Chroniques du CTI
par
Erwan Jonchères
Articles du même auteur
et
Samy Si Chaib
Articles du même auteur
07 Juil 2025

Article 2 – Pseudonymisation, anonymisation, dépersonnalisation : état des lieux

droit des technologies

Par Erwan Jonchères, Avocat et Samy Si Chaib, Avocat

En 2023, le Tribunal de l’Union européenne a rendu une décision d’intérêt en termes de pseudonymisation et d’anonymisation. Il s’agit de l’affaire Conseil de résolution unique (CRU) c. Contrôleur européen de la protection des données (CEPD)[1], que nous aborderons ci-dessous.

Parallèlement, au Québec, la Commission d’accès à l’information (« CAI ») s’est penchée sur la question de l’accès à des renseignements personnels dépersonnalisés dans l’affaire Shiab[2].

De plus, la Cour supérieure a abordé les exigences de consentement pour la communication d’adresses courriels hachées[3]  en 2024 dans le cadre d’une demande d’autorisation pour exercer une action collective à l’égard de Home Depot[4].

Également, le Règlement sur l’anonymisation des renseignements personnels[5]est entré en vigueur le 30 mai 2024, à l’exception de son article 9, entré en vigueur le 1ᵉʳ janvier 2025.

À la lumière de ces récents développements, cette chronique vise à dresser un état des lieux vis-à-vis de la pseudonymisation, l’anonymisation et la dépersonnalisation d’un bout à l’autre de l’Atlantique. Nous aborderons aussi certaines pistes de solution pour les organisations québécoises.

Pour connaître les définitions et les points saillants eu égard à la dépersonnalisation, la pseudonymisation et l’anonymisation à l’aune des lois applicables, vous pouvez  lire notre précédente chronique ici.

1.     Au Québec

A.    Règlement sur l’anonymisation

Le Règlement sur l’anonymisation vise à encadrer le processus d’anonymisation et s’applique aux organismes publics visés par la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels[6], aux entreprises assujetties à la Loi sur la protection des renseignements personnels dans le secteur privé[7] ainsi qu’aux ordres professionnels[8].

Pour rappel, aux fins des lois mentionnées ci-dessus, un renseignement est anonymisé « lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne [physique][9]. »

Par ailleurs, la Loi sur le privé et la Loi sur l’accès ne permettent aux entreprises et organismes publics d’entreprendre l’anonymisation qu’à des fins sérieuses et légitimes ou pour des fins d’intérêt public, respectivement[10].

De plus, tant la Loi sur le privé que la Loi sur l’accès prévoient que l’anonymisation d’un renseignement personnel doit se faire « selon les meilleures pratiques généralement reconnues et selon les critères et modalités déterminés par règlement[11]. »

Le Règlement sur l’anonymisation arrive donc à la rescousse avec certaines nuances et des outils pour les organisations québécoises. Il établit un cadre normatif pour l’anonymisation. Le processus d’anonymisation doit être supervisé par une personne compétente[12] et ses étapes incluent l’établissement des fins pour lesquelles une organisation entend utiliser des renseignements anonymisés, l’analyse des risques de réidentification, l’application de techniques appropriées ainsi que des évaluations périodiques pour garantir la pérennité de l’anonymisation.

De plus, depuis le 1ᵉʳ janvier 2025, les organisations doivent tenir un registre consignant notamment les renseignements anonymisés, les fins de l’anonymisation et les méthodes d’anonymisation employées[13].

B.    L’affaire Home Depot

Dans cette affaire, la demanderesse soumet que Home Depot n’avait pas respecté ses obligations légales en communiquant à Meta Platforms inc. et Facebook des renseignements personnels des membres d’un groupe de clients en magasin[14] sans leur consentement, portant ainsi atteinte à leur droit à la vie privée. En l’occurrence, Home Depot avait notamment communiqué une version hachée des adresses courriels de ses clients à Meta.

Mise en contexte : les clients qui achètent des produits en ligne doivent adhérer aux conditions d’utilisation, lesquelles incluent la déclaration de confidentialité traitant de l’utilisation par Home Depot de renseignements dépersonnalisés. Or, les clients en magasin sont appelés à fournir une adresse courriel pour recevoir leur reçu électronique sans que ceux-ci ne soient dirigés vers la déclaration de confidentialité.

