Module 4 · Exigences légales · Formation Initiation PRP
Conservation, destruction et anonymisation selon la Loi 25

Conservation et destruction des renseignements
personnels selon la Loi 25

La protection des renseignements personnels s'applique tout au long de leur cycle de vie — pas seulement à la collecte. Ce texte présente les obligations légales de conservation, destruction, anonymisation et gestion des accès.

Planifier une formation pour mon équipe Demander un diagnostic PRP →

Contexte : la conformité couvre tout le cycle de vie

Les régimes de protection des renseignements personnels, dont la Loi 25, ne se limitent pas à encadrer la collecte. Ils couvrent toutes les étapes — utilisation, communication, conservation, destruction — et imposent des obligations à chacune d'elles. C'est justement dans les étapes post-collecte que se concentrent la majorité des risques et des incidents observés dans les PME québécoises.

Une politique de conservation claire, des procédures de destruction sécurisées et une gestion rigoureuse des accès forment le socle opérationnel de la conformité — souvent négligé au profit d'investissements plus visibles en sécurité ou en documentation.

Ce que vous devez retenir — version dirigeant

  • La collecte n'est qu'une partie du travail — la majorité des incidents surviennent après.
  • Conserver « au cas où » n'est pas neutre — c'est un risque qui s'accumule.
  • La destruction sécurisée fait partie intégrante de la conformité, pas un geste optionnel.
  • Les accès doivent évoluer avec les rôles — pas rester ouverts par défaut.

Ce que ça implique pour votre organisation

Si le cycle de vie des renseignements n'est pas géré activement :

  • l'accumulation de données crée un risque incontrôlé,
  • vos obligations existent, mais elles sont appliquées à une partie seulement de vos données,
  • un incident frappe l'ensemble de votre base, y compris les données qui n'auraient plus dû être là.

Les organisations ne se font pas sanctionner pour avoir collecté — elles se font sanctionner pour avoir gardé trop longtemps ce qui aurait dû être détruit.

Ce que ça veut dire en pratique

La plupart des PME québécoises ne savent pas :

  • combien de données elles conservent réellement,
  • depuis combien de temps,
  • ni pourquoi ces données sont encore là.

Le risque ne vient pas d'un incident exceptionnel — il vient de l'accumulation invisible sur plusieurs années.

Le cycle de vie selon la Loi 25

La Loi 25 encadre chacune des 5 étapes du cycle de vie — collecte, utilisation, communication, conservation, destruction — et impose à l'organisation des obligations spécifiques à chaque étape.

Le principe central est la limitation temporelle et d'usage : les renseignements personnels ne doivent être conservés que le temps nécessaire aux finalités qui ont justifié leur collecte. Au-delà, ils doivent être détruits ou anonymisés de manière sécurisée et documentée.

Cadre juridique applicable

Obligation de limitation de la conservation

La Loi 25 impose que les renseignements personnels soient détruits ou anonymisés lorsque les finalités de leur collecte sont atteintes. Certaines obligations légales peuvent prolonger la durée (obligations fiscales, garanties légales, exigences sectorielles), mais en l'absence de telles justifications, la conservation prolongée constitue une violation directe.

Obligation d'anonymisation à titre d'alternative à la destruction

La loi permet l'anonymisation comme alternative à la destruction, à condition qu'elle soit réalisée selon des règles de l'art rendant l'identification impossible, même par recoupement. La dépersonnalisation (simple pseudonymisation) n'est pas équivalente — elle conserve le statut de renseignement personnel.

Obligation de gestion des accès

Les accès aux renseignements personnels doivent être limités aux personnes dont les fonctions le justifient. Ce principe impose une gestion active lors des changements de rôle, des départs et des intégrations de sous-traitants.

Obligations des organisations sur le cycle de vie

Les obligations concrètes couvrent l'ensemble des 5 étapes :

  • Déterminer et documenter les durées de conservation pour chaque catégorie de renseignements.
  • Adopter une politique de conservation accessible et appliquée.
  • Limiter les accès aux employés dont les fonctions le justifient.
  • Réviser les accès aux changements de rôle, aux départs et périodiquement.
  • Encadrer les communications et partages par des ententes et des restrictions claires.
  • Mettre en œuvre une destruction sécurisée adaptée au support (papier, numérique).
  • Anonymiser plutôt que conserver lorsque les finalités sont atteintes mais que les données peuvent servir à des usages statistiques ou de recherche.
  • Documenter les opérations de destruction et d'anonymisation (registre).

Exemples concrets PME — obligations du cycle de vie

Obligation : limitation de la conservation

Un dossier client conservé 10 ans après la fin du contrat, sans obligation fiscale ou contractuelle qui le justifie, constitue une violation. La durée doit être justifiée par une finalité active ou une obligation légale spécifique.

