• Cabinet
  • Bureaux
  • Carrières
  • Nouvelles
  • Étudiants
  • Anciens
  • Paiements
  • EN | FR
Background Image
Bennett Jones Logo
  • Équipe
  • Expertise
  • Ressources
  • Recherche
  • EN Menu
  • Recherche mobile
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
Voir tout
Domaines de pratique
Droit des sociétés Litige Affaires réglementaires Droit fiscal Voir tout
Secteurs
Énergie Infrastructures Mines Capital-investissement et fonds de placement Voir tout
Services-conseils
Gestion des crises et des risques Politique publique
Consultez les mandats représentatifs
Expérience internationale
Perspectives Nouvelles Événements S’abonner
Angle d'arbitrage Perspectives liées à l’intelligence artificielle Balado « Business Law Talks » Actions collectives : Perspectives d’avenir Info-éclair sur les recours collectifs
Perspectives économiques Série sur la nouvelle économie de l’énergie Aperçus trimestriels des technologies financières Aperçu trimestriel sur les fusions et acquisitions L'ESG et le DSI
Équipe
Bureaux
Cabinet
Domaines de pratique
Secteurs
Enjeux Strategiques
Mandats représentatifs
Perspectives
Nouvelles
Événements
Carrières
Étudiants
Anciens
Paiements
Recherche
S’abonner

Restez au fait des dernières nouvelles et de nos événements dans le domaine des affaires et du droit.

LinkedIn LinkedIn Twitter Twitter Vimeo Vimeo
 
Blogue

Nettoyage de printemps des données : minimisez votre responsabilité

13 mai 2025

Écrit par Ruth Promislow, Suzie Suliman et Emma Arnold-Fyfe

Lorsque nous sommes retenus par des clients pour les guider dans une cyberattaque au cours de laquelle des renseignements ont été volés par un auteur de menace, nous constatons presque toujours que le client a stocké inutilement des renseignements sensibles bien au-delà de la période pendant laquelle il avait besoin de ces données. Cette approche (ou son absence) de conservation des données pose deux problèmes clés : (1) face à une cyberattaque où des criminels volent vos renseignements, l’organisation engage des coûts inutiles et s’expose potentiellement à des réclamations en conservant des renseignements dont elle n’a pas besoin, et (2) lorsqu’il s’agit de renseignements personnels, la conservation au-delà de la période requise peut donner lieu à des enquêtes réglementaires et à des pénalités; et aux litiges.

La pratique de la surrétention peut être particulièrement coûteuse si l’organisation stocke, par exemple, les numéros d’assurance sociale de tous les anciens employés remontant à des décennies ou des copies de permis de conduire dont elle n’a plus besoin. En conservant ces informations au-delà de la période requise, l’organisation s’expose à des coûts accrus face à une atteinte à la protection des données. En particulier, elle peut engager des coûts d’experts accrus pour examiner et déterminer la portée des renseignements compromis, les coûts d’aviser plus de personnes qu’elle n’aurait dû le faire autrement, et les coûts possibles de surveillance du crédit. De plus, la relation avec la personne concernée peut avoir une incidence sur la façon dont elle reçoit une notification d’atteinte à la protection des données. Un avis est susceptible d’être reçu très différemment par un employé actuel qui a un sentiment de loyauté envers l’employeur par rapport à un ancien employé qui ne savait pas que l’ancien employeur continuait de conserver ses renseignements.

En plus d’un maux de tête accru et des coûts liés à une atteinte à l’information que l’organisation n’avait pas besoin de conserver, l’organisation peut être exposée à la réglementation pour la conservation de l’information au-delà de la période raisonnablement requise de l’information. En vertu de la législation sur la protection des renseignements personnels, les organisations sont tenues de limiter la conservation des données pendant la période nécessaire pour atteindre la fin appropriée pour laquelle les données ont été recueillies ou générées, et cette fin a été déterminée au moment de la collecte initiale. En d’autres termes, une organisation ne peut conserver les renseignements qu’aux fins précisées divulguées à la personne concernée au moment de la collecte. Lorsque les renseignements ne sont plus nécessaires à cette fin, ou qu’il n’est pas autrement tenu de les conserver en vertu d’une loi ou d’un contrat, l’organisation est tenue de les détruire de façon permanente.

Dans les cas où les organisations informent un commissaire à la protection de la vie privée d’une atteinte à la protection des données, le commissaire à la protection de la vie privée pose souvent des questions qui révèlent si l’organisation n’a pas respecté ses obligations de réduire au minimum la conservation des données. En d’autres termes, l’incapacité à minimiser la conservation des données fait souvent surface rapidement lors d’une enquête menée par un bureau de la Commission de la protection de la vie privée. Le fait de ne pas minimiser la conservation des données peut donner lieu à des amendes ou à des ordonnances réglementaires et à des réclamations en litige. Dans le scénario d’un recours collectif découlant d’une atteinte à la protection des données, la taille de la classe peut être plus grande qu’elle ne l’aurait dû si l’organisation avait limité la conservation des données de manière appropriée.

