associé à l’information initiale, le fait que les utilisateurs de l’information soient au sein de l’institution ou ailleurs, le but dans lequel ils utilisent l’information et la manière dont l’information est transféréeNote de bas de page 3.