Retour à l'accueil.

Procédure de conservation, de destruction et d'anonymisation des renseignements personnels

Date de mise à jour: 2023-09-21

1. Aperçu

Il est important de mettre en place une procédure de conservation, de destruction et d'anonymisation des renseignements personnels pour garantir la protection de la vie privée des individus, se conformer aux lois sur la protection des renseignements personnels, prévenir les incidents de confidentialité impliquant des renseignements personnels et les atteintes à la sécurité, maintenir la confiance des clients et protéger la réputation de l'organisation.

2. Objectif

Le but de cette procédure est de garantir la protection de la vie privée des individus et de se conformer aux obligations légales en matière de protection des renseignements personnels.

3. Portée

La portée de cette procédure devrait couvrir l'ensemble du cycle de vie des renseignements personnels, depuis leur collecte jusqu'à leur destruction. Elle concerne tous les employés et parties prenantes impliquées dans la collecte, le traitement, la conservation, la destruction et l'anonymisation des renseignements personnels conformément aux exigences légales et aux bonnes pratiques en matière de protection de la vie privée.

4. Définitions

Renseignements personnels : toute information permettant d'identifier, directement ou indirectement, une personne physique. Conservation : stockage sécurisé des renseignements personnels pendant la durée requise. Destruction : suppression, élimination ou effacement définitif des renseignements personnels. Anonymisation : processus de modification des renseignements personnels de manière à ne plus permettre en tout temps et de façon irréversible l'identification, directe ou indirecte, des individus concernés.

5. Procédure
a. Durée de conservation
i. Les renseignements personnels ont été catégorisés de la façon suivante :
  • renseignements concernant les employés de l’entreprise,
  • renseignements concernant les membres du conseil d’administration,
  • renseignements concernant les membres de l’organisation,
  • renseignements concernant les clients.
ii. La durée de conservation pour chacune de ces catégories a été établit de la façon suivante :
  • Employés de l’entreprise : 10 ans après la fin d'emploi.
  • Clients : variable en fonction du type de renseignement personnel.
Pour plus de détails, se référer à l’inventaire complet des renseignements personnels détenus.
b. Méthodes de stockage sécurisé
i. Les renseignements personnels se trouvent aux endroits suivants :
1. Réseau Ciao
2. Manitou
3. Entrepôts de données Ciao
4. Fichiers CDAE
5. Zoho recruits
ii. Le degré de sensibilité de chacun de ces lieux de stockage a été établi.
iii. Ces lieux de stockage, qu’ils soient papier ou numérique, sont adéquatement sécurisés.
iv. L’accès à ces lieux de stockage a été restreint aux seules personnes autorisées.
c. Destruction des renseignements personnels
i. Pour les renseignements personnels sur papier, ils devront être totalement déchiquetés.
ii. Pour les renseignements personnels numériques, ils devront être totalement supprimés des appareils (ordinateurs, téléphone, tablette, disque dur externe), des serveurs et des outils infonuagiques.
iii. Le calendrier de destruction en fonction de la durée de conservation établie pour chaque catégorie de renseignements personnels devra être fait selon les dates de destruction prévues.
iv. Il faudra s’assurer que la destruction est réalisée de manière à ce que les renseignements personnels ne puissent pas être récupérés ou reconstitués.
d. Anonymisation des renseignements personnels
i. L’anonymisation des renseignements personnels ne devrait se faire que si l’organisation souhaite les conserver et les utiliser à des fins sérieuses et légitimes.
ii. La méthode d’anonymisation des renseignements personnels choisit est la généralisation.
iii. Il faudra s’assurer que l’information restante ne permettre plus de façon irréversible l'identification directe ou indirecte des individus concernés et s’assurer d’évaluer régulièrement le risque de réidentification des données anonymisées en effectuant des tests et des analyses pour garantir leur efficacité.
e. Formation et sensibilisation du personnel
i. Il faudra s’assurer de fournir une formation régulière aux employés sur la procédure de conservation, de destruction et d'anonymisation des renseignements personnels, ainsi que sur les risques liés à la violation de la vie privée.
ii. Cela inclut également la sensibilisation du personnel aux bonnes pratiques de sécurité des données et à l'importance du respect des procédures établies.