Anonymisation des renseignements personnels

Le paragraphe 7 (9) de la Loi de 2017 contre le racisme impose aux organisations du secteur public d’anonymiser les renseignements personnels recueillis comme l’exigent les Normes. Cela les oblige à avoir les connaissances voulues ou à engager des spécialistes en matière d’anonymisation.

Norme 33. Anonymisation afin de publication des données

Avant de rendre toutes données publiques, les organisations du secteur public doivent anonymiser les renseignements personnels.

Lorsqu’elles anonymisent des données afin de divulgation publique, elles doivent tâcher de préserver dans toute la mesure du possible l’utilité des données, surtout en ce qui concerne les renseignements relatifs à l’identité autochtone et à la race, tout en protégeant la vie privée des particuliers. Les OSP devraient recourir à des processus d’anonymisation de façon à ce que le facteur de l’dentité autochtone et les catégories raciales demeurent aussi inaltérées que possible.

Justification

L’anonymisation protège la vie privée des particuliers. Une fois complètement anonymisés, les renseignements ou les données ne communiquent plus de renseignements au sujet de particuliers reconnaissables, ni aucun renseignement attribuabe à un particuliers identifiable.

On doit préserver autant que possible les données relatives à l’identité autochtone et à la race afin de promouvoir l’accès du public à cette information ainsi que la transparence et la reddition de comptes envers le public.

Lignes directrices

L’anonymisation est la suppression ou la transformation de renseignements personnels contenus dans un dossier ou un ensemble de données de manière que, dans les circonstances, on ne puisse pas vraisemblablement utiliser ces données, seules ou avec d’autres, pour identifier un particulier. Les OSP devraient prendre en considération les autres renseignements et ensembles de données consultables susceptibles d’être utilisés avec les données anonymisées pour permettre la désanonymisation de particuliers.

Avant de rendre des données publiques, les organisations du secteur public devraient prendre des mesures pour réduire le risque de désanonymisation à un niveau acceptable pour une divulgation publique. Les De-identification Guidelines for Structured Data (juin 2016) du CIPVP définissent un mécanisme d’anonymisation en neuf étapes qui indique notamment des moyens d’évaluer les risques de désanonymisation et les risques pour des groupes de particuliers. Les pratiques exemplaires d’anonymisation comprennent les trois éléments d’appréciation suivants :

  1. Analyser les données, les besoins des utilisateurs et l’environnement des données pour comprendre l’ensemble de données et le contexte de divulgation, notamment les obligations légales.
  2. Évaluer le risque de désanonymisation. La désanonymisation est le rétablissement du lien entre des données et un particulier. L’analyse du risque de désanonymisation peut être complexe et ses résultats peuvent différer pour chaque divulgation de données.
  3. Anonymiser les données pour réduire au minimum le risque et optimiser l’utilité. Il s’agit de supprimer, de masquer ou de transformer des variables de manière à enlever les renseignements permettant l’identification dans la mesure où cela est nécessaire pour protéger convenablement la vie privée des particuliers tout en produisant des données utiles.

Les organisations du secteur public devraient appliquer les mécanismes d’anonymisation de manière à garder aussi intactes que possible les variables de l’identité autochtone et de la race. Pour protéger la vie privée des particuliers, les OSP devraient d’abord d’abord appliquer les techniques d’anonymisation (voir l’annexe C) qui conviennent aux autres variables de l’ensemble de données. Dans certains cas, il pourrait tout de même être nécessaire, pour cela, de supprimer ou de modifier des catégories d’identité autochtone ou de race. Par exemple, lorsque le nombre de particuliers inclus dans une catégorie est faible. Néanmoins, conserver les variables de l’identité autochtone et de la race dans les ensembles de données anonymisées dans un format le plus proche possible de ce qu’il était au départ contribue à favoriser la transparence et la reddition de comptes envers le public au titre de l’analyse fondée sur la race.

