Module 4 · Guide pratique · Formation Gouvernance PRP
Conservation, destruction et gestion des accès

Combien de temps conserver les données
et comment les détruire?

Chaque donnée conservée au-delà de sa finalité devient un risque inutile. Ce guide explique comment construire une table de durées justifiées, une procédure de destruction sécurisée, et une gestion des accès selon le principe du moindre privilège.

Construire ma gouvernance PRP Obtenir mon Analyse gouvernance PRP →

Les PME québécoises accumulent silencieusement des renseignements personnels pendant des années — parfois des décennies — sans politique de conservation claire. Chaque incident frappe l'ensemble de cette base, incluant les données qui n'auraient plus dû être là. Ce guide présente comment construire trois livrables concrets : une table de durées justifiées, une procédure de destruction sécurisée, et un schéma de gestion des accès.

🔰 Pas encore familier avec le cycle de vie d'un renseignement personnel? Le guide Gérer le cycle de vie des données (formation Initiation PRP) couvre les bases : phases du cycle, vocabulaire de la conservation, notions de durée et de destruction. À lire d'abord si vous découvrez la matière.

Ce que ça signifie concrètement pour un dirigeant

Si vous gardez tout « au cas où » sans politique de conservation :

  • chaque année, votre base accumulée devient un passif juridique grandissant ;
  • un incident de sécurité frappe tout le volume historique, pas seulement les clients actifs ;
  • vous ne pouvez pas justifier la conservation — donc elle est non conforme par défaut.

L'absence de destruction est un risque silencieux — il grandit tant qu'il n'est pas structuré.

Les trois livrables de ce module

Table de durées — durées de conservation par catégorie de renseignements, avec justification.

Procédure de destruction sécurisée — méthodes par support (papier, numérique), responsabilités, traçabilité.

Schéma d'accès — qui peut voir quoi, selon le principe du moindre privilège.

Comment définir les durées de conservation

Pour chaque catégorie de renseignements, la durée doit être justifiée par une finalité active. Quatre sources de justification possibles :

  • Durée du contrat / relation — tant que le client est actif.
  • Obligation fiscale — 6 à 7 ans pour les pièces comptables (Revenu Québec / ARC).
  • Garantie légale ou contractuelle — durée de la garantie sur un produit ou service.
  • Obligation sectorielle — ex. dossiers médicaux, dossiers d'employés (durées spécifiques).

Tableau de durées suggérées (à adapter à votre PME — les obligations sectorielles peuvent prolonger ces durées) :

Catégorie Durée suggérée Justification principale
Clients actifs Durée de la relation + garantie applicable Relation contractuelle active
Anciens clients (inactifs) 3 à 7 ans après la dernière transaction Garantie, prescription civile, obligations fiscales
Prospects / marketing Tant que le consentement reste actif Loi 25 art. 12 — finalité communiquée + consentement révocable
CV de candidats non retenus 6 à 24 mois (à informer dans l'avis de collecte) Fenêtre de recrutement raisonnable + finalité limitée
Dossiers employés actuels Durée de l'emploi Relation d'emploi en cours — Loi sur les normes du travail
Anciens employés 3 à 5 ans après le départ (selon documents) Prescription civile + obligations fiscales sur la paie
Factures et pièces comptables 6 à 7 ans Loi sur la fiscalité (Revenu Québec et ARC)
Sous-traitants / fournisseurs Durée du contrat + 7 ans Obligations fiscales + responsabilité contractuelle
Vidéosurveillance 30 à 90 jours par défaut Finalité de sécurité — limiter à l'utile, prolonger seulement si incident en cours
Journaux d'accès informatiques 12 à 24 mois Détection d'incidents + investigation rétrospective
Plaintes et incidents PRP 5 ans minimum Loi 25 art. 3.8 — registre des incidents tenu et conservé

Pour les secteurs réglementés (santé, services financiers, juridique, éducation, services à l'enfance), des durées spécifiques s'appliquent et prévalent sur ces suggestions générales.

