Conservation et retrait des renseignements personnels : Principes et pratiques exemplaires
Objet
Les organisations du secteur privé et les institutions fédérales recueillent des renseignements personnels sur les citoyens, les employés, les clients et les clients éventuels. Ces renseignements peuvent se présenter sous forme physique ou électronique. Une fois que ces renseignements ont été recueillis, les organisations et les institutions doivent faire des choix éclairés quant à la période durant laquelle elles doivent les conserver, ainsi que quand et comment elles doivent procéder à leur retrait.
À une époque où les organisations et les institutions adhèrent de plus en plus au courant des « données massives », la pression les incitant à amasser d’énormes quantités de renseignements personnels indéfiniment pour des raisons non encore déterminées se fait plus forte que jamais. La capacité et le désir de conserver de très importantes quantités de renseignements personnels accroissent les risques d’éventuelles atteintes à la protection des renseignements personnels et les conséquences susceptibles d’en découler.
Le cinquième principe de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) prévoit ce qui suit : « On devrait détruire, effacer ou dépersonnaliser les renseignements personnels dont on n’a plus besoin aux fins précisées. Les organisations doivent élaborer des lignes directrices et appliquer des procédures régissant la destruction des renseignements personnelsNote de bas de page 1. » En outre, le paragraphe 4.7.5 prévoit qu’au moment du retrait ou de la destruction des renseignements personnels, on doit veiller à empêcher les personnes non autorisées d’y avoir accès.Note de bas de page 2
En ce qui concerne les institutions fédérales, l’article 6 de la Loi sur la protection des renseignements personnels prévoit ce qui suit : « Les renseignements personnels utilisés par une institution fédérale à des fins administratives doivent être conservés après usage par l’institution pendant une période, déterminée par règlement, suffisamment longue pour permettre à l’individu qu’ils concernent d’exercer son droit d’accès à ces renseignements. » De surcroît, une institution « procède au retrait des renseignements personnels qui relèvent d’elle conformément aux règlements et aux instructions ou directives applicables du ministre désigné ».
Le Commissariat à la protection de la vie privée du Canada (le Commissariat) a élaboré les présentes lignes directrices pour aider les organisations du secteur privé à élaborer et à mettre en œuvre des pratiques éclairées en matière de conservation et de retrait relativement à la manipulation des renseignements personnels.
Nous invitons les institutions fédérales à adapter ces lignes directrices en y apportant les rectifications qui s’imposent, au vu de leur situation particulièreNote de bas de page 3.
Principes généraux régissant la collecte de renseignements
Avant de recueillir quelque renseignement personnel que ce soit, une organisation doit marquer une pause et évaluer la fin déterminée par la collecte afin de déterminer si les renseignements personnels qu’elle veut recueillir sont vraiment nécessaires à sa réalisation. La fin déterminée doit être appropriée dans les circonstances.
L’organisation doit s’abstenir de recueillir plus de renseignements personnels que nécessaire à la réalisation de la fin déterminée. En outre, une fois que la fin pour laquelle l’information a été recueillie a été réalisée, il faut procéder au retrait des renseignements personnels, à moins qu’il ne soit par ailleurs nécessaire de les conserver, en vertu de la loi.
Les présentes lignes directrices visent à aider les organisations au chapitre de la conservation et du retrait responsable des renseignements personnels.
Délais de conservation
Une fin expressément définie constitue donc souvent un indicateur clair de la période pendant laquelle ces renseignements doivent être conservés. Il n’existe aucun « modèle unique » en matière de délai de conservation. Certaines organisations sont assujetties à des exigences législatives qui les obligent à conserver certains renseignements pendant un délai précis. Dans d’autres cas, il se peut qu’il n’existe aucune exigence législative et qu’il incombe à l’organisation de décider du délai de conservation approprié.
Au moment de déterminer ce qui constitue un délai de conservation approprié et si le moment est venu de procéder au retrait de renseignements personnels, toute organisation doit tenir compte des aspects suivants :
- Il est généralement utile de se rappeler la fin pour laquelle les renseignements personnels ont été recueillis afin de déterminer pendant combien de temps ils devraient être conservés.
- Si les renseignements personnels ont servi à prendre une décision au sujet d’une personne, ils doivent être conservés pendant un délai raisonnable par la suite, de sorte que cette personne puisse y avoir accès afin de comprendre les fondements de la décision et, éventuellement, de la contester.
- Si le fait de conserver les renseignements personnels plus longtemps risque de causer un préjudice à la personne concernée, voire d’augmenter le risque d’une éventuelle atteinte à la sécurité des renseignements personnels et l’exposition à une telle atteinte, l’organisation doit envisager la possibilité de procéder à leur retrait de manière sécuritaire.
Retrait en toute sécurité des renseignements personnels
Lorsque des renseignements personnels ont été confiés à une organisation, celle-ci ne peut simplement se contenter de les mettre à la poubelle lorsqu’elle n’en a plus besoin.