Prendre en considération les intérêts d’une population donnée avant de divulguer des renseignements de nature éventuellement délicate

Outre la vie privée des particuliers, il faut prendre également en considération les risques auxquels sont exposés des groupes de particuliers. Les intérêts d’une population donnée pourraient aussi être un élément d’appréciation dans l’anonymisation, comme la nécessité d’empêcher la divulgation de renseignements de nature éventuellement délicate susceptibles d’être associés à des populations précises (p. ex. des Premières Nations ou des quartiers précis).

Certes, les techniques d’anonymisation empêchent la divulgation de l’identité des particuliers, mais pas expressément la divulgation de caractéristiques de groupes éventuellement stigmatisantes. Pour empêcher cela, il se peut que des mesures supplémentaires s’imposent, comme la suppression des renseignements géographiques au niveau de la subdivision de recensement ou à un niveau inférieur. Par exemple, les subdivisions de recensement peuvent servir à identifier des Premières Nations tandis que les secteurs de recensement peuvent servir à identifier des populations précises dans des quartiers précis en ville.

Toute décision de divulguer ou pas des renseignements de nature éventuellement délicate susceptibles d’être associés à une population précise devrait être prise en consultation avec la population visée. L’anonymisation devrait également se faire en consultation avec le conseiller juridique, le responsable de la protection de la vie privée ou le coordonnateur de l’accès à l’information de l’OSP.

Gérer les répercussions possibles d’une publication

La publication de données et d’analyses anonymisées devrait se faire conformément aux politiques et procédures de gouvernance et de gestion définies à la Norme 2. Les OSP devraient élaborer et mettre en œuvre un plan permettant de réduire et de gérer le risque de désanonymisation et d’atténuer les possibles répercussions néfastes sur les populations.

  • Tenir un registre de toutes les données divulguées qui comprend notamment des descriptions du modèle de divulgation, des types de données publiées, de leurs propriétés et des techniques d’anonymisation utilisées.
  • Évaluer régulièrement de manière continue le risque de désanonymisation des données publiées au moyen d’un examen comparatif des divulgations d’ensembles de données nouveaux ou qui s’entrecoupent.
  • Trouver les intervenants, les populations et les partenaires qui pourraient subir les conséquences néfastes de la désanonymisation, communiquer avec eux et se doter d’un plan permettant d’atténuer ces répercussions, notamment par des initiatives de proximité, la formation des employés, etc.

Norme 34. Anonymiser les résultats d’analyses

Les organisations du secteur public doivent anonymiser les résultats des analyses avant de les communiquer au public.

Justification

Les résultats des analyses peuvent comporter un risque de désanonymisation selon les types de données, d’analyses et de tableaux qui seront divulgués. Ce risque dépend également des circonstances particulières, comme les autres analyses et données déjà publiées et la taille des échantillons, dont la taille des segments.

Lignes directrices

Pour réduire au minimum le risque de désanonymisation dans la communication de résultats, les organisations du secteur public devraient veiller à se doter des connaissances spécialisées voulues en matière d’anonymisation des analyses et envisager :

  • de limiter les tableaux à deux ou trois dimensions (c.-à-d. des tableaux à deux ou trois entrées);
  • de supprimer les résultats fondés sur de petits segments;
  • d’être prudentes dans l’utilisation et la communication de résultats fondés sur de petits échantillons;
  • de prendre en considération d’autres résultats et ensembles de données que le public peut consulter ou qui ont déjà été diffusés.

Si d’autres analyses semblables peuvent être consultées par le public, les organisations du secteur public devraient évaluer la manière dont elles peuvent être utilisées pour désanonymiser des particuliers, et prendre les précautions qui s’imposent à l’égard du risque de divulgation par recoupements.

Pour éviter que des renseignements personnels soient rendus publics ou divulgués par mégarde, les organisations devraient consulter leurs conseillers juridiques et leurs spécialistes et intervenants en matière de protection de la vie privée lorsqu’elles se préparent à rendre publiques des analyses anonymisées.

