Module 4 · Guide pratique · Formation Loi 25 pour employés
Le cycle de vie complet des renseignements personnels

Combien de temps peut-on conserver
des renseignements personnels?

La collecte n'est qu'une petite partie du travail — la majorité des incidents surviennent après. Ce guide présente les 5 étapes du cycle de vie et comment les gérer dans une PME.

Planifier une formation pour mon équipe Demander un diagnostic PRP →

Dans la plupart des PME québécoises, l'énergie est concentrée sur la collecte des renseignements — formulaires, soumissions, dossiers clients. Mais ce n'est qu'une petite partie du travail. Ce qui se passe après — l'utilisation, le partage, la conservation, la destruction — représente la majorité des risques réels. Une donnée collectée correctement mais conservée trop longtemps ou détruite n'importe comment devient un passif juridique. Comprendre le cycle de vie, c'est voir où se cachent vraiment les risques dans votre organisation.

Définition : les 5 étapes du cycle de vie

Un renseignement personnel suit cinq étapes tout au long de son existence dans votre organisation : collecte, utilisation, communication, conservation, destruction. Chaque étape comporte ses propres risques.

La Loi 25 ne s'applique pas uniquement à la collecte — elle couvre toutes les étapes. Et dans la pratique, les incidents les plus fréquents apparaissent après la collecte : accès laissés ouverts, partages devenus permanents, données accumulées « au cas où », destruction inadéquate.

Les 5 étapes illustrées par un exemple PME

Prenons un client qui appelle pour une soumission de travaux :

  • Collecte — vous notez son nom, son adresse, la nature des travaux.
  • Utilisation — vous préparez la soumission, évaluez, calculez les coûts.
  • Communication — vous partagez le dossier avec votre estimateur et éventuellement un sous-traitant.
  • Conservation — vous gagnez le contrat et conservez le dossier pendant et après les travaux.
  • Destruction — une fois les obligations fiscales et contractuelles expirées, vous détruisez ou anonymisez le dossier.

Chacune de ces étapes peut mal tourner — et les dernières sont celles que les organisations négligent le plus.

🧭 Comment appliquer le cycle de vie en pratique

Pour chaque type de donnée que votre organisation détient, posez quatre questions :

  • Pourquoi on la collecte?
  • Qui y a accès aujourd'hui?
  • Combien de temps on la garde?
  • Comment on la détruit à la fin?

Si une réponse est floue, il y a un risque latent — et probablement un écart par rapport à la Loi 25.

Ce que ça veut dire concrètement

Si vous ne gérez pas activement le cycle de vie des renseignements :

  • vos données s'accumulent au-delà des besoins réels — risque qui grossit année après année ;
  • vos accès restent ouverts après changement de rôle — employés et ex-employés conservent des permissions inutiles ;
  • un incident frappe non seulement les dossiers actifs, mais aussi tous ceux qui auraient déjà dû être détruits.

Ce que ça révèle souvent

Dans beaucoup de PME québécoises :

  • personne ne sait vraiment combien de données sont conservées ;
  • les accès ne sont jamais revus formellement ;
  • la destruction n'est pas structurée — on supprime au hasard, quand il reste de la place.

Le risque ne vient pas d'un événement exceptionnel — il vient de l'accumulation invisible sur plusieurs années.

Dans la réalité des PME québécoises…

📦

Conservation : Des dossiers clients remontant à 2014 dorment dans un disque dur partagé. Personne ne sait qui y a accès, pourquoi ils sont encore là, ni quand ils devraient être détruits.

🔑

Accès : Un employé est passé de vendeur à technicien il y a 18 mois. Il a toujours accès à la base complète des clients, même si son nouveau rôle ne le justifie pas.

🗑️

Destruction : Des documents papier contenant des adresses de clients sont jetés dans la poubelle ordinaire du bureau ou du chantier, sans déchiquetage.