Détermination de la période de conservation appropriée

La période de conservation appropriée des renseignements personnels n’est pas dictée comme un nombre exact à utiliser dans toutes les circonstances de la collecte. Il incombe à l’organisation qui détermine les fins pour lesquelles les renseignements sont recueillis de déterminer quelle est la période de conservation appropriée. Le but de la collecte ou de la production de renseignements guide généralement cette détermination. Sous réserve des obligations réglementaires ou contractuelles de conservation des renseignements, les renseignements personnels qui ne sont plus nécessaires à la réalisation des fins déterminées doivent être détruits, effacés ou rendus anonymes. Par exemple:

    Les
  • renseignements personnels qui ont été utilisés pour rendre une décision au sujet de la personne peuvent ne plus être conservés de manière appropriée après que la décision a été prise et que le délai dans lequel la personne pouvait contester la décision a expiré;
  • Les renseignements utilisés pour administrer l’emploi d’une personne peuvent ne pas être conservés de manière appropriée après la fin de la relation d’emploi.

Points à retenir sur la bonne gouvernance

En élaborant des protocoles pour mettre en œuvre la minimisation de vos données, voici les questions auxquelles votre équipe devrait répondre :

  • Pour chaque catégorie de renseignements que nous recueillons ou générons au sujet d’une personne, quel objectif avons-nous déterminé à la personne concernée pour la collecte ou la production de ces renseignements? D’après cette réponse, quel est le déclencheur de la destruction de l’information?
  • Existe-t-il des dispositions légales ou contractuelles qui exigent que nous conservions les renseignements pendant une période au-delà de celle nécessaire pour atteindre les fins prévues?
  • Où les renseignements sont-ils stockés dans l’organisation et à quels tiers les avons-nous transférés?
  • Quels mécanismes pouvons-nous mettre en place pour identifier les renseignements qui peuvent être détruits, que ce soit sous notre garde ou sous la garde d’un tiers auquel nous les avons communiqués?

Si vous avez des questions sur la gestion des risques de cybersécurité, communiquez avec le groupe Data Governance Protection and Cybersecurity group.

Traduction alimentée par l’IA.

Veuillez noter que cette publication présente un aperçu des tendances juridiques notables et des mises à jour connexes. Elle est fournie à titre informatif seulement et ne saurait remplacer un conseil juridique personnalisé. Si vous avez besoin de conseils adaptés à votre propre situation, veuillez communiquer avec l’un des auteurs pour savoir comment nous pouvons vous aider à gérer vos besoins juridiques.

Pour obtenir l’autorisation de republier la présente publication ou toute autre publication, veuillez communiquer avec Amrita Kochhar à kochhara@bennettjones.com.

Télécharger le PDF

Auteur(e)s

  • Ruth E. Promislow Ruth E. Promislow, Associée
  • Suzie Suliman Suzie Suliman, Avocate, Agente de marques de commerce
  • Emma Arnold-Fyfe Emma Arnold-Fyfe, Avocate

Liens connexes

  • Perspectives
  • Nouvelles
  • S’abonner

Articles récents

Blogue

Nettoyage de printemps des données : minimisez votre responsabilité

13 mai 2025
       

Blogue

Un produit ne peut pas s’endommager lui-même : la [...]

12 mai 2025
       

Blogue

Le projet de loi 4 de la Colombie-Britannique ciblant [...]

12 mai 2025
       

Blogue

Le gouvernement de la Colombie-Britannique simplifie [...]

09 mai 2025
       

Blogue

BBHIC 2025: Key Insights From Canada’s Leading Healthcare [...]

08 mai 2025
       
Bennett Jones Centennial Footer
Bennett Jones Centennial Footer
Cabinet
  • Direction
  • Diversité
  • Communauté
  • Innovation
  • Sécurité
Bureaux
  • Calgary
  • Edmonton
  • Montréal
  • Ottawa
  • Toronto
  • Vancouver
  • New York
Se connecter
  • Perspectives
  • Nouvelles
  • Événements
  • Carrières
  • Étudiants
  • Anciens
S’abonner

Restez au fait des dernières nouvelles et de nos événements dans le domaine des affaires et du droit.

LinkedIn LinkedIn Twitter Twitter Vimeo Vimeo
© Bennett Jones S.E.N.C.R.L., s.r.l. 2025. Tous droits réservés. Traduction alimentée par l’IA
  • Politique de confidentialité
  • Avis de non-responsabilité
  • Conditions d’utilisation
Logo Bennett Jones