Écrit par Ruth Promislow

L’élimination du matériel de la mauvaise manière peut laisser une organisation au-dessous de ses obligations réglementaires en vertu de la législation sur la protection des renseignements personnels. Selon la résidence des personnes ou des entités dont les données personnelles sont stockées par des organisations, l’élimination inappropriée des dispositifs de stockage matériel peut être hors de propos des obligations réglementaires dans plusieurs pays.

Morgan Stanley a récemment accepté de payer 35 millions de dollars américains à la Securities and Exchange Commission (SEC) des États-Unis à la suite d’une enquête de la SEC concernant le retrait inapproprié présumé d’appareils informatiques des bureaux de Morgan Stanley. La SEC a allégué que la société avait embauché une société de déménagement et de stockage sans expertise en protection des données pour mettre hors service des milliers de serveurs et de disques durs. La SEC a également allégué que l’entreprise de déménagement avait vendu ces appareils, qui comprenaient les renseignements d’identification personnelle de millions de clients. Morgan Stanley n’a pas admis les allégations.

Cette affaire soulève un risque important qui est souvent négligé. Le matériel utilisé par une organisation contient généralement des quantités importantes de renseignements personnels et confidentiels. Si elles ne sont pas effacées correctement, ces informations peuvent faire l’objet d’un accès non autorisé. Si une organisation externalise la tâche de suppression et de destruction sans prendre les mesures appropriées, cette organisation est exposée.

En règle générale, la manière dont le matériel est éliminé par une organisation est laissée au service informatique. Toutefois, les risques inhérents à cet exercice exigent une surveillance de la part de la direction sur la façon dont cette tâche sera exécutée, y compris, par exemple, la vérification des fournisseurs tiers qui peuvent être retenus pour disposer de l’équipement, les obligations contractuelles et les modalités d’indemnisation dans l’entente avec ces fournisseurs, et les limites de la capacité du fournisseur à externaliser ses obligations.

Le Commissariat à la protection de la vie privée du Canada (CPVP) recommande ce qui suit (entre autres choses) dans son document d’orientation intitulé Conservation et élimination des renseignements personnels : Principes et pratiques exemplaires :

• Les renseignements personnels doivent être détruits ou supprimés en toute sécurité avant de se débarrasser du matériel qui contient de tels renseignements.
• Si l’organisation doit se débarrasser de l’électronique, elle devrait avoir une personne désignée responsable de l’organisation de la destruction appropriée des données et demander aux employés de diriger tout le matériel et les appareils électroniques vers cette personne.
• Une organisation devrait évaluer soigneusement les risques et les avantages respectifs de la destruction de renseignements personnels sur place ou hors site.
• Lorsqu’elle envisage de faire appel à un tiers pour éliminer des renseignements personnels, une organisation devrait tenir compte de la nature délicate des renseignements personnels et prendre des mesures proportionnelles pour gérer les risques en conséquence.
• Une organisation doit s’assurer que l’entrepreneur tiers possède des informations d’identification vérifiables et peut garantir à la fois un transfert sécurisé des dossiers du bureau de l’organisation à sa propre installation de destruction, et une méthode de destruction sécurisée qui correspond à la sécurité des médias et de l’information.
• Si une organisation décide de sous-traitancer, elle doit garder à l’esprit qu’elle demeure responsable de l’information à éliminer. Les pratiques exemplaires lorsqu’on traite avec des tiers comprennent :
  • les clauses de protection de la vie privée dans les contrats pour s’assurer que les tiers auxquels les renseignements personnels sont transférés aux fins de traitement (et tout sous-traitant éventuel) offrent le même niveau de protection en vertu de la loi que votre organisation; et
  • les clauses de surveillance et de vérification pour assurer les antécédents et le contrôle de la qualité.

Les questions de protection de la vie privée et de confidentialité exigent une planification et un examen minutieux à chaque étape du cycle de vie des données, de la collecte à l’élimination. Les conséquences de ne pas le faire peuvent être importantes.

Le groupe Bennett Jones Privacy and Data Protection group se ferai un plaisir de vous aider avec toutes vos questions.