Combien de temps peut-on conserver des renseignements personnels selon la Loi 25?

La Loi 25 impose une conservation limitée à la durée nécessaire aux finalités de la collecte. Au-delà, les renseignements doivent être détruits ou anonymisés. La durée est déterminée par l'organisation, en fonction des finalités actives (durée du contrat), des obligations légales (6-7 ans pour certaines pièces fiscales), des garanties et des exigences sectorielles applicables. Une durée vague comme 'aussi longtemps que nécessaire' n'est pas conforme.

Quelle est la différence entre destruction et anonymisation?

La destruction rend les renseignements physiquement ou numériquement inaccessibles. L'anonymisation modifie les données de façon à ce que la personne ne puisse plus être identifiée, même par recoupement, de manière permanente. Un renseignement anonymisé cesse d'être un renseignement personnel au sens de la loi — contrairement à un renseignement simplement dépersonnalisé ou masqué.

Quelle méthode de destruction est acceptée selon la Loi 25?

La méthode doit être proportionnée à la sensibilité des renseignements et au support. Pour le papier : déchiquetage sécurisé ou incinération. Pour les fichiers numériques : effacement cryptographique ou suppression sécurisée. Pour les supports physiques (disques, USB) : destruction physique ou réinitialisation sécurisée avant mise au rebut. Jeter à la poubelle ou supprimer un fichier ne constitue pas une destruction sécurisée.

Doit-on réviser les accès aux renseignements périodiquement?

Oui. Le principe du moindre privilège exige que les accès soient limités aux personnes dont les fonctions le justifient. Une révision périodique (au minimum annuelle) et à chaque changement de rôle ou départ est fortement recommandée. L'accumulation d'accès obsolètes est l'une des failles les plus courantes observées en PME.

Faut-il tenir un registre des destructions effectuées?

La Loi 25 n'exige pas formellement un registre distinct des destructions, mais cette pratique est fortement recommandée. Un registre des destructions documente la date, la nature des renseignements, la méthode utilisée et la personne responsable. Il constitue une preuve directe de diligence — particulièrement en cas d'enquête sur la conservation prolongée.

Module 4 · Exigences légales · Formation Gouvernance PRP
Conservation, destruction et gestion des accès selon la Loi 25

Conservation et destruction des renseignements
personnels selon la Loi 25

La conservation illimitée et la destruction improvisée sont deux des failles les plus visibles en enquête. Ce texte présente les exigences légales de durées justifiées, de destruction sécurisée et de gestion des accès.

Construire ma gouvernance PRP Obtenir mon Analyse gouvernance PRP →

Contexte : la conservation comme risque qui s'accumule

La protection des renseignements personnels ne se joue pas seulement au moment de la collecte. Les obligations de la Loi 25 s'appliquent à toutes les étapes du cycle de vie — conservation, utilisation interne, accès, destruction. Les failles les plus fréquentes en PME se trouvent précisément dans ces étapes post-collecte.

Conserver au-delà du nécessaire, détruire sans méthode, ou laisser des accès ouverts à d'anciens employés sont trois pratiques qui cumulent les risques. Ce module couvre les trois obligations correspondantes.

Ce que vous devez retenir — version dirigeant

La conservation est limitée par la loi à la durée nécessaire aux finalités.
La destruction doit être sécurisée et proportionnée à la sensibilité.
Les accès doivent être limités au moindre privilège — pas ouverts par défaut.
L'absence de politique est visible immédiatement en enquête.

Ce que ça implique pour votre organisation

Sans politique de conservation structurée :

votre base de données grandit silencieusement année après année,
chaque incident frappe toute la base, pas seulement les dossiers actifs,
l'impossibilité de justifier la conservation devient un motif direct d'ordonnance.

Les organisations ne se font pas sanctionner pour avoir collecté — elles se font sanctionner pour avoir gardé trop longtemps ce qui aurait dû être détruit.

Ce que ça signifie concrètement pour vous

Comme dirigeant, chaque donnée conservée sans justification :

constitue un passif juridique dormant — silencieux jusqu'à l'incident ;
amplifie l'impact de tout incident futur (volume × personnes concernées) ;
expose l'organisation à une ordonnance de purge en cas d'enquête.

Le temps est votre ennemi silencieux — plus vous conservez longtemps, plus la facture potentielle grandit.

Définition légale de la conservation limitée

La Loi 25 exige que les renseignements personnels ne soient conservés que pendant la durée nécessaire aux finalités de leur collecte. Au terme, ils doivent être détruits ou anonymisés de façon sécurisée.

