La numérisation de documents et la conformité à la LPRPDE : ce que la loi exige réellement
Qu'exige réellement la LPRPDE en matière de numérisation de documents contenant des renseignements personnels? La plupart des entreprises s'y prennent mal — voici la réponse pratique.
Le problème des documents que les entreprises canadiennes sous-estiment
Chaque entreprise qui manipule de la paperasse physique crée un problème numérique de renseignements personnels au moment où elle la numérise. Un formulaire d'admission de client devient un PDF interrogeable. Un contrat signé est téléversé dans le stockage infonuagique. Une lettre de référence médicale est envoyée par courriel à un spécialiste. Le processus de numérisation censé rendre la gestion des documents plus efficace rend aussi les renseignements personnels plus accessibles, plus interrogeables et plus difficiles à contrôler.
Le principe des mesures de sécurité de la LPRPDE exige que les organisations protègent les renseignements personnels au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Les directives du CPVP sur les mesures de sécurité indiquent explicitement que cela s'applique aux dossiers électroniques tout autant qu'aux dossiers physiques — et que le passage du papier au numérique ne réduit pas vos obligations, il les augmente.
Ce que la « numérisation » crée réellement
Lorsque vous numérisez un document contenant des renseignements personnels, vous créez au moins trois préoccupations en matière de vie privée qui n'existaient pas lorsqu'il était sur papier.
L'interrogeabilité. Les systèmes modernes de gestion de documents, les plateformes de stockage infonuagique et les clients de messagerie indexent le contenu des documents. Un PDF numérisé passé par OCR devient un dossier entièrement interrogeable. Un NAS enfoui dans un document de 40 pages est maintenant repérable par quiconque a un accès de recherche à votre stockage de fichiers. Les renseignements personnels n'ont pas changé, mais leur accessibilité, oui.
La reproductibilité. Un document papier dans un classeur verrouillé est une seule copie dans un emplacement connu. Un document numérisé représente autant de copies que votre système de sauvegarde en crée, que votre serveur de courriel en met en cache, que votre lecteur partagé en synchronise et que quiconque y a accès en télécharge. La LPRPDE exige que vous sachiez où résident les renseignements personnels — et un document numérique proliféré crée des dizaines d'emplacements.
La conservation indéfinie. Les documents physiques finissent à la poubelle. Les documents numériques, non, à moins d'avoir une politique délibérée de conservation et de suppression. La plupart des organisations n'en ont pas. Le principe de la LPRPDE sur la limitation de la conservation exige que vous ne conserviez les renseignements personnels que le temps nécessaire à la fin pour laquelle ils ont été recueillis. Les organisations conservent régulièrement des dossiers de clients numérisés pendant dix ou quinze ans par habitude plutôt que par nécessité légale.
Ce que la loi exige : décortiquer le principe des mesures de sécurité
Le principe des mesures de sécurité de la LPRPDE comporte trois composantes qui s'appliquent directement à la gestion des documents : les mesures matérielles, les mesures techniques et les mesures organisationnelles.
Les mesures matérielles comptent encore même dans un flux de travail numérique. Qui a accès physique au numériseur? Où sont stockées les copies imprimées en attendant la numérisation? Qu'advient-il des originaux — sont-ils retournés, détruits de façon sécuritaire ou laissés en pile?
Les mesures techniques pour les documents numérisés signifient des contrôles d'accès à l'emplacement de stockage, le chiffrement au repos de tout ce qui contient des renseignements personnels sensibles, la journalisation des accès pour savoir qui a consulté quoi et un processus défini de suppression sécuritaire.
Les mesures organisationnelles sont celles qui sont le plus souvent négligées : politiques écrites sur la façon de numériser et de classifier les documents, formation du personnel sur la manipulation des renseignements personnels numérisés, désignation de la personne responsable de la gestion de l'archive de documents et procédures pour intervenir lorsqu'un document mal classé ou mal partagé est découvert.
La question du caviardage : quand en avez-vous besoin?