Publication de données

Norme 35. Données ouvertes

Les organisations du secteur public doivent publier les données anonymisées qu’elles ont recueillies et utilisées dans des analyses communiquées de manière qu’elles soient :

  • ouvertes par défaut (sauf s’il existe des raisons impérieuses relatives à la protection de la vie privée ou à la sécurité ou des raisons légales qui l’empêchent),
  • consultables dans leur forme originale non modifiée, dans toute la mesure du possible,
  • présentées en temps opportun, exactes et ordinolingues,
  • accessibles et consultables en permanence (sauf si elles ont été publiées par erreur), offertes gratuitement à l’utilisateur.

Les ensembles de données doivent être rendus publics au plus tard le jour où le rapport public de l’OSP est communiqué.

Les ensembles de données doivent être publiés sur le site Web de l’OSP ou dans le Catalogue de données de l’Ontario (lorsque cela s’applique), avec des métadonnées qui comportent les mots-clés pertinents : Loi contre le racisme, identité autochtone, race et, lorsque cela est pertinent, religion ou origine ethnique. Les métadonnées ne doivent inclure aucun renseignement personnel.

Justification

Les données ouvertes permettent d’assurer la transparence et la reddition de comptes envers le public dans la détection et la surveillance du racisme systémique et des disparités raciales dans les organisations du secteur public en Ontario. Elles appuient également un dialogue et un débat publics fondés sur des éléments probants.

Lignes directrices

Les données ouvertes font l’objet d’une publication proactive dans des formats gratuits, accessibles et ordinolingues. Leur utilisation par le public et par les OSP est encouragée.

L’ouverture par défaut signifie que les données devraient être ouvertes et consultables, à moins qu’il existe des motifs impérieux relatifs à la protection de la vie privée ou à la sécurité ou des raisons légales l’empêchant. Lorsque l’ouverture par défaut est impossible pour ces raisons, les données ne devraient pas être rendues publiques.

Les métadonnées sont des informations qui décrivent les caractérisitiques des données. Elles peuvent servir à faciliter l’organisation, la communication et l’échange d’information sur les données. Les organisations du secteur public devraient s’assurer que les métadonnées ne contiennent aucun renseignement personnel, comme des adresses IP, des noms ou d’autres renseignements pouvant être utilisés pour identifier un particulier.

Lorsque c’est possible, la communication publique de données devrait se faire en consultation avec l’équipe du gouvernement ouvert, le responsable de la protection de la vie privée ou le coordonnateur de l’accès à l’information et le conseiller juridique de l’organisation et les parties à des conventions d’échanges de données, selon ce qui s’applique.

Les organisations devraient étudier le risque de divulgation par recoupements, qui peut se produire lorsqu’il est possible de déduire des données confidentielles à partir de ce qui est diffusé ou lorsque l’information est susceptible d’être employée afin de désanonymiser des particuliers. Elle peut aussi survenir par recoupement de renseignements publiés avec d’autres renseignements accessibles, y compris des données publiées antérieurement.

Les organisations du secteur public assujetties à la Directive sur les données ouvertes de l’Ontario doivent se conformer à ces règles et déposer les ensembles de données au Catalogue des données de l’Ontario (lire le Guide sur les données ouvertes pour en savoir plus). Les autres organisations du secteur public devraient déterminer si elles sont tenues d’observer des politiques, des pratiques et des normes relatives au gouvernement ouvert.

Les organisations devraient se servir d’une licence ouverte et envisager d’y intégrer des conditions prévoyant que l’ensemble de données ne doit pas être utilisé d’une manière qui contrevient à la Loi contre le racisme, au Code ou aux lois applicables régissant la protection de la vie privée. La Licence du gouvernement ouvert est un exemple de licence ouverte dont les organisations du secteur public peuvent se servir.

Certaines mesures sont nécessaires pour que des données puissent être converties en un format ouvert ordinolingue. Il faut, notamment, établir quelles données seront rendues publiques et les priorités à cet égard, évaluer la qualité des données, vérifier leur exactitude, s’informer des conséquences légales et des répercussions pour la confidentialité, la protection de la vie privée et la sécurité, rendre ces données accessibles et conformes à toutes exigences relatives au français et veiller au respect des exigences techniques particulières (voir la page Accès aux données gouvernementales pour en savoir plus).

