La finalité pour laquelle vous avez collecté des données personnelles est accomplie ? Selon la loi québécoise, vous avez aussitôt l’obligation de détruire les données. Seule restriction à cette obligation de destruction selon la Commission d’accès à l’information (CAI) : le délai prévu par la loi ou par un calendrier de conservation établi par règlement du gouvernement (ex. : pour des obligations fiscales).
Néanmoins, la Loi 25 adoptée en septembre 2021 au Québec prévoit que les organisations pourraient, au lieu de détruire les renseignements personnels, les anonymiser pour les utiliser à des fins d’intérêt public (pour les organismes publics) ou sérieuses et légitimes (pour les entreprises).
Que veut dire anonymiser les données personnelles selon la loi 25 ?
« Un renseignement concernant une personne physique est anonymisé lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne. » selon la CAI. Il s’agit donc de garantir l’impossibilité de réidentification d’une personne physique par tout type de moyens technologiques.
« De plus, comme le rappelle la CAI, pour pouvoir être conservés plutôt que détruits, les renseignements doivent être anonymisés selon les meilleures pratiques généralement reconnues et selon les critères et modalités déterminées par règlement du gouvernement. » Seul problème, de tels règlements n’ont pas encore été établis aujourd’hui au Québec.
Que peut-on faire aujourd'hui en l'absence de règlements ?
Aussi, « À la lumière des avancées technologiques actuelles et futures, la Commission estime qu’il est quasi impossible de certifier que des renseignements anonymisés ne pourraient pas éventuellement être réidentifiés. »
Selon la CAI, l’anonymisation des renseignements personnels présuppose des risques d’incidents de confidentialité. La loi prévoit d’ailleurs des sanctions pour toute personne qui tente d’identifier une personne à partir de renseignements anonymisés.
Conclusion : la gestion documentaire avant tout
Et donc, à défaut de pouvoir conserver des renseignements personnels même anonymisés au-delà de la l’accomplissement d’une finalité, les organisations publiques et privées devant se conformer à la Loi 25 doivent s’organiser correctement pour :
- Mettre en place une procédure de gestion documentaire en :
– Inventoriant les types de données collectées, utilisées et conservées ;
– Identifiant le niveau de confidentialité des données en fonction des critères de sensibilité, de finalité, de quantité, de répartition et de support. - Bien respecter un calendrier de conservation des renseignements personnels
Voici à ce titre quelques normes de la Bibliothèque des archives nationales du Québec (BanQ) pour guider les organismes publics dans la détermination des durées de conservation des données. - Mettre en place des procédures sécuritaires pour détruire les renseignements personnels
Sur ce point, regardez les recommandations de la Commission d’accès à l’information en matière de destruction des renseignements personnels.