Blog

May 09, 2023

Enquête sur la collecte et l'utilisation de

Description Points à retenir Aperçu Analyse contextuelle Problème : L'ASPC n'a pas recueilli

Description

À retenir

Aperçu

Arrière-plan

Analyse

Question : L’ASPC n’a pas recueilli de renseignements personnels au sens de la Loi.

Désidentification et risque résiduel de réidentification

La Loi sur la protection des renseignements personnels ne contient pas de dispositions particulières sur les données anonymisées ou anonymisées.

L’accès aux données du système de TELUS constitue-t-il une « collecte » en vertu de la Loi?

Détermination d’une protection adéquate contre le risque de réidentification

Flux de données 1 : Données des tours de téléphonie cellulaire mobiles/opérateurs

Flux de données 2 : Données de géolocalisation mobile

Mesures de protection dans les deux flux de données qui réduisent la possibilité sérieuse du risque d’identification des personnes

Autre

Analyse comparative internationale

Transparence

Conclusion

Notes

29 mai 2023

L’enquête visait à déterminer si les données sur la mobilité recueillies et utilisées par l’ASPC dans son intervention en réponse à la pandémie contenaient des renseignements personnels au sens de l’article 3 de la Loi sur la protection des renseignements personnels (la Loi). Plus précisément, si l’ASPC et ses fournisseurs de données ont mis en œuvre des techniques de désidentification et des mesures de protection contre la réidentification jugées suffisantes pour réduire le risque qu’une personne soit identifiée en deçà du seuil de « possibilité sérieuse ».

Le Commissariat à la protection de la vie privée du Canada a reçu 12 plaintes en vertu de la Loi sur la protection des renseignements personnels (la « Loi ») contre l’Agence de la santé publique du Canada (« ASPC ») et Santé Canada (« SC ») concernant la collecte et l’utilisation des données sur la mobilité des Canadiens, qui comprennent les données de géolocalisation recueillies au fil du temps et d’autres renseignements connexes.

Les plaignants allèguent que l’ASPC a secrètement recueilli des données sur 33 millions d’appareils mobiles pendant la pandémie de COVID-19 et que, selon une demande de propositions, publiée en décembre 2021, elle prévoyait continuer de recueillir les données sur la mobilité des Canadiens au cours des cinq années suivantes.

L’ASPC a indiqué qu’elle s’est effectivement appuyée sur les données sur la mobilité d’un peu moins de 14 millions de Canadiens pour obtenir des renseignements perspicaces et des analyses significatives sur les mouvements des populations au Canada, ce qui a aidé à suivre la propagation du virus COVID-19 et à planifier, évaluer et ajuster la réponse du gouvernement à la pandémie.

L’ASPC a affirmé qu’elle ne s’est fiée qu’à des données anonymisées et agrégées et qu’elle n’a jamais recueilli ni utilisé de renseignements personnels identifiables et que, par conséquent, la Loi sur la protection des renseignements personnels ne s’applique pas.

Dans le cadre de notre enquête, en tant que condition analytique nécessaire, nous avons d’abord examiné si les données sur la mobilité recueillies et utilisées par l’ASPC dans sa réponse à la pandémie contiennent des renseignements personnels au sens de l’article 3 de la Loi. Plus précisément, nous avons évalué s’il y avait une possibilité sérieuse, dans les circonstances, qu’une personne puisse être identifiée à l’aide des données sur la mobilité, obtenues par l’ASPC, seules ou en combinaison avec d’autres renseignements disponibles. Notre enquête n’a pas permis de déterminer si les fournisseurs de données de l’ASPC avaient recueilli et utilisé des données de localisation conformément aux lois sur la protection des renseignements personnels.

À la suite de l’analyse des observations reçues et de l’examen de l’information sur ce sujet et le concept d’identification, nous avons conclu que la combinaison des mesures de désidentification et des mesures de protection contre la réidentification mises en œuvre par l’ASPC et ses fournisseurs de données a réduit le risque d’identifier des personnes sous le seuil de « possibilité sérieuse ». Nous considérons donc que les plaintes dans cette affaire sont non fondée.

Malgré la conclusion de notre enquête selon laquelle l’ASPC n’a pas enfreint la Loi sur la protection des renseignements personnels en ce qui concerne la collecte et l’utilisation de données sur la mobilité au cours de la pandémie de COVID-19, nous avons formulé un certain nombre de recommandations à l’ASPC en particulier, qui sont d’une pertinence instructive pour toutes les organisations qui produisent, utilisent ou procurent des renseignements anonymisés dans le cadre de leurs activités. Nous sommes encouragés par le fait que l’ASPC a accepté nos recommandations.