Sensibilité des renseignements personnels

La durée de conservation et les mesures de sécurité dépendent directement du niveau de sensibilité du renseignement. La Loi 25 (art. 12) définit un renseignement comme sensible lorsqu'il suscite un haut degré d'attente raisonnable en matière de vie privée — par exemple en raison de sa nature médicale, biométrique ou intime, ou du contexte de son utilisation.

Niveau Exemples concrets Implications
Ordinaire — coordonnées de contact Nom, courriel professionnel, téléphone d'entreprise, fonction, employeur Sécurité standard (mot de passe fort, sauvegardes), durée alignée sur la finalité
Personnel non sensible Adresse résidentielle, téléphone personnel, date de naissance, photo Accès restreint au besoin opérationnel, chiffrement recommandé au repos
Sensible — Loi 25 art. 12 Numéro d'assurance sociale (NAS), données médicales, biométriques, financières détaillées, orientation sexuelle, opinions politiques, croyances religieuses, origine ethnique, affiliation syndicale Consentement explicite, durée la plus courte raisonnable, chiffrement obligatoire, traçabilité des accès, EFVP recommandée
Mineurs — Loi 25 art. 8.1 et 9.1 Tout renseignement concernant une personne mineure (moins de 14 ans : consentement parental obligatoire ; 14 à 17 ans : encadrement renforcé) Information adaptée à l'âge, consentement parental selon l'âge, durée la plus courte possible, suppression à la majorité si finalité épuisée

En pratique : avant de définir une durée, classez chaque catégorie selon son niveau de sensibilité — plus le niveau est élevé, plus la durée doit être justifiée et courte, et plus les mesures de sécurité (chiffrement, accès, traçabilité) doivent être renforcées.

🎯 Votre politique de conservation est-elle structurée?

  • Avez-vous une table de durées documentée par catégorie?
  • Chaque durée est-elle justifiée (légale, contractuelle, opérationnelle)?
  • La destruction a-t-elle une méthode définie par support?
  • Les accès aux données sont-ils limités selon le rôle?

Si non à une seule question, votre organisation accumule des données sans protection formelle — exposition silencieuse à chaque jour qui passe.

Comment mettre en place la politique de conservation — démarche pas-à-pas

Une politique de conservation se construit en s'appuyant sur le registre des activités de traitement. Pas besoin d'un projet de six mois — la démarche structurée prend quelques heures de réflexion ciblées.

  1. Reprendre les catégories du registre. Chaque ligne du registre des traitements correspond à une ou plusieurs catégories de renseignements à classer dans la table.
  2. Classer chaque catégorie par niveau de sensibilité (ordinaire, personnel non sensible, sensible art. 12, mineurs art. 8.1-9.1) — la sensibilité conditionne durée et sécurité.
  3. Identifier la source de justification pour chaque durée — finalité active, obligation légale (ARC, normes du travail), garantie contractuelle, obligation sectorielle.
  4. Documenter la durée et sa justification dans la table — pas « selon les besoins », mais un délai précis avec sa base.
  5. Définir la méthode de destruction par support — papier (déchiquetage croisé), fichier numérique (suppression sécurisée + vidage de la corbeille + purge des sauvegardes), base de données (purge + journal d'audit).
  6. Mettre en place la traçabilité. Chaque destruction est consignée (date, catégorie, volume approximatif, personne responsable) — la destruction non tracée n'est pas démontrable.
  7. Planifier les purges régulières. Cadence trimestrielle ou semestrielle selon le volume. Responsabilité confiée au RPRP ou délégué.
  8. Réviser annuellement avec la direction. Mise à jour à chaque nouveau traitement ajouté au registre.

Template — Politique de conservation et de destruction commentée

Ce template peut être annexé à la politique interne PRP ou tenu comme document distinct référencé par celle-ci.

Section 1 — Objet et portée

La présente politique encadre la durée de conservation et la destruction des renseignements personnels traités par [Nom de l'organisation], conformément aux articles 12 et 23 de la Loi 25.

