Date de publication : 11 septembre 2023Les renseignements personnels collectés par votre entreprise doivent être protégés tout au long de leur cycle de vie, de la collecte jusqu’à leur destruction.
L’année dernière, la Loi sur la protection des renseignements personnels dans le secteur privé a été modifiée afin d’y inclure de nouvelles obligations pour les personnes exploitant une entreprise. La seconde phase des obligations imposées par la Loi 25 entrera en vigueur le 22 septembre 2023. Nous vous invitons à consulter le site de la Commission d’accès à l’information du Québec pour avoir un aperçu des deux prochaines phases :
Pour vous permettre de mieux vous y préparer, la CMMTQ publiera régulièrement au cours des prochains mois des capsules informatives au sujet de la protection des renseignements personnels. |
Les renseignements personnels collectés par votre entreprise doivent être protégés tout au long de leur cycle de vie, de la collecte jusqu’à leur destruction.
Dans un article précédent, nous avons abordé la première étape : la collecte des renseignements personnels. Cet article porte sur la conservation et la destruction.
La conservation correspond à la période durant laquelle une entreprise garde des renseignements personnels, sous quelque forme que ce soit, et ce, peu importe l’utilisation active des renseignements ou non.
Pendant la période de conservation, votre entreprise doit prendre les mesures de sécurité nécessaires pour assurer la protection des renseignements personnels (ex. : restreindre les accès, utiliser l’authentification multifacteur, etc.). Ces mesures doivent être raisonnables compte tenu de la sensibilité des renseignements, de la finalité de leur utilisation, de leur quantité et de leur support.
Vous devez aussi vous assurer de la qualité des renseignements personnels en veillant à ce qu’ils soient à jour et exacts au moment où vous les utilisez.
Vous pouvez conserver les renseignements personnels uniquement pour la période pendant laquelle ils servent à l’utilité pour laquelle ils ont été collectés. Lorsque cette finalité a été accomplie, vous devez les détruire de façon sécuritaire. Il existe cependant une exception : les délais de conservation légaux.
Par exemple, on pourrait penser qu’on doit se départir de la copie de la facture une fois que le client l’a payée puisqu’elle contient des renseignements personnels. Toutefois, la loi prévoit que vous devez la conserver pendant 6 ans.
Nous vous invitons à consulter notre article Combien de temps devez-vous conserver vos documents? qui comporte un tableau des délais de conservation selon la législation et les recommandations de la CMMTQ.
La logique de la loi est telle que vous devez détenir le moins de renseignements personnels possible pendant le moins de temps possible. Cela diminue les risques et les conséquences en cas d’incident de confidentialité.
Comme mentionné précédemment, les renseignements personnels doivent être détruits lorsque leur utilité a été accomplie ou lorsque la durée de conservation requise est atteinte.
Il est recommandé de prévoir une procédure de gestion documentaire et un calendrier de conservation. Ceux-ci doivent identifier les personnes responsables et être connus par tout le personnel de l’entreprise. Par exemple : Combien de temps conserverez-vous tel ou tel document? Qui est responsable de la destruction? Comment procéderez-vous à la destruction? Que doit-on déchiqueter? Utiliserez-vous des bacs de recyclage barrés et récupérés par un fournisseur spécialisé?
La méthode de destruction doit être adaptée au support et au niveau de confidentialité des documents.
La destruction doit être définitive. Elle peut être effectuée à l’interne ou à l’externe (ex. : entreprise offrant des services de destruction sécurisée). Si vous avez recours à un prestataire de services à l’externe, vous devez vous assurer de sécuriser les documents à détruire en attendant le passage de ce fournisseur. Il est recommandé de conclure un contrat écrit avec ce dernier (voir Destruction à l’interne ou destruction par un tiers?).
La Commission d’accès à l’information fournit les exemples suivants :
Support utilisé | Exemples de méthodes de destruction |
Papier (original et toutes les copies) |
Déchiqueteuse, de préférence à découpe transversale. Si les documents sont très confidentiels : déchiqueteuse + incinération |
Médias numériques Ex. CD, DVD, carte SD, XD, etc.), clé USB, disque dur d’ordinateur |
Détruire physiquement le média (ex. : déchiqueter un CD) Formater le média pour supprimer les données Écraser les renseignements sauvegardés sur le support à l’aide d’un logiciel personnalisé |
Machines contenant des disques durs Ex. photocopieur, télécopieur, numériseur, imprimante, etc. |
Écraser les renseignements sur le disque dur Enlever et détruire le disque dur lorsque les machines sont remplacées. |
Source : Commission d’accès à l’information, 2023, Procédure de destruction
Date de publication : 25 août 2023Dans le présent article, nous aborderons plus concrètement le sujet du consentement sous l’angle de deux volets : votre clientèle et votre personnel.
