CanucktAI
Retour au blogue
LPRPDE May 19, 2026 8 min de lecture

Les 6 types de renseignements personnels cachés dans vos documents d'affaires qu'aucun scanneur ne repère

Six catégories de renseignements personnels apparaissent régulièrement dans les documents d'affaires canadiens et échappent à la révision manuelle. La plupart des scanneurs de base repèrent les noms et les courriels. Ces six-là exigent une détection plus sophistiquée.

Par Vivek Chakravarthy

Les 6 types de renseignements personnels cachés dans vos documents d'affaires qu'aucun scanneur ne repère

Pourquoi l'analyse de base passe à côté des cas difficiles

La plupart des discussions sur l'analyse des renseignements personnels portent sur l'évident : noms, adresses courriel, numéros de téléphone. Ce sont de véritables renseignements personnels qui méritent d'être détectés — mais ce sont aussi les catégories que même les outils de base gèrent raisonnablement bien. L'exposition qui crée un véritable risque de conformité pour les entreprises canadiennes provient des catégories qui exigent une compréhension contextuelle, une reconnaissance de motifs propre au Canada ou une détection dans des formats de documents non standards.

Voici les six types de renseignements personnels qui apparaissent constamment dans les documents d'affaires canadiens et qui échappent constamment à la détection.

1. Les numéros d'assurance sociale dans des formats non standards

Un NAS canadien comporte neuf chiffres, généralement écrits en trois groupes de trois séparés par des espaces (123 456 789) ou des traits d'union. La simple correspondance de motifs repère ce format.

Ce qu'elle ne repère pas : les NAS intégrés dans de plus longues chaînes de chiffres, les NAS écrits en neuf chiffres consécutifs sans séparateurs, les NAS dans des formulaires PDF où l'étiquette du champ se trouve sur une ligne différente de la valeur, les NAS dans des documents numérisés où la ROC a introduit des erreurs de caractères qui brisent le motif, et les NAS qui apparaissent dans des colonnes de données sans étiquettes de champ à proximité.

En pratique, une proportion importante des NAS dans de véritables documents d'affaires se situe hors du format standard — particulièrement dans les anciens dossiers, dans les documents qui ont été photocopiés et renumérisés plusieurs fois, et dans les données exportées de systèmes hérités qui suppriment la mise en forme. La détection propre au Canada doit tenir compte de ces variations et de la logique de validation qui distingue les NAS valides des chaînes aléatoires de neuf chiffres.

2. Les quasi-identifiants en combinaison

Un quasi-identifiant est une information qui n'est pas personnellement identificatoire en soi mais qui le devient en combinaison avec d'autres données. Une année de naissance seule n'identifie rien. Une année de naissance plus un code postal plus un sexe réduit une population à très peu d'individus. Une année de naissance plus un code postal plus un titre de poste dans une petite organisation peut identifier une personne précise de façon unique.

La recherche sur le risque de réidentification montre que 87 % des Américains peuvent être identifiés de façon unique au moyen de leur seule date de naissance, leur sexe et leur code ZIP à cinq chiffres. Les codes postaux canadiens sont encore plus granulaires — une RTA (région de tri d'acheminement) de trois caractères couvre une zone géographique plus petite qu'un code ZIP américain, ce qui rend la combinaison plus identificatoire.

Les documents d'affaires contiennent régulièrement des combinaisons de quasi-identifiants sans qu'aucun élément unique soit manifestement sensible : rapports des RH avec tranches d'âge et services, exportations d'analyses sur la clientèle avec ventilations régionales et démographiques, études de marché avec tableaux croisés démographiques. Les scanneurs de base recherchent des valeurs de champs sensibles, et non des combinaisons identificatoires.

