Loi 25 | Conservation et destruction des renseignements personnels
Capsule juridique Retour Date de publication : 11 septembre 2023
Les renseignements personnels collectés par votre entreprise doivent être protégés tout au long de leur cycle de vie, de la collecte jusqu’à leur destruction.
Lire la suite|
L’année dernière, la Loi sur la protection des renseignements personnels dans le secteur privé a été modifiée afin d’y inclure de nouvelles obligations pour les personnes exploitant une entreprise. La seconde phase des obligations imposées par la Loi 25 entrera en vigueur le 22 septembre 2023. Nous vous invitons à consulter le site de la Commission d’accès à l’information du Québec pour avoir un aperçu des deux prochaines phases :
Pour vous permettre de mieux vous y préparer, la CMMTQ publiera régulièrement au cours des prochains mois des capsules informatives au sujet de la protection des renseignements personnels. |
Les renseignements personnels collectés par votre entreprise doivent être protégés tout au long de leur cycle de vie, de la collecte jusqu’à leur destruction.
Dans un article précédent, nous avons abordé la première étape : la collecte des renseignements personnels. Cet article porte sur la conservation et la destruction.
Conservation
La conservation correspond à la période durant laquelle une entreprise garde des renseignements personnels, sous quelque forme que ce soit, et ce, peu importe l’utilisation active des renseignements ou non.
Quelles sont vos obligations en lien avec la conservation?
Pendant la période de conservation, votre entreprise doit prendre les mesures de sécurité nécessaires pour assurer la protection des renseignements personnels (ex. : restreindre les accès, utiliser l’authentification multifacteur, etc.). Ces mesures doivent être raisonnables compte tenu de la sensibilité des renseignements, de la finalité de leur utilisation, de leur quantité et de leur support.
Vous devez aussi vous assurer de la qualité des renseignements personnels en veillant à ce qu’ils soient à jour et exacts au moment où vous les utilisez.
Combien de temps devez-vous conserver les renseignements?
Vous pouvez conserver les renseignements personnels uniquement pour la période pendant laquelle ils servent à l’utilité pour laquelle ils ont été collectés. Lorsque cette finalité a été accomplie, vous devez les détruire de façon sécuritaire. Il existe cependant une exception : les délais de conservation légaux.
Par exemple, on pourrait penser qu’on doit se départir de la copie de la facture une fois que le client l’a payée puisqu’elle contient des renseignements personnels. Toutefois, la loi prévoit que vous devez la conserver pendant 6 ans.
Nous vous invitons à consulter notre article Combien de temps devez-vous conserver vos documents? qui comporte un tableau des délais de conservation selon la législation et les recommandations de la CMMTQ.
La logique de la loi est telle que vous devez détenir le moins de renseignements personnels possible pendant le moins de temps possible. Cela diminue les risques et les conséquences en cas d’incident de confidentialité.
Destruction
Quand devez-vous détruire les renseignements personnels?
Comme mentionné précédemment, les renseignements personnels doivent être détruits lorsque leur utilité a été accomplie ou lorsque la durée de conservation requise est atteinte.
Bien gérer le processus de destruction
Il est recommandé de prévoir une procédure de gestion documentaire et un calendrier de conservation. Ceux-ci doivent identifier les personnes responsables et être connus par tout le personnel de l’entreprise. Par exemple : Combien de temps conserverez-vous tel ou tel document? Qui est responsable de la destruction? Comment procéderez-vous à la destruction? Que doit-on déchiqueter? Utiliserez-vous des bacs de recyclage barrés et récupérés par un fournisseur spécialisé?
Comment devez-vous détruire les renseignements personnels?
La méthode de destruction doit être adaptée au support et au niveau de confidentialité des documents.
La destruction doit être définitive. Elle peut être effectuée à l’interne ou à l’externe (ex. : entreprise offrant des services de destruction sécurisée). Si vous avez recours à un prestataire de services à l’externe, vous devez vous assurer de sécuriser les documents à détruire en attendant le passage de ce fournisseur. Il est recommandé de conclure un contrat écrit avec ce dernier (voir Destruction à l’interne ou destruction par un tiers?).
La Commission d’accès à l’information fournit les exemples suivants :
| Support utilisé | Exemples de méthodes de destruction |
|
Papier (original et toutes les copies) |
Déchiqueteuse, de préférence à découpe transversale. Si les documents sont très confidentiels : déchiqueteuse + incinération |
|
Médias numériques Ex. CD, DVD, carte SD, XD, etc.), clé USB, disque dur d’ordinateur |
Détruire physiquement le média (ex. : déchiqueter un CD) Formater le média pour supprimer les données Écraser les renseignements sauvegardés sur le support à l’aide d’un logiciel personnalisé |
|
Machines contenant des disques durs Ex. photocopieur, télécopieur, numériseur, imprimante, etc. |
Écraser les renseignements sur le disque dur Enlever et détruire le disque dur lorsque les machines sont remplacées. |
Source : Commission d’accès à l’information, 2023, Procédure de destruction
Nous joindreSitués à Montréal, les bureaux de la CMMTQ sont ouverts du lundi au vendredi, de 8 h 30 à 12 h, et de 13 h à 16 h 30. Notre équipe répond à vos questions. |
Revue IMBPour connaître les nouvelles tendances et façons de faire, abonnez-vous gratuitement à la revue de la CMMTQ et recevez vos exemplaires par la poste. Référence pertinente pour l’industrie de la mécanique du bâtiment, IMB propose un contenu d’actualité et des dossiers complets sur une grande diversité de sujets techniques. |
© 2023 Corporation des maîtres mécaniciens en tuyauterie du Québec (CMMTQ) | Tous droits réservés. | Conception Web : ViGlob