💡 À adapter : nommer explicitement les deux articles légaux applicables.

Section 2 — Principes directeurs

— Aucun renseignement n'est conservé au-delà du nécessaire à la finalité ou à l'obligation légale qui le justifie.
— Plus un renseignement est sensible (art. 12), plus la durée est courte et les mesures de sécurité renforcées.
— Toute durée est documentée et justifiée; aucun « selon les besoins » accepté.
— La destruction est sécurisée, tracée et adaptée au support.

💡 À adapter : ajouter les principes propres à votre éthique (minimisation par défaut, primauté du droit des personnes).

Section 3 — Table des durées de conservation

[Annexe — voir le tableau de durées suggérées par catégorie présenté plus haut dans ce guide, adapté à votre situation]

Chaque ligne précise : catégorie de renseignements · niveau de sensibilité · durée de conservation · source de la justification · responsable de la surveillance.

💡 À adapter : la table est annexée et peut évoluer indépendamment de la politique. Dater chaque révision.

Section 4 — Méthodes de destruction par support

Papier : déchiquetage croisé sur place, ou collecte par prestataire de destruction sécurisée certifié avec attestation.
Fichiers numériques : suppression du système actif + suppression de la corbeille + purge des sauvegardes locales à la prochaine rotation.
Bases de données : commande SQL de suppression + journal d'audit + purge des sauvegardes au cycle suivant.
Supports mobiles (téléphones, clés USB) : effacement avec outil de sanitization certifié, ou destruction physique.
Sauvegardes hors site : appliquer la même règle de purge selon la rotation prévue.

💡 À adapter : adapter aux supports réellement utilisés. Si vous utilisez un prestataire de destruction, conserver les attestations.

Section 5 — Traçabilité des destructions

Chaque opération de destruction est consignée dans un journal indiquant : date · catégorie de renseignements détruits · volume approximatif (nombre de fichiers, de dossiers, de lignes) · méthode utilisée · personne responsable.

💡 À adapter : le journal peut être un simple tableur ou un module dans un outil de gestion documentaire. L'essentiel est qu'il soit régulièrement alimenté.

Section 6 — Cadence et responsable

Le RPRP (ou délégué) effectue une revue de la table et déclenche les purges selon la cadence définie : [trimestrielle / semestrielle / annuelle selon le volume]. Les exceptions (rétention prolongée pour litige, enquête en cours) sont documentées avec leur justification.

💡 À adapter : nommer le responsable et fixer une date au calendrier de l'organisation pour éviter le glissement.

Section 7 — Révision

La présente politique et la table annexée sont révisées annuellement par le RPRP avec la direction. Mise à jour déclenchée également par : nouveau traitement inscrit au registre, changement de support, changement d'obligation légale ou sectorielle.

💡 À adapter : conserver l'historique des versions pour démontrer l'évolution de la diligence.

Conservation floue vs conservation structurée

❌ Conservation floue

  • « On garde aussi longtemps que nécessaire »
  • Aucune justification documentée
  • Destruction improvisée ou inexistante
  • Accès ouverts par défaut
  • Accumulation silencieuse année après année

✅ Conservation structurée

  • Table de durées précises par catégorie
  • Chaque durée justifiée par une raison claire
  • Procédure de destruction sécurisée documentée
  • Accès limités au moindre privilège
  • Purge régulière planifiée et traçable

Méthodes de destruction sécurisée

Jeter dans la poubelle ordinaire ou simplement supprimer un fichier ne constitue pas une destruction sécurisée. Par support :

  • Papier — déchiquetage sécurisé (déchiqueteuse certifiée ou service externe) ou incinération.
  • Fichiers numériques — effacement cryptographique ou suppression avec outils de secure erase.
  • Supports physiques (disques durs, USB) — destruction physique ou réinitialisation sécurisée avant mise au rebut.
  • Sauvegardes — coordonner avec la politique de conservation — sinon les données « détruites » persistent dans les backups.

