Au cœur de la récente agitation autour de la confidentialité des renseignements, des rumeurs d’amendes et des amendes distribuées au compte-gouttes en Europe en vertu du Règlement général sur la protection des données (RGPD), de la vague de mandats insinués en vertu de la California Consumer Privacy Act (CCPA), des fuites de données ayant fait les manchettes et de la confusion presque universelle concernant les mesures de conformité que peuvent adopter les entreprises, on retrouve un simple fait qui est souvent méconnu : peu importe la complexité ou la simplicité du cadre réglementaire d’une entreprise ou de ses systèmes électroniques, la confidentialité des renseignements ne peut être assurée sans l’adoption d’un calendrier de conservation fonctionnel.
Au-delà des caractéristiques et des fonctions fondamentales d’un calendrier de conservation, il est impossible de protéger et de gérer des renseignements qui ne sont pas adéquatement désignés, classifiés et assignés.
Rétention conforme aux exigences légales — Les commissaires à la protection de la vie privée de différents pays de l’UE ont rapidement constaté que le mandat général de ne pas conserver les données « plus longtemps que nécessaire » (un principe fondamental du RGPD) peut uniquement être accompli (et ainsi assurer la conformité) en établissant rationnellement une période de rétention quantitative qui « remplit » le critère énoncé d’éviter de conserver les données « plus longtemps que nécessaire ».
Dans le cadre d’un cas récent au Danemark (supervision du traitement des données à caractère personnel par IDdesign, journal nº 2018-41-0015), le commissaire à la protection de la vie privée a audité les systèmes informatiques de l’entreprise pour déterminer la mesure dans laquelle les données des consommateurs étaient conservées à titre de première étape pour valider le raisonnement afférent à la période de rétention nécessaire.
En guise de deuxième étape, le commissaire a demandé à consulter les registres de l’entreprise concernant la politique de rétention des données afin de déterminer si celle-ci était appliquée aux systèmes électroniques (il a en fait réalisé une analyse en profondeur des systèmes électroniques de l’entreprise pour confirmer que les données des clients étaient effectivement détruites).
Des amendes ont été infligées lorsque des données de clients ont été retrouvées dans les systèmes électroniques après la fin de la période de rétention nécessaire, car 1) aucun calendrier de conservation n’était en place et, 2) par conséquent, les données étaient conservées beaucoup trop longtemps. Une amende de 1,5 million de couronnes danoises a donc été infligée à IDdesign, soit environ $ 316.000 dollars canadiens.
Aux É.-U., les législateurs rattrapent également leur retard à l’égard de la nécessité des calendriers de conservation pour la protection des données.
En 2018, le Colorado a adopté une nouvelle loi obligeant toutes les « entités concernées » (c.-à-d. « une personne [. . .] qui conserve, possède ou autorise des renseignements permettant d’identifier une personne dans le cadre de ses activités commerciales ou de sa profession) à maintenir une politique de rétention (« élaborer et maintenir des politiques écrites sur l’élimination des renseignements personnels »).
Dans la même veine, la California Consumer Privacy Act (CCPA) stipule que l’objectif de la législature est de « renforcer le droit à la vie privée des Californiens en conférant aux consommateurs un moyen efficace de contrôler leurs renseignements personnels… ».
L’efficacité du contrôle de l’information est un élément fondamental des calendriers de conservation; pour que les entreprises soient en mesure de céder ce contrôle aux consommateurs, leurs affaires doivent d’abord être en ordre, c.-à-d. que celles-ci doivent protéger et gérer l’information en la désignant, la classifiant et la conservant conformément à la loi.
Qui plus est, les lois sur la protection de la vie privée comme le RGPD, la CCPA et la loi sur la protection des renseignements personnels de la Corée du Sud (à titre d’exemple à l’échelle d’un pays) nécessitent une approche de second niveau pour aborder la structuration de l’information (par extension, un calendrier de conservation).
L’information doit remplir certains critères pour être désignée comme contenant des renseignements permettant d’identifier une personne.
Ces critères sont définis de façons légèrement différentes d’une administration à l’autre, mais concordent tous à un égard : il doit exister une caractéristique ou une combinaison de caractéristiques qui permettent l’identification de la personne, c.-à-d. un nom et une adresse, un numéro d’assurance sociale, un nom et une date de naissance, etc. Ces attributs associés aux renseignements permettant d’identifier une personne sont souvent plus efficaces lorsqu’ils sont assignés selon le type de document plutôt que selon une catégorie plus vaste dans le cadre d’un calendrier de conservation.
À titre d’exemple, il est impossible de déterminer si une catégorie d’un calendrier de conservation comme celle des « comptes fournisseurs » contient des renseignements permettant d’identifier une personne (nous pouvons supposer que tel est le cas, sans toutefois pouvoir en être certains) avant d’approfondir l’examen au niveau des documents (p. ex. : factures de clients) et d’appliquer des critères minimaux (la facture contient-elle une ou plusieurs caractéristiques correspondant à des renseignements permettant d’identifier une personne?).