L’année dernière, la Loi sur la protection des renseignements personnels dans le secteur privé a été modifiée afin d’y inclure de nouvelles obligations pour les personnes exploitant une entreprise. La seconde phase des obligations imposées par la Loi 25 entrera en vigueur le 22 septembre 2023. Nous vous invitons à consulter le site de la Commission d’accès à l’information du Québec pour avoir un aperçu des deux prochaines phases :
|
Lorsqu’un client conclut un contrat avec vous ou fait appel à vos services, il s’attend à ce que les renseignements personnels qu’il vous communique servent à l’exécution du contrat ou des travaux. Par exemple, il consent à ce que vous utilisiez son numéro de carte de crédit pour le paiement, son adresse résidentielle pour l’envoi de la facture, son numéro de téléphone pour que vous puissiez le contacter, etc.
Vous devez vous limiter aux utilisations ou aux communications des renseignements personnels auxquelles le client a donné son accord. Par exemple, si le client fournit son adresse courriel pour recevoir la facture, vous ne devez pas l’inscrire à votre infolettre. Vous ne devez pas non plus transmettre ses renseignements à un tiers qui lui enverra des sollicitations ou de la publicité.
À son embauche, un employé fournit de multiples renseignements personnels à des fins de paie, d’obligation fiscale, de régime d’assurance collective, de régime de retraite, de santé et de sécurité au travail, etc. Lorsqu’il remplit un formulaire d’adhésion pour souscrire à une assurance collective, il comprend que ces renseignements serviront à son dossier d’assurance et qu’ils seront communiqués à l’assureur.
Cela peut toutefois être moins évident lorsqu’on lui demande, par exemple, une copie de son permis de conduire. Il devra y consentir et en connaître la nécessité et l’utilisation. Alors qu’il pense qu’il s’agit simplement de vérifier s’il détient un permis de conduire valide avant de lui permettre de conduire un véhicule de l’entreprise, cette demande pourrait plutôt provenir de votre assureur avant d’assurer votre flotte de véhicules.
Le simple fait qu’à un moment ou à un autre, les employés vous aient fourni une copie de leur permis de conduire et leur date de naissance ne suffit pas pour être considéré comme un consentement valable. Il faut que leur consentement soit manifeste, libre, éclairé et donné à des fins/utilités spécifiques. Ainsi, vos employés doivent avoir spécifiquement consenti à ce que les renseignements soient envoyés à des clients, un assureur, etc. pour telle ou telle raison/utilisation.
Afin de faciliter la prise de consentement auprès de vos employés, il est utile de regrouper en un seul formulaire les renseignements personnels, les fins pour lesquels ils sont recueillis et la signature de vos employés.
Date de publication : 11 août 2023Dans le cadre de la Loi sur la protection des renseignements personnels dans le secteur privé, les entreprises devront obligatoirement, d’ici le 22 septembre 2023, évaluer les facteurs...
L’année dernière, la Loi sur la protection des renseignements personnels dans le secteur privé a été modifiée afin d’y inclure de nouvelles obligations pour les personnes exploitant une entreprise. La seconde phase des obligations imposées par la Loi 25 entrera en vigueur le 22 septembre 2023. Nous vous invitons à consulter le site de la Commission d’accès à l’information du Québec pour avoir un aperçu des deux prochaines phases :
|
D’ici le 22 septembre 2023, les entreprises devront obligatoirement évaluer les facteurs relatifs à la vie privée dans les cas suivants :
(passage à l’infonuagique, modernisation d’un système de paie accessible par les employés sur une plateforme en ligne, utilisation d’un système de géolocalisation ou implantation d’un système/logiciel de gestion des relations avec la clientèle)
(communication de renseignements personnels concernant les clients ou les employés à une entreprise ontarienne en prévision d’une fusion, recours à des fournisseurs, consultants ou professionnels situés à l’extérieur du Québec impliquant la communication ou la conservation de renseignements personnels, comme des comptables, consultants en ressources humaines ou en informatique, gestionnaires de paie, compagnies d’entreposage de boîtes d’archives, centres d’appels, etc., hébergement de renseignements personnels sur des serveurs situés à l’extérieur du Québec)
Note : Certains fournisseurs de stockage infonuagique enregistrent les renseignements dans des centres de données situés au Québec (ex. : Google, Microsoft Azure, Amazon Web Services) tandis que d’autres les stockent à l’extérieur du Québec (ex. : Dropbox). Il s’agit d’un aspect à vérifier lors du choix de votre fournisseur.