Cadre juridique applicable

Obligation de conservation limitée

La Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) modifiée par la Loi 25 impose que les renseignements ne soient conservés que le temps nécessaire aux finalités. Cette obligation vaut pour toutes les catégories — clients, employés, prospects, fournisseurs.

Obligation de destruction ou anonymisation

Au terme des finalités, deux options : la destruction sécurisée ou l'anonymisation. Cette dernière doit rendre l'identification impossible même par recoupement — ce n'est pas une simple pseudonymisation.

Obligation de gestion des accès

Les mesures de sécurité raisonnables incluent la limitation des accès selon les besoins fonctionnels. Les accès des fournisseurs et sous-traitants doivent également être encadrés et documentés.

Obligations concrètes

Documenter les durées de conservation par catégorie, avec justification.
Adopter une politique de conservation et destruction accessible.
Appliquer une méthode de destruction sécurisée adaptée au support.
Limiter les accès au moindre privilège.
Réviser les accès lors des changements de rôle et départs.
Évaluer les transferts hors Québec préalablement à leur mise en œuvre.
Documenter les opérations de destruction (fortement recommandé).

Exemples concrets PME — traduction des obligations

Obligation : durées justifiées

Un dossier client conservé 10 ans après la fin du contrat sans justification fiscale ou contractuelle est non conforme. La durée doit être documentée (ex. « 3 ans pour garantie légale + 7 ans pour obligations fiscales = 7 ans total »).

Obligation : destruction sécurisée

Documents papier clients : déchiquetage sécurisé ou incinération — pas poubelle ordinaire. Fichiers numériques : effacement cryptographique — pas simple « Supprimer ». Supports physiques mis au rebut : réinitialisation sécurisée ou destruction.

Obligation : gestion des accès

Un employé qui change de rôle interne doit voir ses accès ajustés au nouveau rôle. Un ex-employé doit voir tous ses accès révoqués dans les jours suivant le départ. Documenter chaque révision dans un registre d'accès.

⚠️ Erreur stratégique fréquente

Beaucoup d'organisations procèdent ainsi :

elles concentrent leurs efforts sur la collecte et la sécurité (documents visibles),
elles oublient la conservation et la destruction (documents invisibles),
elles maintiennent les accès d'anciens employés et sous-traitants par habitude.

Résultat :

accumulation silencieuse de données obsolètes ;
destruction improvisée ou inexistante ;
failles d'accès qui grandissent à chaque rotation de personnel.

Les données qu'on ne détruit pas sont les données qu'on protège encore inutilement — chaque jour qui passe.

Deux réalités possibles

✗ Conservation floue

Aucune table de durées
Destruction improvisée ou absente
Accès ouverts par défaut
Accumulation exponentielle
Incident amplifié par le volume

✓ Conservation structurée

Table de durées justifiées
Procédure de destruction documentée
Accès selon moindre privilège
Purge régulière planifiée
Incident limité au nécessaire actif

Obligation légale ou bonne pratique? La distinction compte.

⚖️ Obligation légale

Limiter la conservation à la durée nécessaire
Détruire ou anonymiser à la fin des finalités
Mesures de sécurité proportionnées
Gestion des accès selon les rôles
Évaluer les transferts hors Québec

💡 Bonne pratique fortement recommandée

Calendrier de destruction automatisé
Registre des opérations de destruction
Audit annuel des accès actifs
Anonymisation préférée à la destruction si possible
Protocole de révision au départ d'un employé

Exemples d'application concrète

Construction d'une table de durées pour une PME

Identification de 8 à 12 catégories principales (coordonnées clients, factures, CV, dossiers employés, etc.), définition d'une durée par catégorie avec justification, documentation dans une politique de conservation accessible.

Mise en place d'une procédure de destruction

Déchiqueteuse certifiée pour papier, outil de secure erase pour fichiers, procédure de réinitialisation pour disques durs mis au rebut. Désignation d'un responsable et rythme de purge (trimestriel, annuel selon volume).

Révision des accès lors d'un départ d'employé

Checklist activée au moment du départ : révocation des accès systèmes, reprise des matériels contenant des RP, documentation dans le registre d'accès. Accomplie en 24-48 h pour éviter les failles prolongées.

Risques en cas de non-conformité

Angle 1 — Sanctions juridiques

Sanctions administratives pouvant atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial.
Ordonnances de la CAI exigeant la purge rétroactive de données non justifiées.
Actions privées pour préjudice lié à la conservation prolongée.
Impact réputationnel — incidents qui révèlent des masses de données obsolètes.