Une procédure documentée précise : qui fait la destruction, à quelle fréquence, avec quelle méthode, et comment c'est consigné (registre de destruction).

Gestion des accès — principe du moindre privilège

Chaque personne (employé, sous-traitant) ne devrait avoir accès qu'aux renseignements strictement nécessaires à sa fonction. En pratique :

  • Inventaire des accès — qui a accès à quoi aujourd'hui?
  • Accès par rôle — pas par personne, pour faciliter les changements de fonction.
  • Révision régulière — annuelle au minimum, et à chaque changement de rôle ou départ.
  • Accès des sous-traitants — limités, documentés dans les ententes (DPA).

Erreurs fréquentes à éviter

  • Durée vague (« aussi longtemps que nécessaire ») — inopposable et non conforme.
  • Destruction par habitude sans procédure — jette tout d'un coup, ou jamais.
  • Accès historiques jamais révisés — ex-employés qui conservent des accès actifs.
  • Accumulation par défaut — la conservation n'est pas mise en question tant qu'il y a de l'espace de stockage.
  • Données fantômes — fichiers archivés oubliés, dossiers perdus sur des disques externes.

Ce que la Loi 25 implique concrètement

  • Limiter la conservation à la durée nécessaire à la finalité.
  • Documenter les durées par catégorie, avec justification.
  • Détruire ou anonymiser de façon sécurisée à la fin des finalités.
  • Limiter les accès aux personnes dont les fonctions le justifient.
  • Réviser les accès lors des changements de rôle et départs.

Pourquoi c'est critique

Sans politique de conservation structurée :

  • Chaque incident amplifie l'impact parce qu'il touche toutes les données accumulées.
  • La démonstration de diligence est impossible — aucune règle à invoquer.
  • Les accès anciens deviennent des failles silencieuses.

Les données qu'on ne détruit pas sont les données qu'on protège encore inutilement — chaque jour qui passe.

Concrètement pour une PME

Sans politique de conservation :

  • chaque incident devient plus coûteux à gérer — volume × personnes concernées ;
  • chaque décision de conservation est improvisée, sans justification ;
  • la purge rétroactive devient un chantier technique et émotionnel lourd.

Le coût vient de l'accumulation — pas de la destruction.

En résumé

Définition : La conservation est limitée à la durée nécessaire à la finalité ; la destruction sécurisée est obligatoire au terme ; les accès sont limités au principe du moindre privilège.

3 faits clés

  • Chaque durée doit être justifiée par une raison légale, contractuelle ou opérationnelle
  • La destruction sécurisée varie selon le support (papier, numérique, supports physiques)
  • Les accès doivent évoluer avec les rôles — pas rester ouverts par défaut

👉 Action : Construisez d'abord la table de durées (2-4 heures), puis la procédure de destruction (1-2 heures), puis le schéma d'accès (1-2 heures). Trois livrables = une semaine.

⚖️ Pour aller plus loin sur le cadre légal

Consultez la page détaillée sur les exigences légales de conservation, destruction et gestion des accès selon la Loi 25.

Conservation et destruction selon la Loi 25 — exigences légales →

Test rapide

Prenez 10 secondes. Dans votre organisation…

Si vous avez répondu non à une seule question,
votre organisation accumule des données et des accès inutiles — un passif qui grandit chaque jour sans que personne ne le remarque.

Pas certain que vos pratiques de conservation passent l'examen?
L'Analyse gouvernance PRP évalue la conservation et la gestion des accès.

Obtenir mon Analyse gouvernance PRP →

Construire votre gouvernance PRP étape par étape

La Formation Gouvernance PRP couvre la construction pratique de chaque livrable exigé par la Loi 25 : mandat RPRP, politique de confidentialité, registres, conservation, sous-traitants, EFVP. Modules à la carte ou forfait complet — adaptés au rythme de votre PME québécoise.

Construire ma gouvernance PRP Obtenir mon Analyse gouvernance PRP

← Retour à la formation complète (6 modules)