CanucktAI
Retour au blogue
Conformité April 18, 2026 8 min de lecture

Votre équipe RH laisse fuir des NAS chaque semaine et personne ne vérifie

Les équipes RH canadiennes manipulent quotidiennement des NAS, des coordonnées bancaires et des dossiers médicaux. La plupart n'ont aucune détection automatisée des renseignements personnels en place — et l'exposition se produit en ce moment même.

Par Vivek Chakravarthy

Votre équipe RH laisse fuir des NAS chaque semaine et personne ne vérifie

Le problème des NAS dont personne ne parle

Chaque fois qu'un employé canadien est intégré, son numéro d'assurance sociale passe par au moins quatre ou cinq mains — le gestionnaire d'embauche qui l'a recueilli sur le formulaire TD1, l'administrateur de la paie qui l'a saisi dans le système, le coordonnateur RH qui a classé la copie papier, le fournisseur d'avantages sociaux qui en a besoin pour l'inscription. Dans une entreprise de 50 personnes, cela représente des centaines de manipulations de NAS par année, par courriel, par lecteurs partagés, par formulaires imprimés et par exportations de logiciels de paie.

Les directives du Commissariat à la protection de la vie privée du Canada sur les NAS sont claires : vous ne devriez les recueillir que lorsque la loi l'exige, vous devriez les conserver de façon sécuritaire et vous ne devriez pas les conserver plus longtemps que nécessaire. Ce que les directives ne vous disent pas, c'est comment réellement faire respecter tout cela lorsque votre équipe RH fonctionne avec un mélange d'Outlook, de Google Drive, de BambooHR et d'un classeur.

La plupart des organisations savent qu'elles ont un problème de NAS. Presque aucune ne sait à quel point il est grave.

À quoi ressemble une véritable fuite de données RH

Voici un scénario qui se répète régulièrement dans les organisations canadiennes. Un coordonnateur de la paie envoie un chiffrier à un nouveau courtier en avantages sociaux. Le chiffrier a été conçu pour un usage interne — il contient les noms des employés, les dates d'embauche, les fourchettes salariales et les NAS parce que quelqu'un a ajouté cette colonne il y a trois ans et qu'elle n'a jamais été retirée. Le courtier le reçoit, traite ce dont il a besoin et le stocke sur ses propres systèmes. Personne n'a signalé la colonne des NAS. Personne n'a demandé si le courtier avait besoin de ces numéros. Le transfert n'a pas été documenté.

C'est une violation de la LPRPDE. Les renseignements ont été divulgués à un tiers sans autorisation, à une fin dépassant celle pour laquelle ils avaient été recueillis, sans aucune protection contractuelle en place. L'organisation ne savait pas que c'était arrivé parce qu'aucun système automatisé ne cherchait les NAS circulant dans son infrastructure de partage de fichiers.

Le même schéma se répète avec les renseignements bancaires recueillis pour le dépôt direct. Avec la documentation d'invalidité ou médicale soumise pendant un congé. Avec les adresses et les coordonnées d'urgence qui se retrouvent dans des trousses d'intégration transmises à des gestionnaires qui n'en avaient pas besoin.

Pourquoi les processus manuels ne peuvent pas détecter cela

Le problème avec le fait de se fier au jugement humain pour détecter l'exposition de renseignements personnels, c'est qu'il évolue dans la mauvaise direction. À mesure que votre organisation grandit, le nombre de documents contenant des renseignements personnels croît plus vite que le nombre de personnes qui y prêtent attention. Une entreprise de 10 personnes peut raisonnablement s'attendre à ce que le fondateur sache où résident les renseignements sensibles. Une entreprise de 75 personnes ne le peut pas.

Le personnel RH n'est pas constitué de spécialistes de la vie privée. Ses membres sont bons en embauche, en administration des avantages sociaux et en organisation des gens. Leur demander de vérifier manuellement chaque document sortant pour y détecter des NAS, des coordonnées bancaires, des renseignements de santé et des adresses de domicile en plus de leur travail réel crée du ressentiment et une conformité sélective. Ils attraperont les évidents et rateront les intégrés — le NAS dans une pièce jointe PDF, l'adresse intégrée dans un formulaire numérisé, les coordonnées bancaires reconnues par OCR dans un format interrogeable.

La détection automatisée des renseignements personnels ne remplace pas le bon jugement RH. Elle le complète en attrapant ce que les humains ratent à grande échelle.

Les types précis de renseignements personnels qui circulent dans les RH

Un service RH réaliste manipule régulièrement la plupart de ce qui suit :

Documents d'identité : NAS, numéros de permis de conduire, numéros de passeport recueillis lors de vérifications des antécédents ou de vérification équivalente, numéros de carte de résident permanent.