3. Les numéros de carte d'assurance maladie et les identifiants provinciaux

Les numéros de carte Santé de l'Ontario (dix chiffres), les numéros personnels de santé de la Colombie-Britannique (dix chiffres), les numéros personnels de santé de l'Alberta (neuf chiffres) — ce sont des renseignements personnels sensibles en vertu des lois provinciales sur la protection des renseignements sur la santé. Ils apparaissent dans le traitement des réclamations d'assurance, dans les dossiers d'emploi où l'employeur paie des avantages collectifs, dans la documentation d'accommodement pour invalidité, et dans tout contexte où le traitement médical d'un employé est pertinent à son emploi.

Contrairement aux NAS, les numéros provinciaux de santé n'ont pas de format national uniforme. Un scanneur conçu pour détecter les cartes Santé de l'Ontario ne détectera pas les NPS de la Colombie-Britannique sans logique provinciale précise. Les organisations qui exercent leurs activités dans plusieurs provinces — ou qui traitent des réclamations d'assurance pour des employés dans plusieurs provinces — ont besoin d'une détection des identifiants de santé multiprovinciaux.

4. Les détails de comptes financiers dans la correspondance

Les renseignements bancaires apparaissent dans plus de types de documents que les organisations ne le réalisent généralement. Les formulaires de configuration du dépôt direct en contiennent évidemment. Mais ils apparaissent aussi dans : la correspondance des comptes fournisseurs avec des détails de virement bancaire, les documents d'intégration des fournisseurs où des renseignements bancaires sont recueillis pour le traitement des paiements, la correspondance juridique au sujet de règlements financiers qui inclut des détails de compte pour le transfert de fonds, et les formulaires de dépenses des employés qui incluent des renseignements de compte de remboursement.

La combinaison précise du numéro d'institution, du numéro de transit et du numéro de compte — les coordonnées bancaires canadiennes — est ce que vous recherchez. Cette combinaison apparaît dans plusieurs formats (encodage MICR sur les images de chèques, saisie dans la correspondance, dans des champs de formulaire), et la structure en trois parties exige une détection multiéléments plutôt qu'une simple correspondance de motifs.

5. Les renseignements personnels dans les métadonnées des documents

C'est la catégorie qui surprend le plus les organisations lorsqu'elles la découvrent. Les documents Word, les PDF et les feuilles de calcul transportent des métadonnées que leurs créateurs ne voient pas et que la plupart des destinataires ne vérifient pas : nom de l'auteur, nom de l'entreprise, historique des révisions comprenant des modifications suivies qui ont été « acceptées », commentaires supprimés mais qui demeurent dans le fichier, horodatages de création et de modification, et dans certains cas des versions antérieures du contenu du document.

Un contrat partagé à l'externe avec ses métadonnées intactes peut révéler l'historique de négociation — des commentaires comme « le client résiste à cette clause, nous pouvons aller jusqu'à 60 jours » ajoutés par un avocat et supprimés avant l'envoi mais conservés dans les métadonnées du fichier. Un rapport partagé avec un client peut transporter l'historique complet des révisions montrant des ébauches antérieures avec des évaluations internes qui n'étaient pas destinées au client.

Du point de vue des renseignements personnels, les métadonnées peuvent contenir des renseignements personnels concernant des personnes qui n'avaient rien à voir avec le document final : des réviseurs qui ont commenté, des auteurs d'ébauches antérieures, du personnel administratif qui a préparé le document. La suppression des métadonnées avant la transmission externe est une obligation de mesures de sécurité de la LPRPDE que la plupart des organisations ne respectent pas.

6. Les renseignements personnels de tiers dans les documents des clients

Celle-ci crée une responsabilité que les organisations ignorent avoir. Lorsqu'un client vous apporte un document — un contrat, un document d'affaires, un dossier de correspondance — ce document peut contenir des renseignements personnels concernant des personnes qui n'ont aucune relation avec votre organisation et qui n'ont certainement pas consenti à ce que vous traitiez leurs renseignements.

