Catégorie : Protection de la vie privée

Publié le

Bonnes pratiques du Commissaire à la protection de la vie privée de l’Ontario – N’en jetez plus !

Le nouveau guide d’évaluation des risques pour la vie privée publié par l’autorité régulatrice repose sur deux erreurs conceptuelles majeures.

En octobre dernier, le Commissaire à l’information et à la protection de la vie privée de l’Ontario (« le Commissaire ») a diffusé un guide des bonnes pratiques sur l’anonymisation des renseignements personnels – dont j’ai écrit ICI tout le mal que j’en pense.

Or, le mois suivant, le même Commissaire a diffusé un autre guide de référence, cette fois sur l’évaluation des risques d’atteinte à la vie privée. Vous allez dire que je m’acharne. Mais force est de constater que le Commissaire s’est encore planté.

Le document, intitulé Planifier pour réussir : guide d’évaluation de l’impact sur la vie privée pour les institutions publiques de l’Ontario constitue en fait une mise à jour, rendue nécessaire par l’entrée en vigueur de la Loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public. En effet, l’article 4(2) de ce texte est venu modifier l’article 38 de la Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP). Lequel article créait ainsi l’obligation pour tout organisme public de mener une évaluation de l’impact sur la vie privée (ÉIVP) préalablement à la création ou la modification substantielle d’un traitement de renseignements personnels.

Jusqu’ici, les ÉIVP étaient seulement recommandées par le Commissaire ontarien. La loi amendée les rend désormais obligatoires, et ce pour TOUS les nouveaux traitements de renseignements personnels.

Continuer la lecture de « Bonnes pratiques du Commissaire à la protection de la vie privée de l’Ontario – N’en jetez plus ! »
Publié le

Anonymisation et pseudonymisation : une jurisprudence européenne malencontreuse

Vous trouvez que la désidentification des renseignements personnels est une matière compliquée ? Attendez de lire cette décision de la Cour de justice de l’Union européenne…

Le 4 septembre 2025, la Cour de justice de l’Union européenne (la «CJUE») a rendu sa décision dans l’affaire C 413/23 P, en matière d’anonymisation des données à caractère personnel.

Traduit de l’anglais personal data, le terme européen français de «données à caractère personnel» est impropre, puisqu’une donnée en elle-même ne peut pas être à caractère personnel.

Toutefois, compte tenu du fait que nous parlons ici d’une décision de la CJUE, j’utiliserai le vocable «données à caractère personnel» comme équivalent européen du terme canadien français «renseignements personnels».

Cet arrêt précise que, dans certaines circonstances, les données pseudonymisées peuvent ne pas toujours être considérées comme des données à caractère personnel en vertu des lois européennes sur la protection des données.

En fait, la CJUE a statué sur ce que que nous appelons au Québec l’anonymisation avant communication. Il s’agit d’une modalité qui découle de la pratique mais n’est pas expressément prévue par la législation provinciale.

Cette décision de la cour européenne s’inscrit dans une tendance à la reconnaissance de l’anonymisation avant communication.

Sa position peut donc sembler légitime. Mais en l’état, la juridiction me semble commettre une maladresse et trois erreurs :

Continuer la lecture de « Anonymisation et pseudonymisation : une jurisprudence européenne malencontreuse »
Publié le

Nouveau guide officiel ontarien sur l’anonymisation des renseignements personnels : un loupage épique

Le 30 octobre dernier, le Commissaire à l’information et à la protection de la vie privée de l’Ontario a publié un nouveau guide en matière d’anonymisation des renseignements personnels. Nous le trouvons globalement décevant.

En effet, à divers égards, ce document accumule approximations, faussetés voire égarements ; et ce, dans trois domaines fondamentaux :

  1. les définitions de concepts-clés,
  2. le processus d’anonymisation,
  3. le calcul du risque de réidentification.

Cela nous paraît d’autant plus inquiétant que le nouveau guide du Commissaire ontarien est d’ores et déjà présenté dans l’industrie comme une référence canadienne sur ces trois éléments. Aussi nous a-t-il semblé important de pointer du doigt ces problèmes conceptuels et méthodologiques.

Chargeur En cours de chargement…
Logo EAD Cela prend trop de temps ?

Recharger Recharger le document
| Ouvert Ouvrir dans un nouvel onglet
Publié le

Protection de la vie privée – La cécité par la conformité

Quand la poursuite de la conformité légale aboutit au résultat inverse de celui recherché par la loi.

Il y a quelques années, sur ce blogue, je m’étais ému qu’un spécialiste de la sécurité de l’information considérât la conformité en sécurité comme plus sécuritaire que la sécurité elle-même. Dans le domaine de la protection de la vie privée, on a pu lire récemment un article du même tonneau, sur le site officiel de l’International Association of Privacy Professionals (IAPP). Son auteure, Lisa Nee, nous y gratifie en effet de quelques saillies navrantes.

Continuer la lecture de « Protection de la vie privée – La cécité par la conformité »