La protection des données personnelles au Québec est très présente dans l’actualité en ce moment, et pour cause : la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après « LPRPSP »), pierre angulaire du cadre législatif entourant la protection des données personnelles au Québec a récemment été modifiée par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (lire notre article sur le sujet ici), rendant la LPRPSP beaucoup plus sévère et complète.
Les données personnelles au Québec
Toute personne qui opère une entreprise au Québec ou qui souhaite y faire affaire doit s’assurer de bien connaître les obligations légales qui lui sont imposées par le cadre légal entourant les données à caractère personnel. Dans le cadre de vos activités au Québec vous serez certainement amené(e) à collecter, utiliser et/ou communiquer de telles données. Au-delà de la protection des données à caractère personnel et des règles entourant leur communication à des tiers, certaines normes régulent par exemple la conservation des données personnelles, et la durée d’une telle conservation.
En effet, les données à caractère personnel ne peuvent être conservées indéfiniment, et doivent, lorsqu’elles ne sont plus nécessaires à la poursuite des finalités pour lesquelles elles ont été collectées, être anonymisées ou détruites, selon le principe de la limitation de la durée de conservation. Selon ce principe, les données personnelles doivent être conservées pour la durée la plus courte possible et, le cas échéant, dans le respect des normes législatives ou règlementaires applicables.
Le respect du principe de minimisation de la durée de conservation est également dans l’intérêt de l’entreprise : aussi longtemps que l’entreprise conservera les données, elle encourra le risque d’être victime d’une faille sécuritaire impliquant ces données. De plus, l’entreprise doit être en mesure de justifier la raison pour laquelle elle conserve les données à caractère personnel concernées pour une durée donnée, et, le cas échéant, pourquoi ces données n’ont pas été détruites ou anonymisées si la finalité (qui doit être raisonnable et légitime) de leur traitement a été remplie.
La LPRPSP ne précise pas la durée de conservation des données, même suite à sa modification par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Mais cette récente modification introduit un nouvel article 23 à la LPRPSP, dont le premier alinéa se lit comme suit :
« Lorsque les fins auxquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, la personne qui exploite une entreprise doit le détruire ou l’anonymiser pour l’utiliser à des fins sérieuses et légitimes, sous réserve d’un délai de conservation prévu par une loi 1 . »
Le renseignement personnel sera considéré comme anonymisé lorsqu’il est « raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne 2 . »
Ainsi, le délai de conservation d’une donnée à caractère personnel variera selon les fins pour lesquelles elle a été collectée, ou devra correspondre à ce qui est édicté dans une loi ou un règlement gouvernant le secteur concerné, le cas échéant. Il faudra également prendre un compte la sensibilité particulière de la donnée personnelle dans l’évaluation de la durée appropriée, une donnée sensible justifiant normalement une conservation plus courte. Dans tous les cas, la durée de conservation des données à caractère personnel devra être cohérente et justifiée au regard de l’objectif du traitement des données en question.
Soulignons que dans la plupart des cas, le délai de conservation ne sera pas fixé par la règlementation québécoise. En conséquence, il faut premièrement vérifier si une règlementation est applicable à ce niveau; si oui, on respectera les délais qui y sont prescrits. Si tel n’est pas le cas, alors on fera appel aux différents outils nous permettant d’identifier la durée applicable de conservation.
Quels sont les délais de conservation des données à caractère personnel prescrits par la loi ?
Nombre de secteurs au Québec ont une règlementation prescrivant un délai minimal précis de conservation des données à caractère personnel. En voici quelques exemples non-exhaustifs :
Dans le cadre des relations de travail, les registres de paie, les feuilles de temps et les vacances doivent être conservés pendant une période minimale de trois (3) ans 3 . Concernant les documents fiscaux et les documents quant aux formations complétées par les employés, ils doivent être conservés durant six (6) ans suivant la fin du dernier exercice fiscal auquel ils se rapportent 4. Les documents relatifs à l’assurance-emploi (tels les relevés d’emploi), quant à eux, doivent être au minimum conservés pendant six (6) ans 5 .
Un dossier médical doit être conservé pendant une période d’au moins cinq (5) ans suivant la date de la dernière inscription ou insertion au dossier 6 . Le dossier est considéré comme inactif par la suite et peut être détruit 7 .
Les avocats doivent conserver les dossiers clos de leurs clients pendant au moins sept (7) ans à compter de la date de leur fermeture, c.-à-d. au moment où l’avocat cesse d’agir pour le client, ou où celui-ci a payé tous les honoraires dus.