Le 31 janvier 2022, le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) a demandé au gouvernement de suspendre la demande de propositions (DP) pour l’obtention de données cellulaires jusqu’à ce qu’il fasse rapport de ses conclusions et recommandations à la Chambre.

Retour à la référence de la note de bas de page 1

L’ASPC a prolongé la date de clôture de la demande de propositions (DP) jusqu’au 18 février 2022, à la demande d’un soumissionnaire potentiel en raison de l’impact de la période des Fêtes et de la pandémie de COVID-19 sur sa capacité opérationnelle. Étant donné qu’il n’existe aucun mécanisme procédural pour suspendre une DP, l’ASPC a plutôt choisi de laisser la DP se terminer et a indiqué qu’elle ne choisirait pas de fournisseur avant que le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) ait présenté ses conclusions et recommandations.

Retour à la référence de la note de bas de page 2

Voir aussi l’affaire plus récente Canada (Commissaire à l’information) c. Canada (Sécurité publique et Protection civile), 2019 CF 1279

Retour à la référence de la note de bas de page 3

Arvind Narayanan et Vitaly Shmatikov. 2008. Robust De-anonymization of Large Sparse Datasets.

Retour à la référence de la note de bas de page 4

Libération du journal de recherche AOL

Retour à la référence de la note de bas de page 5

de Montjoye, YA., Hidalgo, C., Verleysen, M. et al. Unique dans la foule: Les limites de la vie privée de la mobilité humaine. Sci Rep 3, 1376 (2013).

Retour à la référence de la note de bas de page 6

Mobile Station Integrated Services Digital Network est le numéro de téléphone mobile.

Retour à la référence de la note de bas de page 7

International Mobile Equipment Identity est le numéro de série d’un téléphone mobile unique.

Retour à la référence de la note de bas de page 8

L’identité internationale d’abonné mobile est un numéro qui identifie de manière unique chaque utilisateur d’un réseau cellulaire.

Retour à la référence de la note de bas de page 9

K El Emam et B Malin, « Appendix B: Concepts and Methods for De-identifying Clinical Trial Data », dans Sharing Clinical Trial Data: Maximizing Benefits, Minimise Risk, Institute of Medicine of the National Academies, The National Academies Press, Washington, DC. 2015.

Retour à la référence de la note de bas de page 10

NISTR 5053, Dépersonnalisation des renseignements personnels, p. 14.

Retour à la référence de la note de bas de page 11

Rapport d’expertise publique du Dr Khaled El Emam, daté du 24 mars 2021 (« Rapport d’expert »), Dossier public de l’intimé, onglet 3.

Retour à la référence de la note de bas de page 12

Dans l’intervalle entre la remise du rapport préliminaire à l’intimé et la publication du rapport final, la Cour fédérale a rendu sa décision dans Cain c. Canada (Ministre de la Santé), 2023 CF 55. La Cour a jugé le rapport d’expert convaincant (par. 136 à 137) et a approuvé le seuil minimum de 11 (par. 152).

Retour à la référence de la note de bas de page 13

Traitement des données personnelles en remplaçant les identifiants par des identifiants artificiels de manière à ce que les données personnelles ne puissent plus être attribuées à une personne spécifique sans l’utilisation d’informations supplémentaires.

Retour à la référence de la note de bas de page 14

« Soutien à BlueDot, une entreprise de santé numérique établie à Toronto, dotée d’une technologie d’alerte précoce pour les maladies infectieuses, la première mondiale en son genre. L’entreprise a été l’une des premières au monde à identifier la propagation de la COVID-19. Le gouvernement du Canada, par l’entremise de l’Agence de la santé publique du Canada, utilisera sa plateforme d’analyse des maladies pour appuyer la modélisation et la surveillance de la propagation de la COVID-19, et pour éclairer la prise de décisions du gouvernement à mesure que la situation évolue.

Retour à la référence de la note de bas de page 15

Description

À retenir

Aperçu

Arrière-plan

Analyse

Question : L’ASPC n’a pas recueilli de renseignements personnels au sens de la Loi.

Désidentification et risque résiduel de réidentification

La Loi sur la protection des renseignements personnels ne contient pas de dispositions particulières sur les données anonymisées ou anonymisées.

L’accès aux données du système de TELUS constitue-t-il une « collecte » en vertu de la Loi?

Détermination d’une protection adéquate contre le risque de réidentification

Flux de données 1 : Données des tours de téléphonie cellulaire mobiles/opérateurs

Flux de données 2 : Données de géolocalisation mobile

Mesures de protection dans les deux flux de données qui réduisent la possibilité sérieuse du risque d’identification des personnes

Autre

Analyse comparative internationale

Transparence

Conclusion

Notes