Combien de temps peut-on conserver des donnu00e9es sous la Loi 25?

La Loi 25 n'impose pas de du00e9lais fixes par catu00e9gorie, mais exige de ne conserver les donnu00e9es que le temps nu00e9cessaire u00e0 la finalitu00e9 du00e9claru00e9e. Pratiques recommandu00e9es : donnu00e9es de candidats non retenus (6 mois), soumissions de formulaires de contact sans suite (90 jours), paniers abandonnu00e9s (30 jours), comptes inactifs (24 mois avec notification).

Quelle est la diffu00e9rence entre anonymisation et pseudonymisation?

La pseudonymisation remplace les identifiants directs par des codes , la ru00e9identification reste possible avec la clu00e9, et les donnu00e9es restent soumises u00e0 la Loi 25. L'anonymisation est irru00e9versible : ru00e9identification mathu00e9matiquement impossible. Seules les donnu00e9es vraiment anonymisu00e9es u00e9chappent au ru00e9gime de la Loi 25. Un ru00e8glement quu00e9bu00e9cois de 2024 du00e9finit les critu00e8res d'anonymisation valide.

Faut-il avoir une politique de ru00e9tention des donnu00e9es?

Oui. La Loi 25 impose de ne conserver les donnu00e9es que le temps nu00e9cessaire u00e0 leur finalitu00e9. Une politique de ru00e9tention documentu00e9e, avec des du00e9lais pru00e9cis par catu00e9gorie de donnu00e9es, est essentielle pour du00e9montrer la conformitu00e9 lors d'un audit CAI. SiteQC offre une configuration par catu00e9gorie avec purge automatique.

Comment du00e9truire des donnu00e9es personnelles de fau00e7on conforme u00e0 la Loi 25?

La destruction doit u00eatre su00e9curisu00e9e et documentu00e9e. Pour les donnu00e9es numu00e9riques : u00e9crasement su00e9curisu00e9 (standard DoD 5220.22-M) ou chiffrement irru00e9versible de la clu00e9 de du00e9chiffrement. Pour les supports physiques sensibles : broyage certifiu00e9. Chaque destruction doit u00eatre consignu00e9e dans un registre avec date, catu00e9gorie de donnu00e9es et mu00e9thode utilisu00e9e.

12 min

Leçon 6.1 : Conservation, anonymisation et destruction des données

De la collecte à la destruction : le cycle de vie légal

La Loi 25 impose une vision du cycle de vie complet des données : collecter uniquement ce qui est nécessaire, conserver seulement aussi longtemps que nécessaire, et détruire ou anonymiser de façon sécurisée lorsque la finalité est atteinte. Ce principe de minimisation transforme la gestion des données d’une thésaurisation passive en une gouvernance active.

Le principe de minimisation

Dès qu’un renseignement personnel n’est plus nécessaire à la réalisation de la finalité pour laquelle il a été collecté, l’organisation a l’obligation légale de le détruire ou de l’anonymiser. La conservation indéfinie de données « au cas où » est une violation.

Données de candidats non retenus : supprimer dans les 6 mois suivant la décision (directives CAI mars 2025).
Soumissions de formulaires de contact : supprimer après 90 jours si aucune relation d’affaires établie.
Données de paniers abandonnés : supprimer après 30 jours.
Données de comptes clients inactifs : notifier + supprimer après 24 mois d’inactivité.

Anonymisation vs pseudonymisation : une distinction légale cruciale

Pseudonymisation (dépersonnalisation) :

On remplace les identifiants directs par des codes ou hachages.
La réidentification reste techniquement possible avec la clé.
Les données pseudonymisées sont toujours soumises à la Loi 25.

Anonymisation :

Processus irréversible, il est mathématiquement impossible de réidentifier la personne.
Les données vraiment anonymisées échappent au régime de la Loi 25.
Un règlement québécois spécifique (adopté en 2024) définit les critères d’anonymisation valide.
L’organisation doit documenter les procédés d’anonymisation et tenir un registre.

Attention : un simple hachage MD5 d’une adresse courriel n’est pas une anonymisation valide, la réidentification est techniquement possible. La Loi 25 exige une analyse des risques de réidentification documentée.

siteqc-loi25-pseudonymisation-vs-anonymisation

La destruction sécurisée

Supprimer un fichier ne suffit pas, les données restent récupérables sur le disque. La destruction sécurisée implique :

Numérique : écrasement sécurisé (DoD 5220.22-M) ou chiffrement irréversible de la clé.
Physique : broyage des supports physiques pour les données très sensibles.
Documentation de la destruction dans le registre.

SiteQC : cycles de purge automatisés

SiteQC implémente des politiques de rétention configurables par catégorie de données, avec purge automatique programmée et notifications préalables aux utilisateurs concernés. Les destructions sont journalisées pour démonstration de conformité devant la CAI.

Points clés

Conservation indéfinie = violation de la Loi 25.
Pseudonymisation ≠ anonymisation : la première reste soumise à la loi.
Anonymisation valide = irréversible + analyse des risques de réidentification documentée.
Destruction sécurisée documentée dans le registre.