Dans le contexte technologique actuel, il n’est pas rare que des renseignements soient collectés par une organisation et conservés par celle-ci sous forme cryptographique, de manière à ce que seuls des nombres ou des symboles apparaissent. Cette pratique courante est généralement encouragée et jugée plus sécuritaire, car elle a pour but de protéger les renseignements personnels et confidentiels. En outre, il peut arriver que des organisations impartissent certaines données chiffrées pour leur stockage dans l’infonuagique.
En l’occurrence, de tels renseignements conservent-ils leur caractère personnel suite à leur chiffrement? Cette question est cruciale, car une organisation doit savoir si les règles de protection des renseignements personnels sont applicables, afin de déterminer le traitement des flux informationnels. Afin de répondre à cette question, nous présenterons les différentes définitions légales d’un renseignement personnel et nous fournirons une interprétation de ce que peut constituer un renseignement « identifiable » au Québec, en nous inspirant des textes juridiques canadiens et européens.
Le renseignement personnel : quelques définitions
Au Québec, la Loi sur la protection des renseignements personnels dans le secteur privé (« LPRPSP ») prévoit que « tout renseignement qui concerne une personne physique et permet de l’identifier »[1] est un renseignement personnel. Dans le même sens, sont personnels « les renseignements qui concernent une personne et qui permettent de l’identifier »[2] selon la Loi sur l’accès aux documents des organismes publics et des renseignements personnels (« Loi sur l’accès »), applicable au secteur public québécois. Au fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») définit un renseignement personnel comme étant « tout renseignement concernant un individu identifiable, à l’exclusion du nom et du titre d’un employé d’une organisation et des adresse et numéro de téléphone de son lieu de travail »[3]. Ainsi, un renseignement doit permettre d’identifier une personne pour qu’il soit qualifié de renseignement personnel au sens des lois applicables, disposant ainsi d’un caractère « identifiable ».
Tel que le mentionne certains juristes, il n’est pas tout à fait clair si les nouvelles formes de données que génèrent les nouvelles technologies peuvent être reliées à un individu ou non et, ainsi, être qualifiées de renseignements personnels [4]. Donc, nous devons évaluer de quelle manière un renseignement personnel chiffré conservera son caractère identifiable et ainsi, son caractère personnel.
Le caractère « identifiable » et son interprétation
La décision Gordon c. Canada (Santé) [5] a fourni une interprétation de la notion d’« individu identifiable », en concluant qu’il doit exister une possibilité sérieuse qu’un individu puisse être identifié au moyen du renseignement, que ce renseignement soit pris isolément ou en association avec d’autres données disponibles [6]. Selon cette décision, sont des renseignements « concernant » un individu les renseignements qui « permettent » de l’identifier ou « rendent possible » son identification, que ces renseignements soient utilisés seuls ou combinés avec des renseignements d’autres sources. Ceci inclut les sources auxquelles le public a accès et ce, peu importe leur forme et leur support [7]. Dans le même sens que l’affaire Gordon [8], le Commissariat à la protection de la vie privée du Canada (« CPVPC ») est d’avis qu’un renseignement pourra identifier un individu « même s’il se trouve sous une forme non consignée, telle que des conversations orales, des échantillons biologiques ou de la vidéosurveillance en temps réel » [9]. De plus, « les renseignements visent un individu identifiable lorsqu’il y a une grande possibilité qu’une personne puisse identifier les renseignements disponibles » [10].
Les facteurs à prendre en compte
A contrario, « la simple possibilité hypothétique de distinguer une personne » au moyen d’un renseignement ne serait donc pas suffisante pour considérer une personne identifiable » [12]. Ce sont d’ailleurs les conclusions du Groupe de travail Article 29, en Europe, mentionnant que pour déterminer si une personne est identifiable, « il convient de prendre en compte l’ensemble des moyens susceptibles d’être raisonnablement mis en oeuvre, soit par le responsable du traitement, soit par une autre personne pour identifier ladite personne » [13]. Les coûts engendrés par l’identification, la finalité visée, la manière dont le traitement est structuré, l’intérêt escompté par le responsable du traitement, les intérêts en jeu pour les personnes, les risques de dysfonctionnements organisationnels (par exemple violations du devoir de confidentialité) et les défaillances techniques sont au nombre des facteurs pris en compte pour évaluer l’ensemble des moyens susceptibles d’être raisonnablement mis en oeuvre [14].