La Cour réitère qu’en principe le consentement de la personne concernée est requis pour communiquer des renseignements personnels[15]. En l’espèce, la Cour note que les renseignements communiqués, en l’occurrence les adresses courriels, les renseignements sur leurs habitudes d’achat et préférences, sont des renseignements personnels[16].

De plus, la Cour conclut que dans le cas de renseignements personnels recueillis en magasin, les clients concernés auraient dû avoir la possibilité de consentir à la déclaration de confidentialité afin que leurs renseignements soient transmis à des tiers[17].

Ainsi, pour que cette pratique soit valide, un commerçant, tel que Home Depot, devrait faire les choses suivantes :

  1. Inclure dans une politique de confidentialité une clause précisant le transfert de renseignements dépersonnalisés à des tiers et les raisons de celui-ci;
  2. Faire accepter[18] la politique de confidentialité lorsque le client fournit son adresse courriel (ou tout autre renseignement similaire) en magasin, pour des finalités qui ne correspondent pas à ses attentes raisonnables (i.e. avoir ses habitudes de consommation analysées par un tiers).

Finalement, la Cour rappelle la distinction entre des renseignements personnels sensibles et non sensibles ainsi que la conséquence de cette qualification sur le consentement à obtenir à l’aune des lois provinciales et fédérales sur la protection des renseignements personnels. Au Québec, cette distinction est présente dans la Loi sur le privé[19] ainsi que dans la Loi sur l’accès[20]. La Cour indique ce qui suit[21] :

[28] En règle générale, les organisations doivent obtenir un consentement explicite de l’intéressé lorsque les renseignements recueillis, utilisés ou communiqués sont sensibles. Lorsque les renseignements sont moins sensibles, un consentement implicite serait normalement jugé suffisant.

[34] Les courriels sont des informations partagées de façon quotidienne et ne sont pas des renseignements sensibles. Le contenu des courriels n’est pas des renseignements sensibles. Le Commissariat reconnait [sic] ce fait également. Le consentement implicite est normalement jugé suffisant selon la Loi provinciale. Le consentement explicite est requis sous la Loi fédérale, lorsque la collecte, l’utilisation ou la communication de l’information ne répond pas aux attentes raisonnables de l’intéressé.

La Cour traite également la notion des attentes raisonnables des personnes concernées eu égard aux fins pour lesquelles leurs renseignements personnels seraient utilisés[22] :

[35] En ce qui concerne les achats en magasin, les clients en magasin ne sont ni avisés de la communication de leurs renseignements personnels à des tiers ni dirigés vers la Déclaration sur la confidentialité de Home Depot. Les faits démontrent que les clients en magasin n’avaient pas une attente raisonnable que Home Depot utiliserait leurs renseignements à des fins secondaires lorsque Home Depot leur demandait de fournir leurs adresses électroniques en vue de l’obtention d’un reçu électronique.

[36] La preuve démontre que Home Depot aurait partagé les renseignements personnels des Membres sans leur consentement implicite ou explicite, et ce, en violations du Code civil, la Loi provinciale et Loi fédérale.

Cela signifie que les organisations devraient évaluer la nature des renseignements personnels qu’elles traitent et les attentes raisonnables des personnes concernées le cas échéant afin d’appliquer les exigences de consentement appropriées, en débutant par une analyse du cadre juridique applicable.

C. L’affaire Shiab

Dans l’affaire Shiab, les renseignements visés dans la demande d’accès formulée à la RAMQ concernaient la facturation de services médicaux rendus par des professionnels de la santé auprès d’usagers assurés en vertu du régime d’assurance maladie du Québec.

La CAI définit les renseignements mentionnés ci-dessus comme  « des renseignements qui font connaître quelque chose à propos d’une personne physique et qui sont susceptibles de la distinguer par rapport à quelqu’un d’autre[23]. »

Eu égard aux renseignements relatifs à la facturation de services médicaux rendus par des professionnels de la santé, la CAI indique que  « ces renseignements révèlent une information à leur détenteur […] information qui se rattache à une personne physique, un professionnel de la santé, qui lui est distinguable d’un ensemble d’individus puisqu’identifié par son nom ou un numéro qui lui est propre.[24] »

La CAI conclut dès lors que les renseignements visés par la demande d’accès sont des renseignements personnels qui n’ont pas un caractère public[25] et que la communication de tels renseignements ne peut se faire sans le consentement préalable des personnes concernées[26].

Finalement, la CAI aborde dans son analyse la notion de risques identificatoires à savoir s’il était possible de communiquer les renseignements demandés sans les relier à une personne physique. La CAI conclut que les risques identificatoires sont présents et réels en l’espèce.

