Aller au contenu

Ministères et organismes publics

Conservation et destruction des renseignements personnels

Sécuriser la conservation et la destruction

Dans l'exercice de ses fonctions, tout organisme public est responsable d’assurer la gestion sécuritaire des renseignements personnels qu'il détient, de leur collecte à leur destruction.

Aussitôt que l'organisme n'a plus besoin d'utiliser des renseignements personnels pour les objectifs préalablement déterminés, il doit les détruire de façon sécuritaire. Dans certaines situations, il est possible d'anonymiser ou de dépersonnaliser des renseignements personnels. 

Conservation des renseignements

La conservation est la période durant laquelle un ministère ou un organisme public garde des renseignements personnels, quelle que soit leur forme, la nature de leur support ou leur degré d'utilisation active. 

Pendant cette période, l'organisme public doit notamment :

  • Assurer la qualité des renseignements personnels en veillant à ce qu'ils soient à jour et exacts au moment où vous les utilisez pour prendre une décision relative à la personne concernée;

  • Prendre des mesures de sécurité propres à assurer la sécurité des renseignements personnels.

Aussiôt que l'organisme n'a plus besoin d'utiliser des renseignements personnels pour les objectifs préalablement déterminés, il doit les détruire de manière sécuritaire. La seule restriction à cette obligation de destruction est le délai prévu par une loi ou au calendrier de conservation. 

Procédure de destruction des renseignements

Les renseignements personnels ont un cycle de vie qui leur est propre : de leur collecte à leur destruction, ils passent par des phases d’utilisation et de conservation et, parfois, par la communication à des tiers.

L'organisme public a l’obligation d’assurer la protection des renseignements personnels qu'il détient. Ainsi, les lois applicables prévoient des règles en matière de sécurité et de destruction.

Des mesures de sécurité doivent être prises pour assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits. Ces mesures doivent être raisonnables compte tenu notamment de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.

Rappelons que lorsque les fins pour lesquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, l’organisme public doit les détruire ou les anonymiser.

Bien identifier et bien gérer pour bien détruire

Tout d’abord, la Commission recommande de mettre en place une procédure de gestion documentaire et d’identifier des responsables chargés de veiller à sa bonne application.

Il est important de faire connaître cette procédure à tout le personnel.

Cette procédure doit notamment viser à :

  • Inventorier les types de documents contenant des renseignements personnels (fichiers des ressources humaines, base de données de la clientèle, etc.);

  • Définir les niveaux de confidentialité des documents (protégé, confidentiel, secret, etc.) en fonction des critères de sensibilité, de finalité, de quantité, de répartition et de support.

Les lois applicables obligent les organismes à protéger les renseignements personnels contenus dans tous les types de documents physiques ou numériquesau sens large, que leur forme soit écrite, graphique, sonore, visuelle, informatisée ou autre. Par exemple, une base de données est considérée comme un document. L'organisme public doit donc :

  • Distinguer les types de supports pour y associer des méthodes de conservation et de destruction appropriées (p. ex. support papier ou numérique);

  • Déterminer un calendrier de conservation respectant les exigences légales.

Choisir une méthode de destruction adaptée

La méthode de destruction doit être adaptée au support et au niveau de confidentialité des documents et assurer la destruction définitive des renseignements personnels qu’ils contiennent.

Plusieurs techniques permettent une destruction définitive :

Support utilisé

Exemples de méthodes de destruction

Papier

(original et toutes les copies)

 

Déchiqueteuse, de préférence à découpe transversale.

Si les documents sont très confidentiels : déchiqueteuse + incinération.

Médias numériques que l’on souhaite réutiliser ou recycler

p. ex. des cartes de mémoire flash (cartes SD, XD, etc.) des clés USB, un disque dur d’ordinateur

 

Formatage, réécriture, déchiquetage numérique (logiciel effectuant une suppression sécuritaire et qui écrira de l’information aléatoire à l’endroit où se trouvait le fichier supprimé).

 

 

 

Médias numériques non réutilisables

 

p. ex. certains CD ou DVD, des cartes de mémoire flash, des clés USB et des disques durs qui ne seront plus utilisés

 

• Destruction physique (déchiquetage, broyage, meulage de surface, désintégration, trouage, incinération, etc.).

 

La plupart des déchiqueteuses peuvent détruire les CD et les DVD.

• Démagnétiseur pour les disques durs.

Machines contenant des disques durs

 

p. ex. un photocopieur, un télécopieur, un numériseur, une imprimante, etc.

Écrasement des informations sur le disque dur ou disque dur enlevé et détruit lorsque les machines sont remplacées.

Déterminer si la destruction se fera à l’interne ou par un tiers

L'organisme peut détruire lui-même des documents contenant des renseignements personnels. Si son équipement ne lui permet pas de le faire de manière sécuritaire, il peut aussi conclure un contrat avec un prestataire externe. Par exemple, la destruction définitive des données contenues dans un disque dur peut nécessiter le recours à une firme externe.

