Module 4 · Guide pratique · Formation Gouvernance PRP
Conservation, destruction et gestion des accès

Combien de temps conserver les données
et comment les détruire?

Chaque donnée conservée au-delà de sa finalité devient un risque inutile. Ce guide explique comment construire une table de durées justifiées, une procédure de destruction sécurisée, et une gestion des accès selon le principe du moindre privilège.

Construire ma gouvernance PRP Obtenir mon Analyse gouvernance PRP →

Les PME québécoises accumulent silencieusement des renseignements personnels pendant des années — parfois des décennies — sans politique de conservation claire. Chaque incident frappe l'ensemble de cette base, incluant les données qui n'auraient plus dû être là. Ce guide présente comment construire trois livrables concrets : une table de durées justifiées, une procédure de destruction sécurisée, et un schéma de gestion des accès.

Ce que ça signifie concrètement pour un dirigeant

Si vous gardez tout « au cas où » sans politique de conservation :

  • chaque année, votre base accumulée devient un passif juridique grandissant ;
  • un incident de sécurité frappe tout le volume historique, pas seulement les clients actifs ;
  • vous ne pouvez pas justifier la conservation — donc elle est non conforme par défaut.

L'absence de destruction est un risque silencieux — il grandit tant qu'il n'est pas structuré.

Les trois livrables de ce module

Table de durées — durées de conservation par catégorie de renseignements, avec justification.

Procédure de destruction sécurisée — méthodes par support (papier, numérique), responsabilités, traçabilité.

Schéma d'accès — qui peut voir quoi, selon le principe du moindre privilège.

Comment définir les durées de conservation

Pour chaque catégorie de renseignements, la durée doit être justifiée par une finalité active. Quatre sources de justification possibles :

  • Durée du contrat / relation — tant que le client est actif.
  • Obligation fiscale — 6 à 7 ans pour les pièces comptables (Revenu Québec / ARC).
  • Garantie légale ou contractuelle — durée de la garantie sur un produit ou service.
  • Obligation sectorielle — ex. dossiers médicaux, dossiers d'employés (durées spécifiques).

Exemple concret de table de durées (à adapter à votre PME) :

  • Coordonnées clients : durée de la relation + 3 ans (garantie)
  • Factures : 7 ans (obligation fiscale)
  • CV de candidats non retenus : 12 mois
  • Dossiers employés actuels : durée de l'emploi + durée légale applicable
  • Dossiers employés anciens : 5 ans après le départ (selon dispositions)
  • Courriels marketing / prospects : durée du consentement + retrait

🎯 Votre politique de conservation est-elle structurée?

  • Avez-vous une table de durées documentée par catégorie?
  • Chaque durée est-elle justifiée (légale, contractuelle, opérationnelle)?
  • La destruction a-t-elle une méthode définie par support?
  • Les accès aux données sont-ils limités selon le rôle?

Si non à une seule question, votre organisation accumule des données sans protection formelle — exposition silencieuse à chaque jour qui passe.

Conservation floue vs conservation structurée

❌ Conservation floue

  • « On garde aussi longtemps que nécessaire »
  • Aucune justification documentée
  • Destruction improvisée ou inexistante
  • Accès ouverts par défaut
  • Accumulation silencieuse année après année

✅ Conservation structurée

  • Table de durées précises par catégorie
  • Chaque durée justifiée par une raison claire
  • Procédure de destruction sécurisée documentée
  • Accès limités au moindre privilège
  • Purge régulière planifiée et traçable

Méthodes de destruction sécurisée

Jeter dans la poubelle ordinaire ou simplement supprimer un fichier ne constitue pas une destruction sécurisée. Par support :

  • Papier — déchiquetage sécurisé (déchiqueteuse certifiée ou service externe) ou incinération.
  • Fichiers numériques — effacement cryptographique ou suppression avec outils de secure erase.
  • Supports physiques (disques durs, USB) — destruction physique ou réinitialisation sécurisée avant mise au rebut.
  • Sauvegardes — coordonner avec la politique de conservation — sinon les données « détruites » persistent dans les backups.

