Capsule juridique Retour Date de publication : 11 septembre 2023
Les renseignements personnels collectés par votre entreprise doivent être protégés tout au long de leur cycle de vie, de la collecte jusqu’à leur destruction.
Lire la suite
L’année dernière, la Loi sur la protection des renseignements personnels dans le secteur privé a été modifiée afin d’y inclure de nouvelles obligations pour les personnes exploitant une entreprise. La seconde phase des obligations imposées par la Loi 25 entrera en vigueur le 22 septembre 2023. Nous vous invitons à consulter le site de la Commission d’accès à l’information du Québec pour avoir un aperçu des deux prochaines phases :
Pour vous permettre de mieux vous y préparer, la CMMTQ publiera régulièrement au cours des prochains mois des capsules informatives au sujet de la protection des renseignements personnels. |
Les renseignements personnels collectés par votre entreprise doivent être protégés tout au long de leur cycle de vie, de la collecte jusqu’à leur destruction.
Dans un article précédent, nous avons abordé la première étape : la collecte des renseignements personnels. Cet article porte sur la conservation et la destruction.
La conservation correspond à la période durant laquelle une entreprise garde des renseignements personnels, sous quelque forme que ce soit, et ce, peu importe l’utilisation active des renseignements ou non.
Pendant la période de conservation, votre entreprise doit prendre les mesures de sécurité nécessaires pour assurer la protection des renseignements personnels (ex. : restreindre les accès, utiliser l’authentification multifacteur, etc.). Ces mesures doivent être raisonnables compte tenu de la sensibilité des renseignements, de la finalité de leur utilisation, de leur quantité et de leur support.
Vous devez aussi vous assurer de la qualité des renseignements personnels en veillant à ce qu’ils soient à jour et exacts au moment où vous les utilisez.
Vous pouvez conserver les renseignements personnels uniquement pour la période pendant laquelle ils servent à l’utilité pour laquelle ils ont été collectés. Lorsque cette finalité a été accomplie, vous devez les détruire de façon sécuritaire. Il existe cependant une exception : les délais de conservation légaux.
Par exemple, on pourrait penser qu’on doit se départir de la copie de la facture une fois que le client l’a payée puisqu’elle contient des renseignements personnels. Toutefois, la loi prévoit que vous devez la conserver pendant 6 ans.
Nous vous invitons à consulter notre article Combien de temps devez-vous conserver vos documents? qui comporte un tableau des délais de conservation selon la législation et les recommandations de la CMMTQ.
La logique de la loi est telle que vous devez détenir le moins de renseignements personnels possible pendant le moins de temps possible. Cela diminue les risques et les conséquences en cas d’incident de confidentialité.
Comme mentionné précédemment, les renseignements personnels doivent être détruits lorsque leur utilité a été accomplie ou lorsque la durée de conservation requise est atteinte.
Il est recommandé de prévoir une procédure de gestion documentaire et un calendrier de conservation. Ceux-ci doivent identifier les personnes responsables et être connus par tout le personnel de l’entreprise. Par exemple : Combien de temps conserverez-vous tel ou tel document? Qui est responsable de la destruction? Comment procéderez-vous à la destruction? Que doit-on déchiqueter? Utiliserez-vous des bacs de recyclage barrés et récupérés par un fournisseur spécialisé?
La méthode de destruction doit être adaptée au support et au niveau de confidentialité des documents.
La destruction doit être définitive. Elle peut être effectuée à l’interne ou à l’externe (ex. : entreprise offrant des services de destruction sécurisée). Si vous avez recours à un prestataire de services à l’externe, vous devez vous assurer de sécuriser les documents à détruire en attendant le passage de ce fournisseur. Il est recommandé de conclure un contrat écrit avec ce dernier (voir Destruction à l’interne ou destruction par un tiers?).
La Commission d’accès à l’information fournit les exemples suivants :
Support utilisé | Exemples de méthodes de destruction |
Papier (original et toutes les copies) |
Déchiqueteuse, de préférence à découpe transversale. Si les documents sont très confidentiels : déchiqueteuse + incinération |
Médias numériques Ex. CD, DVD, carte SD, XD, etc.), clé USB, disque dur d’ordinateur |
Détruire physiquement le média (ex. : déchiqueter un CD) Formater le média pour supprimer les données Écraser les renseignements sauvegardés sur le support à l’aide d’un logiciel personnalisé |
Machines contenant des disques durs Ex. photocopieur, télécopieur, numériseur, imprimante, etc. |
Écraser les renseignements sur le disque dur Enlever et détruire le disque dur lorsque les machines sont remplacées. |
Source : Commission d’accès à l’information, 2023, Procédure de destruction
Nous joindreSitués à Montréal, les bureaux de la CMMTQ sont ouverts du lundi au vendredi, de 8 h 30 à 12 h, et de 13 h à 16 h 30. Notre équipe répond à vos questions. |
Revue IMBPour connaître les nouvelles tendances et façons de faire, abonnez-vous gratuitement à la revue de la CMMTQ et recevez vos exemplaires par la poste. Référence pertinente pour l’industrie de la mécanique du bâtiment, IMB propose un contenu d’actualité et des dossiers complets sur une grande diversité de sujets techniques. |
© 2023 Corporation des maîtres mécaniciens en tuyauterie du Québec (CMMTQ) | Tous droits réservés. | Conception Web : ViGlob
Nous utilisons les cookies afin de fournir les services et fonctionnalités proposés sur notre site et afin d’améliorer l’expérience de nos utilisateurs. Parmi ces cookies, ceux qui sont jugés nécessaires au fonctionnement du site sont stockés sur votre ordinateur ou sur tout autre appareil.
Nous utilisons aussi des cookies tiers qui nous permettent de mieux comprendre l’utilisation que vous faites de notre site web. Ces cookies seront stockés sur votre appareil seulement si vous y consentez en cliquant sur «J’accepte ».
Vous pouvez toujours les désactiver ultérieurement mais votre expérience de navigation sur notre site pourrait s’en trouver affectée.