Un bail commercial apporté par un client pour révision juridique pourrait contenir des cautionnements personnels avec les adresses domiciliaires et les NAS des cautions. Un contrat de fournisseur pourrait contenir les noms et coordonnées des employés de l'autre partie. Un état financier pourrait contenir des renseignements sur les actionnaires, y compris leurs adresses domiciliaires. Un dossier judiciaire pourrait contenir des renseignements personnels concernant des témoins, des parties adverses ou des tiers.

Votre organisation a reçu ces renseignements de façon incidente, dans le cadre du service à votre client. La LPRPDE s'y applique tout de même. Les renseignements doivent être protégés de façon appropriée, conservés seulement le temps nécessaire et traités conformément au principe de limitation de la collecte — ce qui signifie ne pas les utiliser à des fins étrangères à ce qu'exige le mandat du client. Les organisations qui ne font jamais l'inventaire des renseignements personnels de tiers dans leurs dossiers clients les découvrent généralement pour la première fois durant une enquête du CPVP, et non avant.

Le fil conducteur des six : ces catégories exigent une détection qui va au-delà de la correspondance de motifs sur des valeurs de champs évidentes. Elles exigent une compréhension contextuelle, une logique propre au Canada, une analyse de combinaisons et la capacité d'inspecter la structure du document au-delà du texte visible. C'est l'écart entre l'analyse de base des renseignements personnels et la détection que la conformité canadienne exige réellement.

Deux autres catégories à connaître

Au-delà des six types fondamentaux, deux catégories additionnelles apparaissent assez fréquemment dans les documents d'affaires canadiens pour justifier une attention particulière.

7. Les renseignements sur l'appartenance et le statut de communautés autochtones

Le statut d'Indien inscrit, l'appartenance au registre métis et l'affiliation à une communauté inuite figurent parmi les catégories de renseignements personnels les plus sensibles dans le contexte canadien. Les cartes de statut, les dossiers d'appartenance à une bande et la documentation sur les droits issus de traités apparaissent dans divers contextes d'affaires : prestation de services gouvernementaux, administration des avantages de soins de santé, certains programmes d'emploi et contextes de services sociaux.

Ces renseignements sont sensibles d'une manière qui dépasse l'analyse habituelle de la vie privée. Ils touchent à la souveraineté communautaire, au contexte historique entourant l'utilisation abusive des renseignements sur l'identité autochtone et à des cadres juridiques précis en vertu de la Loi sur les Indiens et de la législation connexe. Les outils standards de détection des renseignements personnels n'ont presque aucune couverture pour cette catégorie. Les organisations qui traitent des documents contenant des renseignements sur le statut ou l'appartenance ont besoin d'une logique de détection précise et du traitement de sécurité le plus élevé.

8. Les données de référence biométriques créées par le traitement des documents

Lorsque des documents contenant des photographies, des signatures ou des échantillons d'écriture manuscrite sont numérisés et traités par des systèmes de compréhension de documents fondés sur l'IA, ces systèmes peuvent créer des données de référence biométriques comme sous-produit. Un système de reconnaissance faciale qui traite une photo de passeport numérisée crée une empreinte faciale. Un système de vérification de signature qui traite un contrat signé crée une donnée biométrique de signature.

Il s'agit d'une catégorie émergente que la plupart des organisations ne considèrent pas comme des renseignements personnels qu'elles créent — elles se voient comme traitant un document, et non comme créant des données biométriques. Mais en vertu de la LPRPDE et de la Loi 25, les données de référence biométriques sont des renseignements personnels qui ont été recueillis (par le système de traitement) à l'insu et sans le consentement de la personne. Les organisations qui utilisent le traitement de documents alimenté par l'IA doivent comprendre si leurs outils créent des données biométriques comme sous-produit et quelles sont leurs obligations à l'égard de ces données.

Comment tester votre couverture de détection

Savoir que ces catégories existent est la première étape. Savoir si vos outils de détection actuels les couvrent réellement est la deuxième étape.

