Lun. au mer., 10h-16h, H de l'Est
1.855.281.5499 (sans frais)

Vos obligations en matière de sauvegarde et de destruction de renseignements personnels

Data & Relationship ManagementComputers, Servers & NetworksDocument ManagementCloud Computing

Imran et EloisePar: Imran Ahmad et Eloïse Gagné

Dans notre précédent article, nous avons abordé de manière sommaire les obligations des organismes à but non lucratif relativement à la collecte et à l’utilisation des renseignements personnels. Nous avons aussi survolé la question de la sauvegarde de l’information en précisant que vous avez l’obligation de maintenir vos dossiers à jour et d’en assurer la sécurité. Mais qu'est-ce que cela implique dans les faits ? Pour répondre à cette question, nous étudierons les principes que prévoit la Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi ») et qui s’appliquent sur le plan fédéral en matière de sauvegarde et de destruction de l’information.

La sauvegarde

Règles générales

Le principe 4.7 de l’Annexe 1 de la Loi est clair : « Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. » Cela signifie qu’une entité qui recueille des renseignements personnels doit les protéger contre la perte, le vol, la consultation, la communication, la copie, l’utilisation ou la modification non utilisée.

À titre d’exemple, le principe 4.7.3. de l’Annexe 1 précise que les méthodes de protection doivent comprendre :

a) des moyens matériels, par exemple le verrouillage des classeurs et la restriction de l’accès aux bureaux ;

b) des mesures administratives, par exemple des autorisations sécuritaires et un accès sélectif ; et

c) des mesures techniques, par exemple l’usage de mots de passe et du chiffrement.

En plus de ces mécanismes, il va sans dire que seules les personnes autorisées devraient avoir accès aux renseignements personnels détenus, ce qui explique pourquoi il est d’autant plus important d’adopter et de mettre en place des procédures claires. Les entités devraient en tout temps être capables de répondre aux questions suivantes : en cas de fuite d’information, pourrons-nous rapidement retracer la source ? Qu’est-ce qui explique que nous soyons en défaut face à nos obligations en matière de protection de la vie privée ? Qui est la personne responsable de la protection des informations ?

Le cas de l’infonuagique

Pour satisfaire à ces obligations de sauvegarde, il est de plus en plus fréquent d’avoir recours à la sauvegarde infonuagique. Il est question, ici, de l’utilisation de logiciels et de matériels gérés par des tiers afin de stocker des fichiers en ligne ou de permettre l’utilisation du courriel. Lorsque les entreprises utilisent ce type de services, les données sont stockées dans des lieux éloignés, parfois même à l’étranger (ce qui est permis par la loi, sous certaines réserves). Il peut donc être facile de perdre le contrôle de la sauvegarde des informations ou encore de ne plus être capable de garantir que les données ne seront pas partagées à des fins non consenties. Toutefois, une entité qui a recours à ces services demeure responsable de la protection des renseignements personnels recueillis.

Un organisme peut limiter sa responsabilité à l’aide d’un contrat précisant que le fournisseur de services demeure responsable de la protection des renseignements. Des obligations de confidentialité devraient aussi être prévues. Cependant, il y a lieu de bien lire les termes de tout contrat de façon à garantir que des mesures adéquates sont mises en place afin d’assurer que les systèmes des tiers sont sécuritaires. Cela est d’autant plus vrai lorsque les tiers ou bien leurs serveurs se trouvent à l’étranger. Dans ces cas, d’autres lois en matière de protection des renseignements personnels pourraient s’appliquer. Certains pays n’ont pas des lois aussi contraignantes que le Canada. Il vaut donc mieux s’armer de prudence. 

De plus, les entités devraient choisir les informations qu’elles sauvegardent sur le « nuage ». Il n’est peut-être pas nécessaire de tout stocker sur cette plateforme. En fonction de la quantité d’information à gérer, il y a aussi lieu d’évaluer si l’information doit être cryptée ou dépersonnalisée (donc stockée sans qu’il soit possible de l’associer à des individus). Qui plus est, l’entité devrait aussi vérifier s’il n’est pas possible de sauvegarder l’information à différents endroits ou sur diverses plateformes.

Dans tous les cas, avant d’avoir recours à la sauvegarde infonuagique, il est essentiel que vos clients consentent à ce type de sauvegarde, puisqu’il s’agit ici de divulgation à un tiers. Assurez-vous que ce consentement soit octroyé avant de transmettre l’information à vos fournisseurs de services. Par ailleurs, au moment de l’obtention du consentement à la collecte, il sera important de divulguer le fait que l’information sera stockée à l’étranger.