Angle 2 — Coûts opérationnels d'une conservation non maîtrisée

Incident amplifié — fuite touche toutes les données accumulées.
Notifications démultipliées — mobilisation de gestion accrue.
Purge rétroactive coûteuse — nettoyage d'années accumulées est long et risqué.
Failles d'accès historiques — ex-employés, ex-sous-traitants conservent des permissions inutiles.

Concrètement pour une PME

Plus vous conservez de données :

plus vous avez de renseignements à protéger au quotidien ;
plus chaque incident est coûteux en notifications et gestion ;
plus la gestion des accès devient complexe à maintenir.

Le coût vient de l'accumulation — pas de la destruction.

Articulation avec la gouvernance PRP

Politique de conservation — document fondateur publié ou interne selon le cas.
Registre des traitements — alimenté par les durées de conservation par catégorie.
Registre des incidents — utilisé pour tracer les destructions consécutives à un incident.
Contrats sous-traitants — clauses sur la restitution ou destruction des données en fin de mandat.
Formation des employés — sensibilisation à la destruction sécurisée des documents qu'ils manipulent.

Questions fréquentes

Quelle durée par défaut pour des dossiers clients inactifs?

Il n'existe pas de durée universelle. Elle dépend des finalités (garantie légale = durée de la garantie + délai de prescription), des obligations fiscales (6-7 ans pour certaines pièces) et des exigences sectorielles. Une durée « par défaut » de 10 ou 15 ans sans justification précise n'est généralement pas conforme.

L'anonymisation est-elle toujours possible?

Non. Pour être conforme, l'anonymisation doit rendre l'identification impossible même par recoupement — ce qui est parfois difficile sur de petites bases où le recoupement reste faisable. Lorsque ce n'est pas réalisable, la destruction reste la seule option.

Faut-il détruire les sauvegardes qui contiennent des données expirées?

Oui, dans la mesure du raisonnable. Les politiques de sauvegarde doivent être coordonnées avec les politiques de conservation — sinon les données « détruites » persistent dans les backups. Un délai de rotation des sauvegardes (30, 60, 90 jours) permet généralement cette cohérence.

Les données fantômes (fichiers archivés, disques externes) sont-elles concernées?

Oui. Tous les supports contenant des renseignements personnels sont visés. Les dossiers archivés et disques externes oubliés sont une source fréquente de non-conformité. L'inventaire des supports est une première étape souvent révélatrice.

Faut-il tenir un registre distinct des destructions?

Pas obligatoire, mais fortement recommandé. Le registre des destructions (date, nature, méthode, responsable) est une preuve directe de diligence particulièrement utile en cas d'enquête sur la conservation prolongée.

🎯 Diagnostic rapide

Votre organisation :

a-t-elle une table des durées de conservation documentée et justifiée?
applique-t-elle une méthode de destruction sécurisée par support?
révise-t-elle les accès à chaque changement de rôle ou départ?

Si non à une seule question, votre organisation accumule probablement des données et des accès inutiles — exposition silencieuse qui s'amplifie chaque année.

Obtenir mon Analyse gouvernance PRP →

Concrètement

Les obligations de conservation et de destruction existent indépendamment de ce que votre organisation fait aujourd'hui. Sans politique documentée :

vos données s'accumulent silencieusement, y compris celles qui auraient dû disparaître ;
votre exposition au prochain incident est amplifiée par votre propre base ;
la démonstration de diligence est impossible à construire rétroactivement.

Trois livrables structurants (table de durées, procédure de destruction, schéma d'accès) produits sur une semaine de travail cumulative couvrent la majorité des attentes de la CAI sur ce chapitre.

En résumé — Conservation et destruction Loi 25

Règle clé : conserver uniquement le temps nécessaire à la finalité
Justifications : obligations fiscales, contractuelles, garanties, sectorielles
Destruction : sécurisée et proportionnée au support (papier, numérique, supports)
Accès : moindre privilège + révision aux changements de rôle

📘 Version pratique du même sujet

Pour un guide concret sur la construction de la table de durées, la procédure de destruction et le schéma d'accès, consultez la version pratique.

Guide — Conservation et destruction →

Besoin de structurer votre cycle de vie des données?

La Formation Gouvernance PRP couvre la construction pratique des trois livrables. L'Analyse gouvernance PRP évalue vos durées, vos méthodes de destruction et vos accès.

Obtenir mon Analyse gouvernance PRP Construire ma gouvernance PRP

← Retour à la formation complète (6 modules)

Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.

Conservation et destruction des renseignementspersonnels selon la Loi 25