Lorsqu’un tiers (prestataire) est impliqué, il faut prévoir un contrat écrit précisant, entre autres :

  • Le procédé utilisé pour la destruction;

  • Que le prestataire reconnaît la confidentialité des renseignements traités et qu’il ne peut les conserver à ses propres fins;

  • Que le prestataire informera son client s’il fait appel à un sous-traitant pour la destruction;

  • Qu’un engagement de confidentialité sera signé par les employés;

  • Que l’entreposage des documents à détruire est sécuritaire;

  • Qu’il est possible pour le client d’accéder aux locaux du prestataire pendant la durée du contrat;

  • Que le prestataire a l’obligation de faire régulièrement un compte rendu au client de la destruction des documents;

  • Que le prestataire doit aviser le client sans délai en cas de violation ou de tentative de violation des obligations relatives à la sécurité ou à la confidentialité des renseignements.

Enfin, si le prestataire ne respecte pas ses engagements, l'organisme public doit mettre fin au contrat et demander la restitution des renseignements personnels.

Pensez à sécuriser les documents à détruire en attendant le passage du fournisseur chargé de la destruction des documents!

Destruction ou possibilité d’anonymisation

La Loi prévoit une alternative à la destruction des renseignements personnels. Suivant l’accomplissement de la finalité de leur collecte, il est possible de les conserver en procédant à leur anonymisation pour les utiliser à des fins d’intérêt public. 

  • Un renseignement concernant une personne physique est anonymisé lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne.

Prudence et vigilance s’imposent pour tout organisme souhaitant anonymiser des renseignements personnels dans ce contexte. Il s’agit d’un processus complexe devant garantir l’impossibilité de réidentification d’une personne physique par tous types de moyens technologiques.

De plus, pour pouvoir être conservés plutôt que détruits, les renseignements doivent être anonymisés selon les meilleures pratiques généralement reconnues et selon les critères et les modalités déterminés par règlement du gouvernement

L’organisme public qui recueille des renseignements personnels doit élaborer et mettre en œuvre des règles de gouvernance encadrant notamment leur destruction. Ces règles doivent aussi faire référence à l’anonymisation, le cas échéant.

L’avis de la Commission sur l’anonymisation

À la lumière des avancées technologiques actuelles et futures, la Commission estime qu’il est quasi impossible de certifier que des renseignements anonymisés ne pourraient pas éventuellement être réidentifiés.

Certains renseignements sont tellement distinctifs par nature qu’ils ne peuvent pas être adéquatement anonymisés. Pensons, par exemple, aux renseignements génétiques, biométriques ou encore à ceux relatifs à la géolocalisation.

L’anonymisation des renseignements personnels présuppose des risques d’incidents de confidentialité. Des sanctions sont prévues pour toute personne qui tente d’identifier une personne à partir de renseignements anonymisés.

Distinguer anonymisation et dépersonnalisation

Anonymisation 

Un renseignement personnel est anonymisé quand :

  • Il est en tout temps raisonnable de prévoir, dans les circonstances, qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne.

Autant pour les organismes publics que les entreprises, l’anonymisation des renseignements personnels constituera une alternative à leur destruction. La conservation de ces renseignements anonymisés est conditionnelle à leur utilisation à des fins d’intérêt public.

  • L’anonymisation est un processus complexe qui doit suivre les meilleures pratiques généralement reconnues et selon les critères et les modalités déterminés par règlement du gouvernement. Selon la Commission, il est quasi impossible de garantir l’anonymisation des données de manière irréversible.

Un renseignement anonymisé cesse d’être qualifié de renseignement personnel et n’est plus soumis aux règles applicables en cette matière. Il peut donc être utilisé, communiqué, diffusé et conservé sans autre obligation.

Dépersonnalisation 

Un renseignement personnel est dépersonnalisé quand il ne permet plus d’identifier directement la personne concernée. Par exemple, ces données devront être utilisées en ayant pris soin de supprimer préalablement :

  • Le nom des personnes;

  • Les adresses civiques ou courriel;
  • Les numéros d’assurance sociale ou d’assurance-maladie.

Toutes les mesures raisonnables doivent être prises pour limiter les risques d’identification des personnes dont les renseignements ont été dépersonnalisés.

Contrairement à l’anonymisation, la dépersonnalisation des renseignements personnels n’est pas une alternative à leur destruction. Elle constitue une mesure de protection de ces renseignements, notamment quand ils sont utilisés ou communiqués sans le consentement des personnes concernées à des fins d’étude, de recherche ou de production de statistiques.

Un renseignement dépersonnalisé demeure un renseignement personnel soumis à la Loi sur l'accès en cette matière. 

***

Des amendes sont prévues pour toute tentative de réidentification de renseignements anonymisés ou de renseignements dépersonnalisés sans l’autorisation de l’organisme public.

Votre avis nous intéresse

Avez-vous trouvé les informations que vous cherchiez ?
Les informations sur cette page sont-elles claires, faciles à comprendre ?

Évitez d’inscrire des renseignements personnels. Notez que vous ne recevrez pas de réponse.

500 characters left