Obligation : destruction sécurisée

Un document papier contenant l'adresse d'un client jeté dans la poubelle ordinaire du bureau ou du chantier ne respecte pas l'obligation de destruction sécurisée. Déchiquetage ou incinération sont attendus selon la sensibilité.

Obligation : révision des accès

Un employé qui a changé de rôle il y a 18 mois et qui conserve accès à des dossiers qu'il n'utilise plus représente une faille continue. Les accès doivent être ajustés au moment du changement, pas lors du prochain audit.

⚠️ Erreur stratégique fréquente

Beaucoup d'organisations concentrent leurs efforts sur :

  • la sécurisation des formulaires de collecte,
  • la rédaction d'une politique de confidentialité,
  • la mise en conformité du site web,

sans politique claire de conservation et destruction — les deux étapes les plus à risque.

Résultat :

  • données qui s'accumulent silencieusement année après année ;
  • destruction improvisée ou inexistante ;
  • incident qui frappe un volume démesuré de données hors utilité.

Une conformité visible… mais un risque réel invisible.

Obligation légale ou bonne pratique? La distinction compte.

Certaines exigences du cycle de vie sont strictement encadrées par la loi ; d'autres relèvent de pratiques de gestion qui démontrent la diligence.

⚖️ Obligation légale

  • Détruire ou anonymiser à la fin des finalités
  • Limiter les accès aux personnes autorisées
  • Adopter des politiques de gestion accessibles
  • Appliquer des mesures de sécurité proportionnées
  • Évaluer les communications hors Québec
  • Documenter les activités de traitement

💡 Bonne pratique fortement recommandée

  • Calendrier de destruction automatisé
  • Registre des opérations de destruction
  • Audit annuel des accès actifs
  • Revue périodique des durées de conservation
  • Protocole de révision lors des départs d'employés
  • Anonymisation préférée à la destruction quand possible

L'absence de ces pratiques rend très difficile la démonstration de la diligence en cas de contrôle ou d'incident.

Exemples d'application concrète

Politique de conservation par catégorie de renseignements

Une PME rédige un tableau des durées de conservation selon les catégories : coordonnées clients (durée du contrat + 3 ans pour garanties), dossiers fiscaux (6-7 ans), CV non retenus (6 à 12 mois), registres des employés (selon obligations sectorielles). Chaque durée est justifiée et révisée annuellement.

Procédure de destruction sécurisée

L'organisation adopte une procédure documentée : déchiquetage des documents papier via une déchiqueteuse sécurisée ou un service externe certifié ; effacement cryptographique des supports numériques avant mise au rebut ; registre des destructions avec date, nature et méthode.

Révision des accès aux changements de rôle

Un processus formel est déclenché à chaque changement : suppression des accès liés au rôle précédent, attribution des nouveaux accès selon les fonctions, validation par le gestionnaire et le RPRP. Une revue trimestrielle capture les oublis éventuels.

Risques en cas de non-conformité

L'exposition se mesure sur deux axes : les sanctions juridiques et les coûts opérationnels d'une accumulation non maîtrisée.

Angle 1 — Sanctions juridiques

  • Sanctions administratives pouvant atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial.
  • Sanctions pénales pouvant atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial.
  • Ordonnances de la CAI exigeant des mesures correctives (purge, anonymisation, révision des accès).
  • Actions privées pour les personnes ayant subi un préjudice lié à des données conservées abusivement.
  • Impact réputationnel lié aux incidents révélant des masses de données obsolètes.

Angle 2 — Coûts opérationnels d'une accumulation non maîtrisée

  • Incident amplifié — une fuite touche toutes les données accumulées, pas seulement celles utiles.
  • Notifications multipliées — nombre de personnes à informer beaucoup plus élevé, mobilisation accrue.
  • Purge rétroactive coûteuse — nettoyer une base accumulée depuis 10 ans est long et risqué.
  • Difficulté à justifier — absence de politique = absence de défense crédible lors d'une enquête.
  • Dégradation de la performance — stockage, sauvegardes, outils alourdis par des données non nécessaires.

Une politique de cycle de vie bien tenue réduit ces coûts — elle ne les crée pas. Elle diminue également la surface d'exposition en cas de cyberattaque.

Concrètement pour une PME

Plus vous conservez de données :

  • plus vous avez de renseignements à protéger au quotidien ;
  • plus un incident éventuel est coûteux en notifications et gestion ;
  • plus la gestion des accès devient complexe à maintenir à jour.

Volume de données conservées = multiplicateur du coût de chaque incident.