Vous devez savoir où seront situées les données et qui seront les gens qui pourront accéder aux renseignements.
Il n’est plus possible de se lancer dans un projet technologique sans s’interroger sur ses répercussions sur la vie privée et la protection des renseignements personnels. L’entreprise doit prendre des décisions réfléchies en adoptant une approche préventive et sécuritaire.
Il est important de retenir que cette évaluation doit être proportionnée à la sensibilité des renseignements concernés (ex. : âge, date de naissance, numéro d’assurance sociale, numéro de cartes de crédit), à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support. Ainsi, plus les renseignements sont sensibles et nombreux, plus l’évaluation devra être approfondie et rigoureuse.
Selon la Commission d’accès à l’information, l’évaluation des facteurs relatifs à la vie privée est une démarche préventive visant une meilleure protection des renseignements personnels et un plus grand respect de la vie privée des individus.
Concrètement, il s’agit d’une analyse d’impact qui tient compte de tous les facteurs ayant un effet positif ou négatif sur le respect de la vie privée des personnes concernées, par exemple :
Ce processus permet à l’entreprise de respecter ses obligations et d’éviter les problèmes pouvant découler d’une gestion inadéquate des renseignements. Pensons par exemple aux scandales et aux poursuites résultant de vols de données et d’incidents de confidentialité au cours des dernières années.
L’évaluation doit être amorcée au début des projets, avant les communications hors Québec. Pour être efficace, elle doit évoluer en continu et être revue au besoin pendant tout le projet.
Pour les projets de grande envergure, vous pouvez faire une évaluation préliminaire, plus courte et moins exhaustive, puis une évaluation complète. Il peut être intéressant de procéder afin d’éviter d’engager des frais pour des solutions qui pourraient s’avérer non conformes ou engendrer des enjeux disproportionnés pour les personnes par rapport à vos objectifs d’affaires.
Le responsable de la protection des renseignements personnels doit être consulté dès le début du projet. Il pourra ainsi suggérer des mesures pour protéger les renseignements personnels. Il est aussi pertinent d’impliquer des personnes au courant des bonnes pratiques en matière de respect de la vie privée, de protection des renseignements personnels et de sécurité de l’information.
La Commission d’accès à l’information, responsable de l’application de la Loi, a préparé un guide d’accompagnement intitulé Réaliser une évaluation des facteurs relatifs à la vie privée.
Il est important de noter que ce guide a été conçu avant que l’évaluation des facteurs relatifs à la vie privée ne devienne obligatoire et qu’il sera mis à jour. Entretemps, il vous permet de mieux comprendre la démarche et de vous inspirer de celle qui est proposée pour savoir comment procéder lors de vos évaluations. Voici un résumé des étapes recommandées par la Commission :
Nous joindreSitués à Montréal, les bureaux de la CMMTQ sont ouverts du lundi au vendredi, de 8 h 30 à 12 h, et de 13 h à 16 h 30. Notre équipe répond à vos questions. |
Revue IMBPour connaître les nouvelles tendances et façons de faire, abonnez-vous gratuitement à la revue de la CMMTQ et recevez vos exemplaires par la poste. Référence pertinente pour l’industrie de la mécanique du bâtiment, IMB propose un contenu d’actualité et des dossiers complets sur une grande diversité de sujets techniques. |
© 2023 Corporation des maîtres mécaniciens en tuyauterie du Québec (CMMTQ) | Tous droits réservés. | Conception Web : ViGlob
Nous utilisons les cookies afin de fournir les services et fonctionnalités proposés sur notre site et afin d’améliorer l’expérience de nos utilisateurs. Parmi ces cookies, ceux qui sont jugés nécessaires au fonctionnement du site sont stockés sur votre ordinateur ou sur tout autre appareil.
Nous utilisons aussi des cookies tiers qui nous permettent de mieux comprendre l’utilisation que vous faites de notre site web. Ces cookies seront stockés sur votre appareil seulement si vous y consentez en cliquant sur «J’accepte ».
Vous pouvez toujours les désactiver ultérieurement mais votre expérience de navigation sur notre site pourrait s’en trouver affectée.