Une procédure documentée précise : qui fait la destruction, à quelle fréquence, avec quelle méthode, et comment c'est consigné (registre de destruction).

Gestion des accès — principe du moindre privilège

Chaque personne (employé, sous-traitant) ne devrait avoir accès qu'aux renseignements strictement nécessaires à sa fonction. En pratique :

  • Inventaire des accès — qui a accès à quoi aujourd'hui?
  • Accès par rôle — pas par personne, pour faciliter les changements de fonction.
  • Révision régulière — annuelle au minimum, et à chaque changement de rôle ou départ.
  • Accès des sous-traitants — limités, documentés dans les ententes (DPA).

Erreurs fréquentes à éviter

  • Durée vague (« aussi longtemps que nécessaire ») — inopposable et non conforme.
  • Destruction par habitude sans procédure — jette tout d'un coup, ou jamais.
  • Accès historiques jamais révisés — ex-employés qui conservent des accès actifs.
  • Accumulation par défaut — la conservation n'est pas mise en question tant qu'il y a de l'espace de stockage.
  • Données fantômes — fichiers archivés oubliés, dossiers perdus sur des disques externes.

Ce que la Loi 25 implique concrètement

  • Limiter la conservation à la durée nécessaire à la finalité.
  • Documenter les durées par catégorie, avec justification.
  • Détruire ou anonymiser de façon sécurisée à la fin des finalités.
  • Limiter les accès aux personnes dont les fonctions le justifient.
  • Réviser les accès lors des changements de rôle et départs.

Pourquoi c'est critique

Sans politique de conservation structurée :

  • Chaque incident amplifie l'impact parce qu'il touche toutes les données accumulées.
  • La démonstration de diligence est impossible — aucune règle à invoquer.
  • Les accès anciens deviennent des failles silencieuses.

Les données qu'on ne détruit pas sont les données qu'on protège encore inutilement — chaque jour qui passe.

Concrètement pour une PME

Sans politique de conservation :

  • chaque incident devient plus coûteux à gérer — volume × personnes concernées ;
  • chaque décision de conservation est improvisée, sans justification ;
  • la purge rétroactive devient un chantier technique et émotionnel lourd.

Le coût vient de l'accumulation — pas de la destruction.

En résumé

Définition : La conservation est limitée à la durée nécessaire à la finalité ; la destruction sécurisée est obligatoire au terme ; les accès sont limités au principe du moindre privilège.

3 faits clés

  • Chaque durée doit être justifiée par une raison légale, contractuelle ou opérationnelle
  • La destruction sécurisée varie selon le support (papier, numérique, supports physiques)
  • Les accès doivent évoluer avec les rôles — pas rester ouverts par défaut

👉 Action : Construisez d'abord la table de durées (2-4 heures), puis la procédure de destruction (1-2 heures), puis le schéma d'accès (1-2 heures). Trois livrables = une semaine.

⚖️ Pour aller plus loin sur le cadre légal

Consultez la page détaillée sur les exigences légales de conservation, destruction et gestion des accès selon la Loi 25.

Conservation et destruction selon la Loi 25 — exigences légales →

Test rapide

Prenez 10 secondes. Dans votre organisation…

Si vous avez répondu non à une seule question,
votre organisation accumule des données et des accès inutiles — un passif qui grandit chaque jour sans que personne ne le remarque.

Pas certain que vos pratiques de conservation passent l'examen?
L'Analyse gouvernance PRP évalue la conservation et la gestion des accès.

Obtenir mon Analyse gouvernance PRP →

Construire votre gouvernance PRP étape par étape

La Formation Gouvernance PRP couvre la construction pratique de chaque livrable exigé par la Loi 25 : mandat RPRP, politique de confidentialité, registres, conservation, sous-traitants, EFVP. Modules à la carte ou forfait complet — adaptés au rythme de votre PME québécoise.

Construire ma gouvernance PRP Obtenir mon Analyse gouvernance PRP

← Retour à la formation complète (6 modules)