Écrit par Ruth Promislow, Suzie Suliman et Emma Arnold-Fyfe

Lorsque nous sommes retenus par des clients pour les guider dans une cyberattaque au cours de laquelle des renseignements ont été volés par un auteur de menace, nous constatons presque toujours que le client a stocké inutilement des renseignements sensibles bien au-delà de la période pendant laquelle il avait besoin de ces données. Cette approche (ou son absence) de conservation des données pose deux problèmes clés : (1) face à une cyberattaque où des criminels volent vos renseignements, l’organisation engage des coûts inutiles et s’expose potentiellement à des réclamations en conservant des renseignements dont elle n’a pas besoin, et (2) lorsqu’il s’agit de renseignements personnels, la conservation au-delà de la période requise peut donner lieu à des enquêtes réglementaires et à des pénalités; et aux litiges.

La pratique de la surrétention peut être particulièrement coûteuse si l’organisation stocke, par exemple, les numéros d’assurance sociale de tous les anciens employés remontant à des décennies ou des copies de permis de conduire dont elle n’a plus besoin. En conservant ces informations au-delà de la période requise, l’organisation s’expose à des coûts accrus face à une atteinte à la protection des données. En particulier, elle peut engager des coûts d’experts accrus pour examiner et déterminer la portée des renseignements compromis, les coûts d’aviser plus de personnes qu’elle n’aurait dû le faire autrement, et les coûts possibles de surveillance du crédit. De plus, la relation avec la personne concernée peut avoir une incidence sur la façon dont elle reçoit une notification d’atteinte à la protection des données. Un avis est susceptible d’être reçu très différemment par un employé actuel qui a un sentiment de loyauté envers l’employeur par rapport à un ancien employé qui ne savait pas que l’ancien employeur continuait de conserver ses renseignements.

En plus d’un maux de tête accru et des coûts liés à une atteinte à l’information que l’organisation n’avait pas besoin de conserver, l’organisation peut être exposée à la réglementation pour la conservation de l’information au-delà de la période raisonnablement requise de l’information. En vertu de la législation sur la protection des renseignements personnels, les organisations sont tenues de limiter la conservation des données pendant la période nécessaire pour atteindre la fin appropriée pour laquelle les données ont été recueillies ou générées, et cette fin a été déterminée au moment de la collecte initiale. En d’autres termes, une organisation ne peut conserver les renseignements qu’aux fins précisées divulguées à la personne concernée au moment de la collecte. Lorsque les renseignements ne sont plus nécessaires à cette fin, ou qu’il n’est pas autrement tenu de les conserver en vertu d’une loi ou d’un contrat, l’organisation est tenue de les détruire de façon permanente.

Dans les cas où les organisations informent un commissaire à la protection de la vie privée d’une atteinte à la protection des données, le commissaire à la protection de la vie privée pose souvent des questions qui révèlent si l’organisation n’a pas respecté ses obligations de réduire au minimum la conservation des données. En d’autres termes, l’incapacité à minimiser la conservation des données fait souvent surface rapidement lors d’une enquête menée par un bureau de la Commission de la protection de la vie privée. Le fait de ne pas minimiser la conservation des données peut donner lieu à des amendes ou à des ordonnances réglementaires et à des réclamations en litige. Dans le scénario d’un recours collectif découlant d’une atteinte à la protection des données, la taille de la classe peut être plus grande qu’elle ne l’aurait dû si l’organisation avait limité la conservation des données de manière appropriée.

Détermination de la période de conservation appropriée

La période de conservation appropriée des renseignements personnels n’est pas dictée comme un nombre exact à utiliser dans toutes les circonstances de la collecte. Il incombe à l’organisation qui détermine les fins pour lesquelles les renseignements sont recueillis de déterminer quelle est la période de conservation appropriée. Le but de la collecte ou de la production de renseignements guide généralement cette détermination. Sous réserve des obligations réglementaires ou contractuelles de conservation des renseignements, les renseignements personnels qui ne sont plus nécessaires à la réalisation des fins déterminées doivent être détruits, effacés ou rendus anonymes. Par exemple:

Les
• renseignements personnels qui ont été utilisés pour rendre une décision au sujet de la personne peuvent ne plus être conservés de manière appropriée après que la décision a été prise et que le délai dans lequel la personne pouvait contester la décision a expiré;
• Les renseignements utilisés pour administrer l’emploi d’une personne peuvent ne pas être conservés de manière appropriée après la fin de la relation d’emploi.

Points à retenir sur la bonne gouvernance

En élaborant des protocoles pour mettre en œuvre la minimisation de vos données, voici les questions auxquelles votre équipe devrait répondre :

• Pour chaque catégorie de renseignements que nous recueillons ou générons au sujet d’une personne, quel objectif avons-nous déterminé à la personne concernée pour la collecte ou la production de ces renseignements? D’après cette réponse, quel est le déclencheur de la destruction de l’information?
• Existe-t-il des dispositions légales ou contractuelles qui exigent que nous conservions les renseignements pendant une période au-delà de celle nécessaire pour atteindre les fins prévues?
• Où les renseignements sont-ils stockés dans l’organisation et à quels tiers les avons-nous transférés?
• Quels mécanismes pouvons-nous mettre en place pour identifier les renseignements qui peuvent être détruits, que ce soit sous notre garde ou sous la garde d’un tiers auquel nous les avons communiqués?

Si vous avez des questions sur la gestion des risques de cybersécurité, communiquez avec le groupe Data Governance Protection and Cybersecurity group.