Ainsi, il doit être difficile voire impossible pour une organisation d’identifier l’individu au moyen des renseignements chiffrés le concernant pour que ceux-ci perdent leur caractère personnel[11]. En d’autres termes, une entreprise détenant la clé de chiffrement ou tout autre logiciel lui permettant de déchiffrer le renseignement personnel disposera d’un moyen d’identifier une personne.
À titre d’exemple pratique, le commissaire à la protection de la vie privée et de l’information de l’Alberta a déjà conclu qu’un identifiant numérique stocké à la place d’une donnée biométrique originale demeurait un renseignement personnel [15]. Certes, l’entreprise disposait de la technologie lui permettant de déchiffrer les données. De plus, elles étaient combinées à d’autres renseignements personnels, ce qui rendait l’individu identifiable. Dans une autre affaire, un arbitre québécois avait également conclu en ce sens, à l’effet que le résultat binaire obtenu après la conversion algorithmique des mensurations de la main d’un salarié pouvait être considéré comme un renseignement personnel [16]. Précisons ici que, comme la finalité de traitement des données biométriques était précisément l’identification des individus, l’employeur disposait sans doute d’un moyen de les identifier. Par contre, « dans la situation où ce type de renseignement (résultat binaire obtenu après la conversion algorithmique des mensurations de la main) se retrouve dans les mains d’un tiers qui n’a aucun autre renseignement pour faire une corrélation entre ce renseignement et un individu identifiable, il serait alors plus difficile d’argumenter qu’il s’agit en fait d’un renseignement personnel au sens des LPRP applicables »[17].
Conclusion
En définitive, tant qu’il existera une possibilité raisonnable ou sérieuse de relier un renseignement personnel chiffré à un individu, le renseignement devrait être traité par l’organisation comme un renseignement personnel selon les lois applicables. Nous croyons ainsi que (1), un renseignement chiffré sera considéré comme un renseignement personnel s’il existe une possibilité raisonnable de décrypter le renseignement et ce, tant au sein de l’organisation que par un tiers, et que (2) il est probable que les renseignements chiffrés et conservés avec d’autres renseignements personnels sur un même individu soient jugés comme étant des renseignements personnels selon ce qui découle de la jurisprudence.
Il est cependant difficile de faire valoir qu’un renseignement chiffré et conservé de manière isolé, sans qu’aucun autre renseignement personnel ne soit associé, soit considéré comme un renseignement identifiable et donc personnel. L’hébergeur ne disposant ainsi d’aucun moyen de déchiffrer les données qu’il conserve n’aurait normalement pas l’obligation de traiter les renseignements comme des renseignements personnels. Toutefois, ces renseignements demeureront personnels à l’égard de l’organisation détenant le contrôle sur ces renseignements et la clé de chiffrement.
Toute la question reposera donc sur le contexte et l’interprétation d’une possibilité sérieuse d’identifier un individu au moyen d’un renseignement personnel chiffré, en tenant compte des moyens susceptibles d’être raisonnablement mis en oeuvre. Chaque situation factuelle devra être évaluée en tenant compte des circonstances spécifiques et des lois sur la protection des renseignements personnels applicables au domaine de compétence de l’organisation.
Autres points importants
- Les clés de chiffrement des renseignements personnels devront être protégées par des mesures de sécurité performantes, à jour et fiables tout au long de leur cycle de vie. Dans le cas contraire, le risque plus élevé d’un bris de sécurité pourrait donner ouverture à une possibilité raisonnable que les renseignements chiffrés puissent être identifiés.
- Un contrat doit régir les activités d’impartition des renseignements personnels entre une organisation et un sous-traitant (ou hébergeur).
[1] Art. 2, Loi sur la protection des renseignements personnels dans le secteur privé, L.R.Q., chapitre P-39.1
[2] Art. 54, Loi sur l’accès aux documents des organismes publics et la protection des renseignements personnels, L.R.Q., chapitre A-2.1
[3] Art. 2, Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5.
[9] COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, « Renseignements juridiques associés à la LRPDE », concernant la définition de renseignement personnel . Voir aussi : Morgan c. Alta Flights Inc., (2006) CAF 121
[11] Éloïse GRATTON, préc., note 4, p. 112: « On the other hand, if an organization has information about an individual, but it is impossible (or very difficult) for the organization to find out who the individual is, then the information is not personal information, and therefore not governed by DPLs ».
[12] GROUPE DE TRAVAIL ARTICLE 29 SUR LA PROTECTION DES DONNÉES, « Avis 4/2007 sur le concept de données à caractère personnel », Adopté le 20 juin, , 01248/07/FR, WP 136, p.16.