Un test pratique de couverture utilise un ensemble de documents synthétiques — des documents avec des renseignements personnels réalistes mais fictifs — qui incluent chaque catégorie que vous voulez tester. Faites passer votre outil de détection sur cet ensemble et examinez les résultats : qu'a-t-il repéré, qu'a-t-il manqué, et qu'a-t-il signalé à tort comme renseignement personnel alors que ce n'en était pas?

Pour les catégories propres au Canada, l'ensemble de test devrait inclure :

  • Des NAS dans plusieurs formats (avec espaces, avec traits d'union, sans séparateurs, avec erreurs de caractères de ROC)
  • Des numéros de carte d'assurance maladie de chaque province que votre organisation rencontre
  • Le format de numéro de compte financier (institution-transit-compte)
  • Des codes postaux en combinaison avec d'autres quasi-identifiants
  • Des documents avec des métadonnées contenant des renseignements personnels
  • Des documents de plusieurs pages où les renseignements personnels apparaissent sur une page différente de celle du contexte identificatoire

Le taux de faux négatifs sur votre ensemble de test — le pourcentage d'instances de renseignements personnels que l'outil a manquées — est votre estimation d'exposition. Pour les catégories très sensibles comme les NAS, un taux de faux négatifs supérieur à 2-3 % dans un ensemble de test bien structuré devrait déclencher une évaluation visant à déterminer si votre outil de détection est adéquat pour vos obligations de conformité.

La norme de la LPRPDE en matière d'adéquation de la détection

Le principe des mesures de sécurité de la LPRPDE exige une protection appropriée à la sensibilité des renseignements. Pour une organisation qui détient des NAS, des numéros de carte d'assurance maladie ou des détails de comptes financiers, « appropriée » signifie savoir où se trouvent ces renseignements — ce qui, dans une organisation à forte densité documentaire, signifie une détection automatisée capable de les trouver dans des formats et des types de documents variés.

Le CPVP n'a pas publié de directives précises sur les spécifications des outils de détection des renseignements personnels. Mais son approche générale des mesures de sécurité est claire : la mesure de l'adéquation est de savoir si la mesure de sécurité est proportionnelle à la sensibilité de ce qui est protégé. Une organisation qui détient des milliers de documents contenant des NAS et qui utilise un outil de base manquant 15 % d'entre eux dans des formats irréguliers ne respecte pas la norme de mesures de sécurité appropriées à la sensibilité d'un NAS.

L'implication pratique est que les organisations des secteurs à forte intensité de données — services financiers, entreprises connexes au domaine de la santé, cabinets de services professionnels, processeurs de paie et de RH — ont besoin d'une couverture de détection qui couvre réellement les catégories de renseignements sensibles qu'elles traitent, dans les formats où ces catégories apparaissent réellement. Les outils génériques calibrés pour les identifiants américains, traitant des documents en anglais seulement sans analyse des métadonnées, ne le font pas.

PII types CanadaPII detection software Canadapersonal information documents Canadahidden PII business documentsPII scanning Canada SMB

La conformité IA et vie privée, simplifiée.

Valdra aide les entreprises canadiennes à gouverner l’IA et à respecter PIPEDA et la Loi 25 — hébergé au Canada.

Découvrir Valdra

Notre propre conformité

Nous gérons notre propre programme de conformité dans Valdra — le produit que nous vendons. Nos programmes SOC 2, ISO 27001 et ISO 42001 sont en cours; nous ne revendiquons aucune certification que nous ne détenons pas encore.

Badge de conformité Valdra — cliquez pour vérifier
  • LPRPDE
  • Loi 25 (Québec)
  • LCAP
  • Données hébergées au Canada 🇨🇦
  • Gouvernance de l’IA
Voir notre centre de confiance

Auto-déclaré, et non audité par un tiers. Cliquez sur le badge pour vérifier son authenticité et voir ce qu’il couvre.

Les 6 types de renseignements personnels cachés dans vos documents d'affaires qu'aucun scanneur ne repère | Canuckt AI