Lien avec la gouvernance PRP

La gestion du cycle de vie s'inscrit transversalement dans l'ensemble de la gouvernance PRP :

  • Politique de conservation — document fondateur de la gouvernance, accessible et révisé.
  • Registre des traitements — inclut les durées de conservation et les modalités de destruction.
  • EFVP — évaluations intégrant les risques liés à la conservation prolongée et aux accès.
  • Contrats avec sous-traitants — clauses sur la restitution ou destruction des données en fin de mandat.
  • Formation des employés — sensibilisation à la destruction sécurisée et à la limitation des accès.
  • Processus de gestion des incidents — cartographie rapide des données touchées, utile pour calibrer la réponse.

🧭 Grille rapide — cycle de vie

Pour chaque type de donnée détenue par votre organisation, validez quatre points :

  • La finalité initiale est-elle encore active?
  • La durée de conservation est-elle justifiée et documentée?
  • Les accès actuels sont-ils encore nécessaires aux personnes qui les détiennent?
  • Une méthode de destruction ou d'anonymisation est-elle définie pour la fin?

Si une réponse est « non » ou reste floue, il existe un écart de conformité à corriger — et un risque opérationnel latent.

Questions fréquentes

Quelle durée de conservation fixer par défaut pour des dossiers clients?

Il n'existe pas de durée universelle. Elle doit être justifiée par la finalité (durée du contrat), les obligations légales (ex. 6-7 ans pour certains documents fiscaux), les garanties applicables ou les exigences sectorielles. Une durée « par défaut » de 10 ou 15 ans sans justification précise n'est généralement pas conforme.

L'anonymisation est-elle toujours possible?

Non. Pour être conforme, l'anonymisation doit rendre l'identification impossible même par recoupement — ce qui requiert une méthode rigoureuse, parfois complexe pour les petites bases. Lorsque ce n'est pas réalisable, la destruction reste la seule option.

Faut-il détruire les sauvegardes qui contiennent des renseignements expirés?

Oui, dans la mesure du raisonnable. Les politiques de sauvegarde doivent être coordonnées avec les politiques de conservation — sinon les données « détruites » persistent dans les sauvegardes. Une durée de rotation des sauvegardes permet généralement de gérer cette cohérence.

Un employé peut-il conserver ses notes personnelles après un projet?

Les notes contenant des renseignements personnels demeurent assujetties à la loi, même si elles sont informelles. Elles devraient être détruites selon les mêmes règles que les documents officiels, ou explicitement transférées et intégrées aux archives de l'organisation.

Doit-on tenir un registre des destructions effectuées?

La loi n'exige pas formellement un registre des destructions au même titre que le registre des incidents, mais cette pratique est fortement recommandée pour démontrer la diligence. Le registre doit mentionner la date, la nature des données, la méthode et la personne responsable.

🎯 Diagnostic rapide

Votre organisation :

  • dispose-t-elle d'une politique de conservation documentée?
  • détruit-elle les renseignements selon une méthode sécurisée?
  • révise-t-elle les accès lors des changements de rôle et départs?

Si non à une ou plusieurs questions, votre organisation accumule probablement des données et des accès inutiles — une exposition silencieuse qui s'amplifie chaque année.

Concrètement

Les obligations de conservation et de destruction existent indépendamment de la capacité de votre organisation à les appliquer. Sans politique documentée, sans procédure de destruction sécurisée, sans révision régulière des accès :

  • vos obligations existent quand même ;
  • mais vos données s'accumulent sans contrôle, y compris celles qui auraient dû disparaître ;
  • votre exposition au prochain incident est amplifiée par votre propre base de données.

La formation des équipes et la mise en place d'une politique de cycle de vie documentée sont les deux leviers opérationnels prioritaires — avant les outils, avant la technologie, avant les évaluations.

En résumé — Cycle de vie selon la Loi 25

  • 5 étapes couvertes : collecte, utilisation, communication, conservation, destruction
  • Règle clé : conserver uniquement le temps nécessaire aux finalités
  • Obligation centrale : destruction ou anonymisation sécurisée à la fin des finalités
  • Principe de gestion : moins de données inutiles = moins de risques

📘 Version pratique du même sujet

Pour un guide concret avec exemples tirés du terrain PME — archives, accès, destruction — consultez la version pratique de ce module.

Guide — Gérer le cycle de vie des données →

Besoin d'accompagnement pour structurer votre cycle de vie des données?

Formation pour vos employés, diagnostic de maturité, accompagnement RPRP externe — plusieurs options adaptées aux PME québécoises.

Planifier une formation pour mon équipe Demander un diagnostic PRP

← Retour à la formation complète (7 modules)

Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.