Aller au contenu

Entreprises et organisations privées

Conservation et destruction des renseignements personnels

Sécuriser la conservation et la destruction

De leur collecte à leur destruction, votre entreprise est responsable d’assurer la gestion sécuritaire des renseignements personnels en sa possession.
 
Quand les objectifs pour lesquels vous avez collecté et utilisé des renseigments personnels sont réalisés, vous devez les détruire de façon sécuritaire. Dans certaines situations, vous pouvez également les anonymiser ou les dépersonnaliser.

Conservation des renseignements

La conservation est la période durant laquelle votre entreprise détient des renseignements personnels, quelle que soit leur forme, la nature de leur support ou leur degré d'utilisation active. 

Pendant cette période, vous devez notamment :

  • Assurer la qualité des renseignements personnels en veillant à ce que les renseignements personnels que vous détenez soient à jour et exacts au moment où vous les utilisez pour prendre une décision relative à la personne concernée;

  • Prendre des mesures de sécurité propres à assurer la sécurité des renseignements personnels.


Aussiôt que vous n'avez plus besoin d'utiliser des renseignements personnels pour les objectifs que vous aviez préalablement déterminés, vous devez les détruire de manière sécuritaire. La seule restriction à cette obligation de destruction est le délai de conservation prévu par une loi. 

Procédure de destruction de renseignements

Rappelons que lorsque les fins pour lesquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, l'entreprise doit les détruire ou les anonymiser.

Bien identifier et bien gérer pour bien détruire

Tout d’abord, la Commission vous recommande de mettre en place une procédure de gestion documentaire et d’identifier des responsables chargés de veiller à sa bonne application.

Il est important de faire connaître cette procédure à tout le personnel.

Cette procédure doit notamment viser à :

  • Inventorier les types de documents contenant des renseignements personnels (fichier des ressources humaines, base de données de la clientèle, etc.);

  • Définir les niveaux de confidentialité des documents (p. ex. protégé, confidentiel et secret) en fonction des critères de sensibilité, de finalité, de quantité, de répartition et de support.


Les lois applicables vous obligent à protéger les renseignements personnels contenus dans tous les types de documents physiques ou numériquesau sens large, que leur forme soit écrite, graphique, sonore, visuelle, informatisée ou autre. Notez qu’une base de données, par exemple, est considérée comme un document. L'organisme public doit donc :

  • Distinguer les types de supports pour y associer des méthodes de conservation et de destruction appropriées (p. ex. support papier ou numérique);

  • Déterminer un calendrier de conservation respectant les exigences légales.

Choisir une méthode de destruction adaptée

La méthode de destruction doit être adaptée au support et au niveau de confidentialité des documents et assurer la destruction définitive des renseignements personnels qu’ils contiennent.

Plusieurs techniques permettent une destruction définitive :

Support utilisé

Exemples de méthodes de destruction

Papier

(original et toutes les copies)

 

Déchiqueteuse, de préférence à découpe transversale.

Si les documents sont très confidentiels : déchiqueteuse + incinération.

 

 

Médias numériques que l’on souhaite réutiliser ou recycler

p. ex. des cartes de mémoire flash (cartes SD, XD, etc.) des clés USB, un disque dur d’ordinateur

 

 

Formatage, réécriture, déchiquetage numérique (logiciel effectuant une suppression sécuritaire et qui écrira de l’information aléatoire à l’endroit où se trouvait le fichier supprimé).

 

 

Médias numériques non réutilisables

 

p. ex. certains CD ou DVD, des cartes de mémoire flash, des clés USB et des disques durs qui ne seront plus utilisés

 

• Destruction physique (déchiquetage, broyage, meulage de surface, désintégration, trouage, incinération, etc.).

La plupart des déchiqueteuses peuvent détruire les CD et les DVD.

• Démagnétiseur pour les disques durs.

Machines contenant des disques durs

 

p. ex. un photocopieur, un télécopieur, un numériseur, une imprimante, etc.

Écrasement des informations sur le disque dur ou disque dur enlevé et détruit lorsque les machines sont remplacées.

Déterminer si la destruction se fera à l’interne ou par un tiers

Vous pouvez détruire vous-même les documents contenant des renseignements personnels. Si votre équipement ne vous permet pas de le faire de manière sécuritaire, vous pouvez aussi conclure un contrat avec un prestataire externe. Par exemple, la destruction définitive des données contenues dans un disque dur peut nécessiter le recours à une firme externe.