Finalement, et cela ne sera jamais assez répété, assurez-vous de garder le contrôle sur les informations transmises. Vous devez en tout temps avoir accès aux données afin de tenir vos dossiers à jour et de pouvoir potentiellement les détruire. Le fournisseur de services ne doit faire qu’une utilisation limitée des renseignements que vous lui avez transmis, ce qui signifie que son utilisation doit être conforme à celle à laquelle les individus ont consenti. Les tiers ne doivent pas pouvoir divulguer l’information à d’autres personnes d’une manière non prévue.

Vous devriez en tout temps pouvoir récupérer l’information transmise. Ces tiers doivent prendre les mesures appropriées pour détruire l’information d’une manière conforme.

La destruction

La quantité d’information que nous pouvons sauvegarder est infinie. Toutefois, comme le mentionnait notre article précédent, la Loi indique que seuls les renseignements pertinents à l’utilisation envisagée doivent être sauvegardés. Vous pourriez, par exemple, mettre en place des procédures visant à détruire l’information liée à des comptes qui n’ont pas été utilisés depuis un certain temps ou qui ne sont plus à jour. Dans ce contexte, comment procéder à une destruction appropriée ?

Le cinquième principe de l’Annexe 1 énonce que : « l’on devrait détruire, effacer ou dépersonnaliser les renseignements personnels dont on n’a plus besoin aux fins précisées. Les organisations doivent élaborer des lignes directrices et appliquer des procédures régissant la destruction des renseignements personnels. »

Il est donc important que des procédures claires soient en places afin que l’information ne soit pas détruite de manière aléatoire. Cela exige aussi que les dossiers de l’entreprise soient aussi à jour que possible, avec toutes les ressources que cela nécessite.

Au moment de la destruction, le Commissariat à la protection de la vie privée (le « Commissariat ») rappelle qu’il ne suffit pas de mettre des dossiers à la poubelle ou à la corbeille. Ayez recours à du déchiquetage ou à d’autres moyens qui permettent la destruction complète de l’information. Le support sur lequel sont stockés les renseignements personnels (par exemple des pochettes avec des étiquettes) doit aussi être entièrement détruit.

Dans le cas de données stockées sur un support informatique, on note, à titre d’exemple, que le recours à l’écrasement du contenu original ou la démagnétisation, le cas échéant, sont des moyens acceptables de destruction de l’information. Le Commissariat suggère de se référer aux NIST Guidelines for Media Sanitization afin d’obtenir de plus amples renseignements sur les méthodes de destruction appropriées. De plus, toutes les copies et tous les doubles devraient être supprimés.

On peut aussi avoir recours à des tierces parties pour la destruction si l’on ne dispose pas des ressources nécessaires. Pour ce faire, il faut faire affaire avec des professionnels employant des méthodes appropriées. Comme pour la sauvegarde, il est de votre responsabilité de vous assurer que ce tiers respecte ses obligations et qu’il prend toutes les mesures nécessaires pour que l’information ne soit pas divulguée et pour qu’elle soit adéquatement détruite. Assurez-vous aussi que le transfert de cette information est fait de manière sécuritaire.

En bref

À partir du moment où vous commencez à recueillir l’information, vous avez l’obligation de vous assurer que les renseignements détenus sont protégés tant qu’ils sont sous votre garde ou celle de tiers auxquels vous avez divulgué l’information. Les renseignements doivent aussi être détruits de manière sécuritaire s’ils ne sont plus nécessaires. Vos obligations peuvent ainsi être résumées comme suit :

  • Obtenez le consentement à la sauvegarde de l’information et à ce moment :
  • décrivez la manière dont les informations seront sauvegardées ;
  • divulguez à qui elles seront transmises pour la sauvegarde ;
  • si les tiers sont à l’étranger, divulguez ce fait et expliquez qu’il est possible que des lois d’autres pays puissent s’appliquer.
  • Révisez soigneusement les termes contractuels des ententes avec les tiers.
  • Que vous fassiez affaire avec des tiers ou que vous conserviez l’information sur place, mettez en place des mécanismes de protection de l’information.
  • Soyez en mesure de limiter rapidement les fuites d’informations.
  • Établissez des procédures et mécanismes appropriés pour détruire les renseignements qui ne sont plus nécessaires.
  • Utilisez des outils sécuritaires pour détruire l’information.

À propos des auteurs

Imran Ahmad est un associé en droit des affaires du bureau de Toronto de Miller Thomson. Cet article a été préparé avec l'aide d'Eloïse Gagné.