Utilisation des renseignements dépersonnalisés par un organisme public

L’article 65.1 de la Loi sur l’accès est modifié par l’ajout d’une nouvelle exception qui permet à un organisme public d’utiliser un renseignement personnel à une autre fin, sans le consentement de la personne concernée.

Cette exception autorise un organisme public à utiliser un renseignement personnel lorsque celui-ci est nécessaire à des fins d’étude, de recherche ou de production de statistiques, dans la mesure où ce dernier est dépersonnalisé.

Cette nouvelle exception vise un équilibre entre la protection des renseignements personnels et leur utilisation dans un objectif d’innovation.

Utilisation aux fins d’étude, de recherche ou de production de statistiques

Un organisme public peut utiliser des renseignements dépersonnalisés à des fins d’étude, de recherche ou de production de statistiques dans le but :

• d’en évaluer la performance ou de mesurer la qualité des produits et des services offerts, dans une perspective d’amélioration continue;
• de servir l’intérêt public, par exemple en menant une recherche sur un sujet précis en lien avec sa mission afin d’élaborer un nouveau programme ou service.

L’étude, la recherche ou la production de statistiques doit porter sur la mission ou les programmes d’un organisme public.

Mesures raisonnables pour limiter les risques d’identification

Un organisme public qui utilise des renseignements dépersonnalisés doit prendre des mesures raisonnables afin de limiter les risques que quiconque puisse identifier une personne.

À titre d’exemple, un organisme public doit prendre des mesures raisonnables pour que les informations qui relient des renseignements dépersonnalisés à une personne précise, comme des renseignements d’identification :

• soient conservées séparément;
• ne soient pas accessibles aux membres du personnel qui utilisent ce type de renseignements à des fins d’étude, de recherche ou de production de statistiques.

Dans certaines circonstances, le fait de retirer tous les renseignements qui permettent l’identification directe de la personne concernée peut être insuffisant pour que cette obligation soit respectée. Il est toujours possible d’identifier indirectement une personne à partir de renseignements dépersonnalisés, mais cela ne doit pas être simple au point d’équivaloir à une identification directe.

Par exemple, si les renseignements dépersonnalisés concernent un membre du personnel d’un organisme public et que le fichier qui les contient précise notamment la direction où ce dernier travaille et son poste, il est possible que l’identification indirecte soit trop simple. La personne qui aurait accès à ces renseignements pour produire des statistiques pourrait ainsi facilement déduire que la technicienne de telle direction est madame X, car celle-ci est la seule à y occuper ce poste.

Dans de telles circonstances, l’organisme public doit prendre des mesures raisonnables pour éviter que l’identification indirecte soit trop simple. Il pourrait retirer certains renseignements du fichier ou faire des regroupements pour éviter qu’il soit facilement possible d’isoler une ou des personnes.