La décision intègre des références au Guide sur l’application des normes statistiques lors du traitement d’une demande de renseignements de nature statistique et à un avis d’un directeur au sein de la Direction de la méthodologie de l’Institut de la statistique du Québec. Ces documents identifient certaines recommandations afin de réduire les risques identificatoires[27]. Nous en résumons certaines ci-dessous qui, nous croyons, peuvent être utilisées dans plusieurs domaines et contextes :

  • Appliquer des techniques de masquage de données :
    • Regrouper les données avec un autre domaine de valeurs
    • Augmenter la valeur du regroupement
    • Afficher de façon uniforme les données masquées et les données sans résultat

2. En Europe

A.    L’affaire Conseil de résolution unique (CRU) c. Contrôleur européen de la protection des données

Dans l’affaire Conseil de résolution unique (CRU) c. Contrôleur européen de la protection des données (CEPD), les renseignements recueillis sont liés à  des créanciers et actionnaires affectés par l’insolvabilité d’une banque. Le CRU travaillait avec Deloitte pour des analyses et évaluations à cet égard. 

Le CRU a mis en place un processus en deux phases afin de recueillir des données en vue des analyses et évaluations, en l’occurrence une phase d’inscription et une phase de consultation durant laquelle les actionnaires et créanciers éligibles pouvaient soumettre des commentaires.

Les données recueillies lors de la phase d’inscription, à savoir les preuves de l’identité des participants et de la propriété d’instruments de capital de la banque en question étaient accessibles à un nombre limité de membres du personnel du CRU chargés du traitement de ces données afin de déterminer l’éligibilité des participants.

La personne au sein du CRU qui était ensuite chargée de l’analyse des commentaires soumis lors de la phase de consultation n’avait pas accès aux données recueillies lors de la phase d’inscription. Un code alphanumérique unique a été attribué à chaque commentaire sans accès aux renseignements pouvant permettre la réidentification des actionnaires et créanciers.

Après avoir examiné les commentaires des actionnaires et créanciers éligibles, le CRU a demandé à Deloitte, es qualité d’évaluateur indépendant, d’en faire l’évaluation.

À la suite des réclamations des personnes concernées au CEPD alléguant la transmission de leurs données personnelles à un tiers sans qu’on les ait informées, ce dernier a conclu que le CRU était effectivement en défaut. Dans le cadre d’une révision par le CEPD, le CRU insiste que les données transmises à Deloitte n’étaient pas des données personnelles au sens du Règlement 2018/1725. Le CEPD conclut qu’il s’agissait de données à caractère personnel pseudonymisées.

Cela dit, le Tribunal de l’Union européenne dispose que le CEPD ne s’est pas départi de son fardeau de démontrer qu’on pouvait réidentifier les personnes concernées à partir des données transmises à Deloitte, le CEPD s’étant contenté d’examiner la possibilité de réidentifier les auteurs des commentaires du point de vue du CRU et non de Deloitte[28].

Dès lors, le Tribunal estime que le CEPD ne pouvait conclure que les renseignements transmis à Deloitte étaient des données personnelles puisqu’il n’a pas vérifié si Deloitte avait en sa possession les moyens de réidentifier les personnes physiques à l’origine des données qu’on lui a transmises. Ici, le Tribunal semble expliquer qu’un renseignement personnel est « dynamique », c’est à dire qu’il peut ne plus être considéré comme un renseignement personnels dans les mains d’un tiers qui n’aurait pas les « moyens légaux et réalisables en pratique lui permettant d’accéder aux informations supplémentaires nécessaires à la réidentification » des personnes concernées[29].

B.    Les lignes directrices du Comité européen de la protection des données

Le 17 janvier 2025, le Comité européen de la protection des données a clarifié les questions soulevées par la décision du Tribunal, en publiant ses lignes directrices en matière de pseudonymisation[30], donnant beaucoup d’informations pratiques pour faciliter son application.

Il y explique que la pseudonymisation, une mesure technique et organisationnelle visant à réduire les risques pour les personnes, n’a pas besoin d’une base juridique distincte.

Toutefois, les données pseudonymisées, qui peuvent être reliées à une personne à l’aide d’informations supplémentaires, restent des données personnelles. Cela reste vrai lorsqu’une autre partie conserve les informations supplémentaires. Un renseignement ne peut être anonymisé que si les conditions d’anonymisation du RGPD sont rencontrées. Cela vient directement apporter des précisions pour les juges chargés de l’appel dans l’affaire CRU c. CEPD.  