Tous les documents numérisés n'ont pas besoin d'être caviardés avant le stockage. Mais certaines catégories déclenchent une obligation plus élevée.
Les documents partagés à l'externe sont les plus évidents. Lorsqu'un document numérisé doit être envoyé à un tiers — une autre organisation, un organisme de réglementation, une procédure judiciaire — vous devez évaluer si tout ce qui figure dans ce document devrait être partagé avec ce destinataire. Si un contrat contient un NAS, des coordonnées bancaires ou des renseignements personnels sur une partie qui n'est pas le destinataire prévu, ces renseignements devraient être caviardés avant la transmission.
Les documents partagés à l'interne entre des services ayant différents niveaux d'accès sont le cas moins évident. Un membre de l'équipe des finances ne devrait pas nécessairement avoir accès à des renseignements de santé dans un dossier RH simplement parce que les deux dossiers sont stockés sur le même lecteur partagé. Lorsque la numérisation crée un stockage consolidé, elle peut accorder par inadvertance l'accès à des renseignements personnels que les gens n'étaient pas censés voir.
Les documents dans des procédures judiciaires sont le cas le plus réglementé. Les tribunaux canadiens ont des règles précises sur ce qui doit être caviardé dans les documents déposés. Les Règles des Cours fédérales exigent que certains identifiants personnels soient omis ou caviardés des documents déposés au tribunal. Les conséquences d'une erreur ne sont pas seulement des violations de la LPRPDE — ce sont des enjeux procéduraux et déontologiques.
Points d'échec courants dans les flux de travail de numérisation de documents
OCR et indexation mal configurés. Lorsque les documents sont numérisés et passés par OCR, l'index de texte résultant est souvent stocké au même endroit que le document mais avec des contrôles d'accès différents — parfois plus laxistes. Les équipes informatiques configurent les systèmes de gestion de documents pour la convivialité plutôt que pour la confidentialité, et l'équipe de la vie privée ne révise pas la configuration.
Le courriel comme mécanisme de transmission. Le flux de travail par défaut de nombreuses organisations lorsqu'un document numérisé doit aller quelque part est de le joindre à un courriel. Le courriel non chiffré n'est pas approprié pour les documents contenant des NAS, des renseignements de santé, des détails de comptes financiers ou d'autres renseignements personnels sensibles. Le principe des mesures de sécurité de la LPRPDE exige une protection correspondant au degré de sensibilité — et une pièce jointe en clair ne franchit pas ce seuil pour les documents à haute sensibilité.
Aucune convention de nommage ou de classification. Les organisations qui ne classifient pas leurs documents numérisés ne savent pas lesquels exigent une protection plus élevée. Une convention de nommage systématique qui identifie le type de document et le niveau de sensibilité est un contrôle de base que la plupart des organisations négligent.
Conservation sans révision. L'échec à long terme le plus courant est simplement de tout conserver pour toujours. Une numérisation qui était légitime en 2018 peut constituer une violation de la conservation en 2026 si la fin pour laquelle elle a été recueillie est depuis longtemps remplie. Des révisions régulières de la conservation — même des contrôles ponctuels annuels — repèrent les documents qui devraient être purgés.
Bâtir une pratique de numérisation de documents défendable
Une politique de numérisation pratique pour la conformité à la LPRPDE n'a pas besoin d'être compliquée. Elle doit répondre à six questions : Quels types de documents sont numérisés? Où sont-ils stockés? Qui peut y accéder? Combien de temps sont-ils conservés? Que se passe-t-il lorsqu'ils doivent être partagés à l'externe? Et comment sont-ils éliminés à l'expiration des périodes de conservation?
Si vous pouvez répondre à ces six questions par écrit, et si votre pratique réelle correspond à ces réponses, vous avez le fondement d'une position défendable. La plupart des organisations ne peuvent pas répondre aux six — ce qui est précisément là où réside l'exposition.
La conformité IA et vie privée, simplifiée.
Valdra aide les entreprises canadiennes à gouverner l’IA et à respecter PIPEDA et la Loi 25 — hébergé au Canada.
Découvrir Valdra