On encourage les organisations à communiquer avec les populations susceptibles d’être touchées par la publication d’ensembles de données pouvant comporter des renseignements de nature délicate les concernant. Lorsqu’il y en a, les conventions d’échanges de données peuvent servir de guide dans l’utilisation et le choix d’un modèle de divulgation de données. Dans de telles circonstances, les organisations devraient envisager d’employer différents modèles de divulgation. Le choix du modèle sera fondé sur une évaluation des facteurs suivants :

  • Le but et le contexte de la publication,
  • La nature délicate des données et le risque de désanonymisation,
  • Les exigences légales ou autres relatives à la publication des données,
  • L’intérêt pour le public de pouvoir consulter ces données.

Communication publique des résultats des analyses

Norme 36. Communication publique des résultats des analyses

Les organisations du secteur public doivent élaborer et mettre à la disposition du public sur leur site Web un rapport comprenant :

  1. les résultats des analyses :
    • des statistiques descriptives de toutes les variables utilisées pour les analyses;
    • la description des repères ou des groupes de référence;
    • les indices de disproportion raciale ou de disparité raciale;
  2. les seuils établis pour la détection de différences notables et, notamment, la justification de ces seuils;
  3. l’information concernant la méthode de collecte et la qualité des données (exactitude, validité et caractère complet des données recueillies).

Justification

La communication des résultats des analyses démontre la transparence et la reddition de comptes envers le public.

Lignes directrices

Le rapport devrait comprendre une description des méthodes employées pour la collecte des données et les renseignements pertinents concernant la population visée dans l’ensemble de données, notamment la taille des échantillons, la période de collecte des données et toute limite importante que comportent ces données.

Chaque fois que cela est pertinent, les statistiques descriptives devraient comprendre l’information suivante sur les données :

  • la fréquence (le nombre de fois ou un phénomène a été observé);
  • des valeurs moyennes (moyennes arithmétiques ou moyennes géométriques, comme le taux de croissance);
  • la valeur médiane (valeur au-dessous de laquelle on trouve la moitié des observations et au-dessus de laquelle on trouve l’autre moitié);
  • l’étendue (valeurs minimale et maximale);
  • l’écart-type (valeur indiquant l’ampleur de la variation des données).

L’information sur l’exactitude des données et les statistiques aide le public à comprendre les limites des résultats d’une analyse et le degré de fiabilité qu’il convient d’accorder aux conclusions. L’exactitude s’entend du degré de précision avec lequel les données et les résultats décrivent les phénomènes qu’ils étaient destinés à mesurer. Habituellement, on évalue l’exactitude en détectant les sources possibles d’erreurs. Par exemple, le rapport devrait évoquer les sources communes d’erreurs qui pourraient exister :

  • Les erreurs de mesure – Les données recueillies représentent-elles la « vraie » valeur de la mesure comme elles le devaient ? (Les données sont-elles valables ?)
  • Les erreurs relatives au champ d’observation – La population visée est-elle bien couverte dans les données ? (Dans quelle mesure des personnes sont-elles exclues ou comptées en double ?)
  • Les erreurs dues à la non-réponse – Quel est le taux de non-réponse ? La population qui ne donne pas de réponse diffère-t-elle d’une manière digne de mention de la population qui donne une réponse ? (Les réponses témoignent-elles d’un préjugé?)
  • Les erreurs d’échantillonnage – L’échantillon représente-t-il de manière pertinente la population sous-jacente ?

Outre la publication d’indices de disparité ou de disproportion, les organisations peuvent également communiquer les résultats de toutes autres analyses, comme des analyses intersectionnelles et des analyses à variables multiples.

Il convient d’inclure des conclusions tirées d’autres sources d’information pour faciliter l’explication du contexte et des perspectives supplémentaires pour faciliter la compréhension des résultats.