Lorsqu’une organisation envisage de déménager ou de mettre un terme à ses activités, elle doit protéger les renseignements personnels de manière sécuritaire ou procéder à leur retrait en toute sécurité, conformément à ce que prévoient les exigences applicables en matière de conservation.
Il existe un certain nombre de façons généralement appropriées qui permettent aux organisations de procéder comme il se doit au retrait des renseignements personnels, selon la forme sous laquelle ceux-ci sont conservés. L’objectif consiste à détruire irrémédiablement le support sur lequel sont stockés les renseignements personnels, de sorte qu’il soit impossible de reconstituer ces renseignements personnels de quelque façon que ce soit. Lorsqu’elle entreprend un processus de retrait de renseignements personnels, une organisation doit également détruire toutes les copies ainsi que tous les fichiers de sauvegarde.
Types de support de stockage de renseignements personnels
Les renseignements sont principalement stockés sur deux types de supports :
- Copie papier : représentations physiques des données, p. ex. sous forme d’imprimés et de rubans d’imprimante. Sont notamment visés les notes, les notes de service, les messages, la correspondance, les relevés de transaction et les rapports.
- Copie électronique: information stockée sur un support électronique, p. ex. disques dur d’ordinateur, d’imprimante ou de copieur, unités amovibles matérielles (y compris dispositifs à mémoire, disquettes et clés USB) et téléphones cellulaires ou bandes magnétiques.
Il existe plusieurs façons de détruire ou d’éliminer les renseignements personnels en toute sécurité :
- La destruction totale du support, qu’il se présente sous forme imprimée ou électronique, est un moyen qui permet de s’assurer que l’information qui y est stockée ne puisse jamais être récupérée. La destruction peut faire appel à diverses méthodes au rang desquelles figurent la désintégration, l’incinération, la pulvérisation, le déchiquetage et la fonte.
- La suppression de l’information en ayant recours à des méthodes qui sauront résister à des procédures de récupération élémentaires faisant notamment appel à des utilitaires de récupération des données et à des tentatives de reconstitution des manipulations de touche. L’une de ces méthodes consiste à « écraser » le contenu original des supports en réécrivant par-dessus, ce qu’il est possible de faire au moyen de logiciels et de dispositifs qui remplacent le contenu des supports par des données de nature non délicate.
- La démagnétisation qui consiste à exposer le support magnétique à un champ magnétique intense afin de rendre les données irrécupérables. Cette méthode peut être utilisée pour se protéger des tentatives de récupération des données utilisant des méthodes plus sophistiquées comme dans le cas d’une attaque en laboratoire faisant appel à des outils spécialisés (p. ex. de l’équipement de traitement de signaux). Il convient de souligner que l’on ne peut pas avoir recours à la démagnétisation pour purger des supports non magnétiques, comme des CD ou des DVD.
Choix de la méthode de retrait
Si la méthode de retrait choisie dépend dans une très large mesure du type de support utilisé pour stocker les renseignements personnels, l’organisation doit également tenir compte du contexte et du niveau de sensibilité de l’information. À titre d’exemple, les renseignements personnels sont-ils de nature particulièrement délicate? Est-il hautement probable que cette information ait une valeur suffisamment importante pour qu’une personne soit prête à se donner énormément de mal et à avoir recours à des outils spécialisés pour la récupérer?
Il ne suffit toutefois pas d’évaluer le degré de sensibilité de l’information; il faut aussi déterminer si le support demeurera entre les mains de l’organisation. Si le support doit cesser d’être entre les mains de l’organisation et être éventuellement réutilisé par autrui, il faut avoir recours à une méthode robuste de retrait. Si le support ne sera pas réutilisé, la destruction est alors la meilleure option.
Si votre organisation doit procéder au retrait de dispositifs et d’appareils électroniques, désignez une personne qui sera responsable de prendre les mesures nécessaires en vue de la destruction appropriée des données et demandez aux employés de lui faire parvenir tous les dispositifs et appareils électroniques visés.
Pour toute information supplémentaire concernant les méthodes de retrait, nous invitons les organisations du secteur privé à consulter « NIST Guidelines for Media Sanitization » [document externe au Gouvernement du Canada et disponible en anglais uniquement]. Les institutions publiques fédérales, quant à elles, devraient se référer aux lignes directrices relatives à la sécurité des TI du Centre de la sécurité des télécommunications Canada intitulé « Effacement et déclassification des supports d'information électroniques ».
Recours à une tierce partie
Une organisation doit évaluer attentivement les risques et les avantages respectifs de la destruction des renseignements personnels de nature délicate sur place et hors site. Si une organisation ne dispose pas des outils appropriés pour détruire sur place, en toute sécurité, les renseignements de nature délicate, elle peut envisager d’avoir recours au service d’un entrepreneur tiers. Dans certains cas, le grand volume de renseignements dont il convient d’assurer le retrait peut motiver le recours à une entreprise spécialisée dans la destruction des données.