[1] Conseil de résolution unique (CRU) c. Contrôleur européen de la protection des données (CEPD), T-557/20 (« CRU c. CEPD ») .

[2] Shiab c. Régie de l’assurance maladie du Québec (RAMQ), 2023 QCCAI 30 (« Shiab ») .

[3] Un même renseignement haché fournira toujours une même empreinte numérique et peut donc être considéré comme un renseignement dépersonnalisé.

[4] Option Consommateurs c. Home Depot of Canada Inc., 2024 QCCS 1305 (« Home Depot ») .

[5] Règlement sur l’anonymisation des renseignements personnels, RLRQ c. A-2.1, r 0.1 (le « Règlement sur l’anonymisation »).

[6] Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ c. A-2.1 (« Loi sur l’accès »).

[7] Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c. P-39.1 (la « Loi sur le privé »).

[8] Règlement sur l’anonymisation, supra note 5, art. 1.

[9] Loi sur le privé, supra note 6, art. 23 al. 2; Loi sur l’accès, supra note 5, art. 73 al. 2.

[10] Loi sur le privé, supra note 6, art. 23 al. 1; Loi sur l’accès, supra note 5, art. 73 al. 1.

[11] Loi sur le privé, supra note 6, art. 23 al. 3; Loi sur l’accès, supra note 5, art. 73 al. 3.

[12] Règlement sur l’anonymisation, supra note 4, art. 4.

[13] Règlement sur l’anonymisation, supra, note 4, art. 9.

[14] Supra, note 3, paragr. 1, le groupe tel que défini par la demanderesse : « Toute personne qui a acheté ou loué au Québec un bien ou un service dans un magasin Home Depot ou sur son site web Homedepot.ca et a communiqué son adresse de courrier électronique entre 1er janvier 2018 et le 30 octobre 2022. »

[15] Supra, note 3, paragr. 28.

[16] Supra, note 3, paragr. 33.

[17] Supra, note 3, paragr. 60, 61, 74 et 81.

[18] Supra, note 3, paragr. 34 et 37.

[19] Loi sur le privé, supra note 6, art. 12 al. 4 (1).

[20] Loi sur l’accès, supra note 5, art. 59 al. 1.

[21] Supra, note 3, paragr. 28 et 34; Une adresse courriel peut cela dit être un renseignement personnel sensible selon le contexte (voir l’affaire du site Web Ashley Madison, 2015); Lignes directrices 2023-1 – Consentement : critères de validité, en ligne : « Le consentement exprès est obligatoire lorsque l’organisation veut utiliser ou communiquer un renseignement sensible. Il n’est toutefois pas requis si cette utilisation ou cette communication est nécessaire à la fin primaire et est annoncée lors de la collecte […] Puisqu’il ne nécessite pas de geste actif et positif, le consentement implicite devrait quant à lui être utilisé seulement lorsque les critères supplémentaires suivants sont respectés : a. L’utilisation ou la communication ne va pas à l’encontre des attentes raisonnables des personnes selon le contexte; b. Aucun risque de préjudice grave n’émerge de l’utilisation ou de la communication prévue. »

[22] Supra, note 3, paragr. 35 et 36.

[23] Supra, note 2, paragr. 31.

[24] Supra, note 2, paragr. 32.

[25] Supra, note 2, paragr. 26, 36, 37 et 49.

[26] Supra, note 2, paragr. 27.

[27] Supra, note 2, paragr. 74-76 et 80-82.

[28] Supra, note 1, paragr. 103.

[29] Supra, note 1, paragr. 105.

[30] Comité européen de la protection des données (CEPD), Guidelines 01/2025 on Pseudonymisation, 16 janvier 2025 (version pour consultation publique jusqu’au 14 mars 2025), en ligne : Guidelines 01/2025 on Pseudonymisation | European Data Protection Board.

Commentaires (0)

L’équipe du Blogue vous encourage à partager avec nous et nos lecteurs vos commentaires et impressions afin d’alimenter les discussions sur le Blogue. Par ailleurs, prenez note du fait qu’aucun commentaire ne sera publié avant d’avoir été approuvé par un modérateur et que l’équipe du Blogue se réserve l’entière discrétion de ne pas publier tout commentaire jugé inapproprié.

Laisser un commentaire

À lire aussi...