Cas réel simplifié

Une PME québécoise typique

  • Conserve ses dossiers clients pendant 10 ans « au cas où », sans politique documentée
  • Subit un incident de cybersécurité qui compromet l'ensemble de la base

Résultat : l'incident touche non seulement les 300 clients actifs, mais aussi les 2000 clients dont les contrats sont terminés depuis 5 à 10 ans. Aucune justification de conservation ne peut être fournie.

L'organisation doit notifier l'ensemble des 2300 personnes, gérer les plaintes, justifier à la CAI pourquoi ces données étaient encore présentes. L'impact est multiplié par 7 par rapport à ce qu'il aurait été avec une politique de destruction active.

Sans politique de conservation, chaque année augmente la taille du problème.

Erreurs fréquentes à éviter

  • « On garde tout au cas où » — Chaque donnée conservée sans justification active est un risque qui s'accumule. Moins, c'est mieux.
  • « La sécurité commence au serveur » — Faux. Elle commence avec les gestes quotidiens : destruction sécurisée, révision des accès, limitation des partages.
  • « Les accès historiques, ce n'est pas grave » — Un employé qui a accès à des dossiers qu'il n'utilise plus depuis 2 ans est une faille silencieuse.
  • « Jeter à la poubelle, c'est détruire » — Non. La destruction sécurisée implique déchiquetage, effacement cryptographique, ou méthode équivalente proportionnée à la sensibilité.

Ce que la Loi 25 implique concrètement

La gestion du cycle de vie se traduit par des obligations concrètes à chaque étape :

  • Déterminer une durée de conservation justifiée par les finalités — pas par habitude.
  • Limiter les accès aux renseignements selon les besoins réels des fonctions.
  • Réviser les accès lors des changements de rôle ou de départs.
  • Encadrer les partages avec les sous-traitants et tiers par des ententes claires.
  • Détruire ou anonymiser les renseignements à la fin des finalités, de façon sécurisée.
  • Documenter les règles de conservation dans une politique accessible.

Pourquoi c'est critique

Négliger le cycle de vie amplifie systématiquement les risques :

  • Incident multiplié — une fuite touche toutes les données accumulées, pas seulement les actives.
  • Difficulté à justifier — sans politique de conservation, aucune base pour défendre la légitimité des données détenues.
  • Coûts de mise à niveau — purger après coup une base accumulée depuis 10 ans est long, coûteux et imparfait.

En résumé

Définition : Le cycle de vie d'un renseignement personnel comporte 5 étapes — collecte, utilisation, communication, conservation, destruction — et chacune doit être encadrée par l'organisation.

3 faits clés

  • La majorité des incidents surviennent après la collecte, pas pendant
  • Conserver « au cas où » n'est pas neutre — c'est un risque qui s'accumule
  • Destruction sécurisée et révision des accès sont des obligations, pas des options

👉 Action : Pour chaque type de renseignement que vous détenez, posez-vous : combien de temps, pourquoi, qui y accède, et comment on le détruit?

⚖️ Pour aller plus loin sur le cadre légal

Consultez la page détaillée sur les obligations de conservation, destruction, anonymisation et gestion des accès selon la Loi 25.

Cycle de vie selon la Loi 25 — exigences légales →

Test rapide

Prenez 10 secondes. Dans votre organisation…

Si vous avez répondu non à une ou plusieurs questions,
il est probable que votre organisation accumule des données et des accès inutiles — un passif qui grossit silencieusement jusqu'à l'incident.

Pas certain du niveau de votre cycle de vie actuel?
Obtenez un bilan rapide de vos pratiques en quelques minutes.

Évaluer mon niveau de risque →

Initier votre équipe aux bases de la protection des renseignements personnels

La formation d'initiation PRP d'une heure permet à vos employés de comprendre les concepts de base — reconnaissance d'un renseignement personnel, cadres juridiques applicables, cycle de vie des données, rôle du RPRP, gestion des incidents et prise de décision. Conçue pour les PME et entrepreneurs québécois — sans jargon juridique, avec des exemples tirés du terrain.

Planifier une formation pour mon équipe Demander un diagnostic PRP

← Retour à la formation complète (7 modules)