Lorsqu’elle envisage d’avoir recours aux services d’une tierce partie pour procéder au retrait de renseignements personnels, une organisation doit tenir compte du caractère délicat de ces derniers et prendre les mesures appropriées pour gérer les risques en conséquence. Certaines catégories de renseignements seront généralement considérées comme sensibles en raison des risques particuliers pour les personnes qui sont associés à la collecte, à l’utilisation ou à la communication de ces renseignements. Cela comprend notamment les renseignements sur la santé, les finances, les origines ethniques et raciales, les opinions politiques, la vie sexuelle ou l’orientation sexuelle et les croyances religieuses ou philosophiques, ainsi que les données génétiques et biométriques.
L’organisation doit s’assurer que l’entrepreneur tiers retenu dispose de compétences vérifiables et qu’il est en mesure de garantir à la fois le transfert en toute sécurité des dossiers des bureaux de l’organisation à ses propres installations de destruction et le recours à une méthode de destruction sécuritaire adaptée au niveau de sensibilité du support et des renseignements qu’il contient.
Lorsqu’une organisation décide de confier un mandat à un tiers, elle doit garder à l’esprit que la responsabilité des renseignements visés par le retrait continue de lui incomber. Voici quelques pratiques exemplaires en ce qui a trait aux rapports avec les tierces parties :
- Insertion de clauses de protection des renseignements personnels dans les contrats afin de veiller à ce que les tierces parties (ainsi que tous les sous-traitants éventuels) auxquelles les renseignements sont transférés aux fins de traitement offrent le même niveau de protection prévu, en vertu de la LPRPDE, que celui qu’offre l’organisation.
- Insertion de clauses de surveillance et de vérification pour assurer un suivi des dossiers et un contrôle de la qualité.
Synthèse : Élaboration de politiques et de procédures internes
Il est essentiel d’élaborer des politiques et des procédures internes rédigées dans un langage simple qui fixent des calendriers de conservation et de retrait clairs – y compris au chapitre des délais de conservation minimum et maximum des divers types de renseignements personnels détenus. Les politiques internes devraient couvrir l’ensemble du cycle de vie des renseignements personnels détenus par l’organisation.
Dans l’établissement des politiques et des procédures, une organisation doit tenir compte de la liste de vérification suivante :
- Les renseignements détenus font-ils l’objet d’un examen périodique afin de déterminer si la fin visée par la collecte a été respectée? Si oui, à quelle fréquence?
- Existe-t-il un inventaire des renseignements personnels conservés, à quelles fins et pendant combien de temps?
- L’information existe-t-elle en copies multiples? Existe-t-il des copies de sauvegarde? Si tel est le cas, où les copies et les copies de sauvegarde sont-elles conservées?
- Un délai de conservation minimum précis est-il prévu par la loi?
- Quand l’organisation devrait-elle procéder au retrait des renseignements personnels?
- Comment l’organisation devrait-elle procéder au retrait des renseignements personnels, des copies et des copies de secours?
- Quelles mesures devraient être prises pour veiller à ce que l’équipement ou les dispositifs servant au stockage des renseignements personnels soient convenablement détruits ou aseptisés?
- Qui est la personne chargée d’établir une politique en matière de conservation et de retrait?
- S’est-on doté d’un processus de gouvernance pour assurer le suivi des renseignements personnels tout au long de leur cycle de vie?
- Le personnel sait-il comment s’y prendre pour bien manipuler les renseignements personnels et en assurer le retrait? Dispose-t-il des connaissances nécessaires pour ce faire?
- Dispose-t-on d’une zone sécuritaire désignée pour la destruction des documents?
- Les renseignements personnels sont-ils conservés à part des autres renseignements, dans un endroit sécuritaire à accès restreint en attendant d’être détruits?
- Si l’on a confié à une tierce partie ou à un sous-traitant le mandat de procéder au retrait :
- S’est-on doté d’un mécanisme de surveillance de l’élimination ou du retrait par une tierce partie?
- S’est-on entendu, avec la tierce partie, sur une procédure de retrait des documents?
- S’est-on doté d’un processus de vérifications ponctuelles périodiques?
Pour obtenir de plus amples renseignements et des conseils sur les pratiques en matière de conservation et de retrait, veuillez consulter les sources suivantes :
NIST Guidelines for Media Sanitization
Effacement et déclassification des supports d'information électroniques
Un programme de gestion de la protection de la vie privée : la clé de la responsabilité
Protéger les renseignements personnels : Un outil d’auto-évaluation à l’intention des organisations
Conclusions et recommandation pertinentes découlant des vérifications du Commissariat, dont les suivantes :
- Bureau en gros
- Pratiques relatives au retrait des renseignements personnels de certaines institutions fédérales
- Date de modification :