Communication de l’interprétation des résultats

Lorsque c’est possible, les rapports devraient comprendre des interprétations de résultats qui mettent l’accent sur les facteurs systémiques éventuels. Ceux-ci devraient reposer sur des données probantes et être étayées par la participation de la population visée et des intervenants.

Entre autres données probantes servant à étayer l’interprétation des résultats, mentionnons l’information qualitative comme les récits historiques, les descriptions de mécanismes et de pratiques, un examen systématique de documents, l’information tirée de groupes de réflexion, les entretiens de vive voix, les recensions des écrits, etc.

Lorsqu’elles communiquent des conclusions, les organisations devraient expliquer suffisamment le contexte de façon à éviter de stigmatiser des groupes (p. ex. souligner les désavantages sociaux et historiques sous-jacents et la marginalisation de populations pour lesquelles les résultats sont médiocres). Chaque fois que c’est possible, le contexte et l’exposé des faits devraient être étayés par l’apport des populations visées, d’intervenants, de partenaires et d’experts en la matière.

Les organisations devraient également se montrer sensibles à la méfiance passée des populations marginalisées à l’égard de l’usage que les administrations et les organisations publiques ont fait des données. Elles devraient prendre le soin de communiquer clairement le but de la collecte de renseignements, ainsi que les utilisations et les divulgations qui en seront faites, répondre aux demandes d’information du public et nouer le dialogue avec les populations visées.

Les organisations devraient anticiper, gérer et atténuer toutes répercussions négatives involontaires possibles sur les populations visées, les intervenants et les partenaires. Cela peut consister, notamment, à préparer et former les employés, à planifier les communications et à prendre contact le plus rapidement possible avec les parties susceptibles d’être touchées.

Aviser le ministre délégué à l’Action contre le racisme

Norme 37. Aviser le ministre délégué à l’Action contre le racisme

À la date de la publication de données ouvertes ou de la communication d’analyses ou dans un délai raisonnable après cette date, les organisations du secteur public doivent aviser le ministre délégué à l’Action contre le racisme.

Cet avis doit comprendre :

  • le nom de l’organisation et une brève description du programme, du service ou de la fonction faisant l’objet de l’étude;
  • les métadonnées, notamment la date de publication et le lieu d’affichage (lien URL);
  • les coordonnées de l’organisation.

Justification

La notification des divulgations publiques au ministre délégué à l’Action contre le racisme appuie la transparence envers le public.

Lignes directrices

Les OSP devraient transmettre l’avis à la Direction générale de l’action contre le racisme.

L’avis devrait comporter le nom, le titre, la division ou la direction et les coordonnées (numéro de téléphone et adresse électronique) d’un employé de l’organisation capable de répondre aux questions sur les données ouvertes ou le rapport public.

Les métadonnées incluent l’information décrivant comment, quand et par qui un ensemble de données particulier a été recueilli et comment cet ensemble de données a été formaté. Les métadonnées présentées dans l’avis devraient comprendre, lorsque cela est pertinent :

  • la période visée : la période (indiquée par des dates) à laquelle l’ensemble de données ou le rapport s’applique et la région géographique ou administrative visée;
  • la date de création ou de modification : la date à laquelle l’ensemble de données ou le rapport a été achevé ou modifié afin de publication;
  • la date de publication : la date à laquelle l’ensemble de données ou le rapport a été rendu public;
  • la fréquence de mise à jour : la fréquence à laquelle les données ou le rapport sont mis à jour;
  • des mots-clés : des mots qui décrivent les grands thèmes abordés dans l’ensemble de données ou le rapport, notamment les types de renseignements et le secteur;
  • le format : le type de support ou les dimensions de la ressource, comme les valeurs séparées par des virgules (format CSV) ou le format PDF.
  • l’identifiant : référence à l’ensemble de données ou au rapport au moyen de systèmes d’identification officiels comme le localisateur de ressources uniformes (URL), l’identificateur d’objets numériques (DOI) et le Numéro international normalisé du livre (ISBN).