Voilà pourquoi cette approche à deux niveaux est nécessaire à l’égard des calendriers de conservation et de la gouvernance de l’information. Chaque niveau est crucial et ce genre de structure est essentielle pour assurer la conformité.
Considérons l’exemple ci-dessus, pour la facture d’un client, il est nécessaire de pouvoir compter sur une catégorie « comptes fournisseurs » dans le calendrier de conservation, car nous devons attribuer des formules comptables à celle-ci pour déterminer la période de rétention nécessaire pour les renseignements comptables (supposons que la période de rétention pour les registres comptables est de 10 ans; il s’agit de la valeur utilisée dans nombreux pays de l’UE). Il est également nécessaire d’établir si la catégorie plus large contient des renseignements permettant d’identifier une personne et nécessite une liste plus détaillée des types de documents pouvant être « mis en correspondance » avec cette catégorie, car dans ce cas, les attributs associés aux renseignements permettant d’identifier une personne ne peuvent être assignés qu’au niveau des documents.
Pourquoi est-ce important? En raison de l’exigence de ne pas conserver les renseignements plus longtemps que nécessaire.
Sans une catégorie du calendrier de conservation à laquelle nous pouvons assigner une période exigée en vertu de la loi, il est impossible de définir l’exigence de conservation.
Puisque nous avons assigné une période de rétention exigée en vertu de la loi de 10 ans à la catégorie des « comptes fournisseurs », nous savons maintenant que nous devons conserver cette facture du fournisseur (qu’elle contienne ou non des renseignements permettant d’identifier une personne) pendant la période exigée par la loi (10 ans). Dans le cas présent, la période de rétention nécessaire correspond à 10 ans.
Il apparaît maintenant évident que tenter de réaliser tous ces calculs sans un calendrier de conservation est pratiquement impossible. Même en supposant que vous puissiez réaliser les calculs, sans un calendrier de conservation, comment pourriez-vous prouver vos diligences raisonnables si le commissaire à la protection de la vie privée se présente dans votre entreprise, comme dans le cas de IDdesign au Danemark? Le calendrier de conservation sert à la fois d’outil de conformité et à des fins de documentation de la conformité.
Si une entreprise souhaite conserver ses registres de comptes fournisseurs pendant plus de 10 ans, elle sera tenue de présenter un raisonnement justifiable à cet égard (ces demandes de prolongation de la période de conservation peuvent être déposées auprès des commissaires à la protection de la vie privée aux fins d’approbation, ce qui est fortement recommandé, particulièrement en ce qui concerne la conservation des données sur les consommateurs) ou pourra anonymiser l’information ou détruire certains types de documents contenant des renseignements permettant d’identifier une personne. Somme toute, au cœur de l’ensemble de ces fluctuations complexes concernant les attributs associés aux renseignements permettant d’identifier une personne et des raisonnements concernant les périodes de conservation nécessaires se trouve tout simplement le calendrier de conservation (avec la capacité d’assigner des types de documents aux catégories des niveaux plus élevés).
Par conséquent, plutôt que de demeurer médusé et de ne prendre aucune mesure en raison de la complexité alarmante de la multitude de lois sur la confidentialité (et je ne suis pas en désaccord avec le fait que ces lois portent souvent à confusion), prenez ces mesures relativement simples : veillez à ce que votre organisation compte sur un calendrier de conservation (avec les capacités de prise en charge de documents de second niveau requises) et assurez-vous que celui-ci est utilisé de façon uniforme et cohérente au sein de votre organisation.
Access fournit des services en gestion de l’information aux entreprises du Québec et du Canada. Pour plus d’information, veuillez remplir le formulaire sur cette page.
John Kain est le vice-président des services de consultation chez Montaña & Associates, une entreprise de Access. M. Kain est un éminent spécialiste de la gestion des dossiers et de la gouvernance de l’information depuis plus de 22 ans. Il est un expert reconnu de tous les aspects de la gestion et de la gouvernance des informations et son travail est principalement axé sur la conservation, la planification, les questions de politique, la conformité juridique et la confidentialité à l’échelle internationale. Aux côtés de John Montaña, il a conjointement mis sur pieds LexiTrac™, un logiciel de gestion et d’élaboration de calendrier de conservation ultramoderne qui s’est transformé en outil de prédilection au sein dans l’industrie. M. Kain est un rédacteur et conférencier prolifique qui s’intéresse à de nombreux sujets caractéristiques de l’industrie. Ses travaux ont notamment été publiés dans le Information Management magazine et le Information Management Journal. Il est membre de ARMA International, de la American Health Information Management Association et de la Association for Information and Image Management.
