Conserver moins, c’est risquer moins. Un calendrier de conservation des données : un outil stratégique, pas seulement législatif

Mais au-delà de la conformité, cette exigence est une véritable stratégie de réduction des risques : moins de données conservées, c’est moins de vulnérabilités, moins de coûts, et davantage de contrôle.

Plus vous conservez de données, plus vous vous exposez à :

-          des coûts de litige et de preuve électronique élevés en raison du volume de preuves à traiter;

-          une surface d’attaque accrue en cas d’incident, avec potentiellement plus de personnes à notifier;

-          des sanctions réglementaires : l’absence d’encadrement est une violation en soi.

____________________________________________________________

Cas réels : brèches, amendes et réputation entachée

• Desjardins a conservé près de 3,9 millions de dossiers inactifs, certains depuis des décennies, sans procédure claire de destruction. Le Commissariat à la protection de la vie privée du Canada a conclu que cette conservation prolongée contrevenait à la Loi sur la protection des renseignements personnels et des documents électroniques (LPRPDE) et augmentait les risques d’atteinte aux renseignements personnels, comme l’a démontré la fuite massive survenue entre 2016 et 2018[1].
• Le cas de TJX (l’entreprise propriétaire de Winners et HomeSense) illustre bien les conséquences d’une conservation excessive : des numéros de permis de conduire conservés indéfiniment ont été compromis lors d’une brèche majeure, entraînant des coûts de plusieurs millions[2].
• Ashley Madison, de son côté, avait promis la suppression des données de ses utilisateurs. Or, l’enquête suivant l’incident a révélé que les profils supprimés étaient toujours conservés. Résultat : une entente de 11,2 M$ US et une atteinte durable à la réputation[3].

Ces exemples démontrent que la conservation excessive ou mal encadrée des renseignements personnels peut entraîner des conséquences graves et coûteuses : brèches de sécurité, enquêtes réglementaires, recours collectifs et atteintes à la réputation. Pour éviter ces risques, il ne suffit pas d’avoir une politique de conservation : il faut un calendrier opérationnel, appliqué et documenté.

Un calendrier efficace repose sur des fondations concrètes :

• Des délais clairs, des déclencheurs précis et des preuves de destruction;
• Des processus et outils adaptés, avec des rôles bien définis;
• Des registres et rapports démontrant que les actions ont été réalisées.

En cas de contrôle ou de litige, ce calendrier devient une défense solide.

Exigences réglementaires

Québec – Loi 25

-          Article 3.2 : obligation d’adopter une politique de gouvernance encadrant la conservation et la destruction des renseignements personnels.

-          Article 23 : obligation de détruire ou d’anonymiser les renseignements personnels une fois les fins atteintes.

-          Article 91 : possibilité d’imposer des sanctions en cas de conservation ou de destruction des renseignements personnels en contravention de la Loi 25.

Québec – Règlement sur l’anonymisation des renseignements personnels

-          L’anonymisation doit être réalisée sous supervision compétente, selon des techniques conformes aux meilleures pratiques.

-          L’organisation doit effectuer une analyse des risques de réidentification, tenir un registre détaillé du processus et réévaluer périodiquement les données anonymisées.

Canada – LPRPDE

-          Principe 5 : conserver les données uniquement pour la durée nécessaire aux fins identifiées, puis les détruire de façon sécuritaire.

-          Selon les lignes directrices du Commissariat à la protection de la vie privée du Canada sur la conservation et le retrait des renseignements personnels, les organisations doivent mettre en place des lignes directrices et des procédures claires pour encadrer la destruction des données[4].

Pour bâtir un calendrier de conservation conforme, robuste et juridiquement défendable, voici les étapes essentielles :

1. Cartographier les données
   Identifier les catégories de renseignements personnels, leurs finalités, les bases légales de traitement, les systèmes et lieux de stockage.

2. Fixer des délais précis
   Déterminer les durées de conservation selon les exigences légales (minimums obligatoires) et les besoins opérationnels (maximums justifiables).

3. Définir des déclencheurs clairs
   Notamment : fin de relation contractuelle, échéance de prescription légale, clôture de dossier, fin de projet.

4. Automatiser et journaliser les destructions
   Mettre en place des mécanismes techniques et organisationnels pour exécuter les purges, tout en conservant des journaux d’activité.

5. Prouver les actions réalisées
   Conserver des registres, rapports, captures d’écran ou attestations démontrant que les données ont été détruites ou anonymisées conformément aux règles.

Six erreurs fréquentes à éviter

1. Tout garder « au cas où » : augmente les risques sans réelle valeur.
2. Pas de déclencheurs clairs : les délais existent, mais ne sont pas appliqués.
3. Oublier les sauvegardes : les données restent dans les copies de sauvegarde
4. Pas de preuve de destruction : impossible de démontrer la conformité.
5. Promettre la suppression… sans la faire : comme Ashley Madison.
6. Multiplier les copies qui ne pourront être retracées au moment de la destruction du document primaire

En résumé, un calendrier de conservation bien conçu est un outil vivant. Il doit être mis à jour, appliqué rigoureusement et documenté. Il vous permet de réduire vos coûts, de limiter vos risques juridiques et opérationnels, et de préserver la réputation de votre organisation. On ne peut être exposé à un incident de confidentialité pour des renseignements personnels qu’on ne détient pas.

Besoin d’accompagnement pour vous conformer, opérationnaliser votre politique ou mettre en place des processus robustes? Notre équipe est là pour vous aider.