Conservation, transfert et élimination des renseignements personnels

Vous devez prévoir des mesures de protection afin de conserver, de transférer et d’éliminer les renseignements personnels de façon appropriée et sécuritaire86.

La partie X vous oblige à prendre des mesures raisonnables pour que les dossiers de renseignements personnels dont vous avez la garde ou le contrôle soient conservés, transférés et éliminés de manière sécuritaire. De plus, vous devez vous conformer aux exigences de la LSEJF et de ses règlements d’application qui sont décrites ci-dessous.

Vous devez adopter une politique de conservation précisant les types de dossiers de renseignements personnels que vous tenez, leur classement, la période pendant laquelle vous les conserverez et la méthode que vous emploierez pour les éliminer ou les transférer. La partie X ne dicte pas pendant combien de temps vous devez conserver les dossiers, mais elle vous oblige à tenir compte de certains facteurs pour établir les périodes de conservation87. Par exemple, vous devez tenir compte de la question de savoir si un autre fournisseur de services a la garde ou le contrôle du dossier ou s’il en a besoin pour fournir un service, ainsi que de toute exigence prévue par la LSEJF ou une autre loi qui se rapporte à la période de conservation du dossier88.

Quelles que soient vos périodes de conservation, si un particulier demande l’accès à un dossier, vous devez le conserver aussi longtemps que nécessaire pour répondre à la demande et pour permettre au particulier d’épuiser tous ses recours (y compris les plaintes éventuelles au CIPVP et toute révision ou tout appel subséquent). Pour en savoir davantage sur les demandes d’accès à l’information présentées par des particuliers, voir les pages 33-39.

Afin d’éliminer les dossiers de façon sécuritaire, vous devez les protéger contre le vol et la perte et contre leur utilisation ou divulgation non autorisée89. Vous devez également vous assurer que les renseignements personnels contenus dans le dossier ne pourront être reconstitués ou récupérés après l’élimination du dossier. C’est pourquoi il est inacceptable de recycler les dossiers de renseignements personnels ou de mettre aux ordures des documents intacts.

Pour éliminer les dossiers de façon sécuritaire, vous devez :

  • élaborer une politique de destruction sécuritaire en complément de votre politique de conservation, qui précise les dossiers qui doivent être détruits, le moment où ils doivent l’être et les responsables de cette destruction;
  • faire en sorte que toute entente que vous concluez avec un fournisseur de services externe pour détruire des dossiers, comme une société de destruction de documents, aborde la question de l’élimination sécuritaire;
  • dans le cas des dossiers électroniques, soit détruire le support de stockage, soit écraser les données qui s’y trouvent; la meilleure méthode à adopter repose sur le type de support90.

Vous devez aussi consigner les dossiers que vous avez éliminés d’une façon qui ne consigne aucun des renseignements personnels qui y figurent.

 

 

86. LSEJF, par. 309 (1); Règl. de l’Ont. 191/18, art. 10.
87. Ces exigences sont énoncées à l’art. 10 du Règl. de l’Ont. 191/18. Les fournisseurs de services doivent se familiariser avec les exigences des paragraphes 10 (5) à (7) de ce règlement lorsqu’ils élaborent leurs politiques de conservation des dossiers.
88. Par exemple, le par. 93 (2) du Règl. de l’Ont. 156/18 pris en application de la LSEJF prévoit des exigences de conservation de certains dossiers tenus par des titulaires de permis qui exploitent des foyers pour enfants.
89. Règl. de l’Ont. 191/18, par. 10 (3).
90. Sur son site Web, à www.ipc.on.ca, le CIPVP donne des conseils sur l’élimination sécuritaire des dossiers, y compris des dossiers électroniques.

This post is also available in: Anglais