Lorsqu’un tiers (prestataire) est impliqué, il faut prévoir un contrat écrit précisant, entre autres :

  • Le procédé utilisé pour la destruction;

  • Que le prestataire reconnaît la confidentialité des renseignements traités et qu’il ne peut les conserver à ses propres fins;

  • Que le prestataire informera son client s’il fait appel à un sous-traitant pour la destruction;

  • Qu’un engagement de confidentialité sera signé par les employés;

  • Que l’entreposage des documents à détruire est sécuritaire;

  • Qu’il est possible pour le client d’accéder aux locaux du prestataire pendant la durée du contrat;

  • Que le prestataire a l’obligation de faire régulièrement un compte rendu au client de la destruction des documents;

  • Que le prestataire doit aviser le client sans délai en cas de violation ou de tentative de violation des obligations relatives à la sécurité ou à la confidentialité des renseignements.


Enfin, si le prestataire ne respecte pas ses engagements, vous devrez mettre fin au contrat et demander la restitution des renseignements personnels.

Pensez à sécuriser les documents à détruire en attendant le passage du fournisseur chargé de la destruction des documents!

Destruction et possibilité d'anonymisation

La Loi prévoit une alternative à la destruction des renseignements personnels. Suivant l’accomplissement de la finalité de leur collecte, il est possible de les conserver en procédant à leur anonymisation pour les utiliser à des fins sérieuses et légitimes.

  • Un renseignement concernant une personne physique est anonymisé lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne.

Prudence et vigilance s’imposent si vous avez l’intention d’anonymiser des renseignements personnels dans ce contexte. Il s’agit d’un processus complexe devant garantir l’impossibilité de réidentification d’une personne physique par tout type de moyens technologiques.

De plus, pour pouvoir être conservés plutôt que détruits, les renseignements doivent être anonymisés selon les meilleures pratiques généralement reconnues et selon les critères et les modalités déterminés par règlement du gouvernement. En l’absence de règlement du gouvernement, il n’est donc pas possible d’anonymiser des renseignements pour les conserver et les utiliser à des fins sérieuses et légitimes.

L’entreprise qui recueille des renseignements personnels doit élaborer et mettre en œuvre des règles de gouvernance encadrant notamment leur destruction. Ces règles doivent aussi faire référence à l’anonymisation, le cas échéant.

L’avis de la Commission sur l’anonymisation

À la lumière des avancées technologiques actuelles et futures, la Commission estime qu’il est quasi impossible de certifier que des renseignements anonymisés ne pourraient pas éventuellement être réidentifiés.

Certains renseignements sont tellement distinctifs par nature qu’ils ne peuvent pas être adéquatement anonymisés. Pensons, par exemple, aux renseignements génétiques, biométriques ou encore à ceux relatifs à la géolocalisation.

L’anonymisation des renseignements personnels présuppose des risques d’incidents de confidentialité. Des sanctions sont prévues pour toute personne qui tente d’identifier une personne à partir de renseignements anonymisés.

Distinguer anonymisation et dépersonnalisation

Anonymisation 

Un renseignement personnel est anonymisé quand :

  • Il est en tout temps raisonnable de prévoir, dans les circonstances, qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne.

L’anonymisation des renseignements personnels constitue une alternative à leur destruction. La conservation de ces renseignements anonymisés est conditionnelle à leur utilisation à des fins sérieuses et légitimes.

  • L’anonymisation est un processus complexe qui doit suivre les meilleures pratiques généralement reconnues et selon les critères et les modalités déterminés par règlement du gouvernement. Selon la Commission, il est quasi impossible de garantir l’anonymisation des données de manière irréversible.

Un renseignement anonymisé cesse d’être qualifié de renseignement personnel et n’est plus soumis aux règles applicables en cette matière. Il peut donc être utilisé, communiqué, diffusé et conservé sans autre obligation.

Dépersonnalisation 

Un renseignement personnel est dépersonnalisé quand il ne permet plus d’identifier directement la personne concernée. Par exemple, ces données devront être utilisées en ayant pris soin de supprimer préalablement :

  • Le nom des personnes;

  • Les adresses civiques ou courriel;

  • Les numéros d’assurance sociale ou d’assurance-maladie.

Toutes les mesures raisonnables doivent être prises pour limiter les risques d’identification des personnes dont les renseignements ont été dépersonnalisés.

Contrairement à l’anonymisation, la dépersonnalisation des renseignements personnels n’est pas une alternative à leur destruction. Elle constitue une mesure de protection de ces renseignements, notamment quand ils sont utilisés ou communiqués sans le consentement des personnes concernées à des fins d’étude, de recherche ou de production de statistiques.

Un renseignement dépersonnalisé demeure un renseignement personnel soumis à la Loi sur le privé en cette matière.

***

Des amendes sont prévues pour toute tentative de réidentification de renseignements anonymisés ou de renseignements dépersonnalisés sans l’autorisation de l’entreprise.

Votre avis nous intéresse

Avez-vous trouvé les informations que vous cherchiez ?
Les informations sur cette page sont-elles claires, faciles à comprendre ?

Évitez d’inscrire des renseignements personnels. Notez que vous ne recevrez pas de réponse.

500 characters left