Données financières : numéros de compte et d'acheminement bancaires pour le dépôt direct, historique salarial d'employeurs précédents, montants de cotisation aux avantages sociaux, détails de saisie de salaire.

Renseignements de santé : certificats d'invalidité, notes du médecin, documentation de réclamation d'assurance, demandes d'accommodement décrivant des conditions médicales.

Résultats de vérification des antécédents : vérifications du casier judiciaire (lorsque légalement permis), notes de vérification de références pouvant inclure des détails personnels, résultats de vérification de crédit pour certains postes.

Contacts d'urgence : adresses de domicile, numéros de téléphone personnels, détails sur des membres de la famille qui n'ont consenti à aucune collecte de données.

Chacun de ces éléments a des niveaux de sensibilité différents et des exigences de manipulation différentes aux termes de la LPRPDE. Le NAS en particulier devrait déclencher le plus haut niveau de vigilance — le CPVP a publié des directives précises selon lesquelles les NAS ne devraient être recueillis que lorsque la loi l'exige, et que leur collecte inutile constitue en soi une violation.

Ce que la LPRPDE exige réellement des employeurs

La LPRPDE s'applique aux renseignements sur les employés dans les milieux de travail sous réglementation fédérale. Pour les entreprises sous réglementation provinciale au Québec, en Alberta et en Colombie-Britannique, ce sont plutôt les lois provinciales sur la vie privée qui s'appliquent — et la Loi 25 du Québec, en particulier, impose des exigences plus strictes que la LPRPDE sur plusieurs points.

L'obligation fondamentale aux termes de la LPRPDE est la responsabilité. Votre organisation est responsable des renseignements personnels qu'elle détient, y compris de la façon dont ils sont recueillis, conservés, utilisés et divulgués. Le principe de responsabilité ne se soucie pas qu'une fuite soit survenue à cause d'un fournisseur de traitement de la paie tiers ou d'un courriel négligent. L'obligation demeure celle de votre organisation.

Les dispositions sur les atteintes aux mesures de sécurité entrées en vigueur en 2018 ajoutent une autre couche. Si une atteinte à la protection des données crée un « risque réel de préjudice grave » pour les employés, vous devez la signaler au commissaire à la protection de la vie privée et aviser les personnes touchées. Le seuil de « préjudice grave » inclut le préjudice financier — ce que la fuite d'un NAS ou de coordonnées bancaires satisfait clairement.

Commencer à comprendre votre exposition

La première étape n'est pas d'acheter un logiciel. C'est de faire un inventaire honnête des endroits où résident actuellement les renseignements personnels des employés dans votre organisation. Un exercice utile consiste à cartographier le cycle de vie d'un NAS : où est-il recueilli, quels systèmes le stockent, qui y a accès, où a-t-il été envoyé à l'externe et comment est-il détruit lorsqu'un employé quitte.

La plupart des organisations qui font cet exercice découvrent des renseignements personnels dans des endroits inattendus : vieux fils de courriels, dossiers Google Drive partagés à accès trop large, rapports RH exportés et oubliés, systèmes de sauvegarde non vérifiés depuis des années.

L'analyse automatisée — exécuter la détection sur vos stockages de fichiers, archives de courriels et lecteurs partagés — vous donne une image de l'exposition réelle, et non de l'exposition hypothétique. C'est là qu'un outil comme Shielk change la conversation de « nous pensons être conformes » à « voici exactement où résident nos NAS et qui les a manipulés ».

Les organisations qui prennent cela au sérieux avant un incident sont celles qui évitent les obligations de signalement. Celles qui découvrent leur exposition lors d'une enquête sur une plainte au CPVP sont celles qui apprennent ce que la conformité coûte réellement.

HR PII leak CanadaSIN data leakautomated PII detection CanadaPIPEDA HR complianceemployee data protection Canada

La conformité IA et vie privée, simplifiée.

Valdra aide les entreprises canadiennes à gouverner l’IA et à respecter PIPEDA et la Loi 25 — hébergé au Canada.

Découvrir Valdra

Notre propre conformité

Nous gérons notre propre programme de conformité dans Valdra — le produit que nous vendons. Nos programmes SOC 2, ISO 27001 et ISO 42001 sont en cours; nous ne revendiquons aucune certification que nous ne détenons pas encore.

Badge de conformité Valdra — cliquez pour vérifier
  • LPRPDE
  • Loi 25 (Québec)
  • LCAP
  • Données hébergées au Canada 🇨🇦
  • Gouvernance de l’IA
Voir notre centre de confiance

Auto-déclaré, et non audité par un tiers. Cliquez sur le badge pour vérifier son authenticité et voir ce qu’il couvre.

Votre équipe RH laisse fuir des NAS chaque semaine et personne ne vérifie | Canuckt AI