Bien que les normes règlementaires prévoient un délai minimal obligatoire de conservation, elles ne prévoient pas de moment précis pour la destruction ou l’anonymisation des données à caractère personnel contenus dans les différents types de dossiers ou de documents visés. Ainsi, ils peuvent être détruits après l’expiration du délai prévu par la règlementation. Néanmoins, il faudra nécessairement faire un travail d’appréciation, en prenant en compte par exemple les circonstances particulières qui justifieraient une conservation plus longue des données personnelles.
Comment déterminer la durée de conservation appropriée ?
C’est à la personne qui exploite une entreprise que revient l’obligation de déterminer la durée appropriée de la conservation des données à caractère personnel dans une situation donnée. La finalité du traitement pour laquelle le traitement des données à caractère personnel est mis en œuvre est le point central de cet exercice d’appréciation. Ainsi, vous devrez en premier identifier vos besoins opérationnels liés aux données à caractère personnel collectées, et ce, de manière détaillée. Par la suite, il vous faudra déterminer quelle durée est appropriée pour lesdits besoins et pour la finalité pour laquelle les données sont collectées et utilisées.
Bien que la loi s’en remette aux entreprises et individus collectant, communiquant ou utilisant les données à caractère personnel en ce qui concerne la durée de conservation des données, outre les délais minimums prescrits par la règlementation applicable dans certains secteurs, il est important de ne pas négliger cette obligation : toute violation à la loi peut mener à une amende allant jusqu’à 25 000 000 CAD (environ 18 455 000 €) ou 4 % du chiffre d’affaires mondial de l’exercice financier précédent, si ce montant est plus élevé 8 .
Doit-on informer la personne concernée de la durée de conservation de ses données à caractère personnel lors de la collecte desdites données ?
Toute personne qui recueille des données à caractère personnel auprès de la personne concernée doit, lors de la collecte et par la suite sur demande, l’informer des éléments suivants : (1) les fins auxquelles ces données sont collectées (2) les moyens par lesquels les données sont collectées (3) les droits d’accès et de rectification prévus par la loi et (4) son droit de retirer son consentement à la communication ou à l’utilisation des données collectées. De plus, le cas échéant, elle devra être informée du nom du tiers pour lequel la collecte est faite, du nom des tiers ou des catégories de tiers à qui il est nécessaire de communiquer les données et de la possibilité que les données soient communiquées à l’extérieur du Québec 9 . En conséquence, les entreprises et personnes traitant des données à caractère personnel n’ont pas l’obligation d’informer d’emblée la personne concernée, et devront uniquement le faire si elle le demande, puisque la loi édicte que
« [s]ur demande, la personne concernée est également informée des renseignements personnels recueillis auprès d’elle, des catégories de personnes qui ont accès à ces renseignements au sein de l’entreprise, de la durée de conservation de ces renseignements, ainsi que des coordonnées du responsable de la protection des renseignements personnels 10 [soulignements ajoutés]. »
Cabinet d’avocat franco-canadien pratiquant aussi bien le droit anglophone de la common law que le droit civil francophone au Canada, le cabinet S. Grynwajc dispose en outre d’une expertise particulière dans le secteur de la protection des données à caractère personnel. En conséquence, si vous souhaitez vous assurer que votre organisation se conforme aux nouvelles obligations lui incombant, n’hésitez pas à nous contacter, nous serons ravis de vous accompagner !
1 LPRPSP, art. 23 al. 1.
2 LPRPSP, art. 23 al. 2.
3 Règlement sur la tenue d’un système d’enregistrement ou d’un registre, art. 2.
4 Loi sur l’administration fiscale, art. 35.1 et Loi de l’impôt sur le revenu, art. 230(4) ; Règlement sur les dépenses de formation admissibles, c. D-8.3, r. 3, art. 4.
5 Loi sur l’assurance-emploi, LC 1996, c. 23, art. 87(3) et 87(4).
6 Règlement sur les dossiers, les lieux d’exercice et la cessation d’exercice d’un médecin, art. 12 al. 1.
7 Règlement sur les dossiers, les lieux d’exercice et la cessation d’exercice d’un médecin, art. 12 al. 2.
8 Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, art. 160.
9 Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, art. 107.
10 Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, art. 107.
—
Cet article a été rédigé avec la collaboration d’Irina Gueorguiev