Loi 25: projet de recherche dans le cadre d'une maîtrise en sciences de l'information

Depuis son entrée en vigueur en septembre 2022, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25) impose aux entreprises privées de protéger les renseignements personnels qu’elles détiennent ou qui sont conservés par des tiers, quels que soient le support et le lieu de conservation.

Les solutions proposées visent à contrer les cyberattaques. Autant l’aide gouvernementale que les conseillers focalisent leur attention sur le déploiement de systèmes qui mettent de l’avant la cybersécurité. Ces solutions ont pour objectif de rendre conformes les nouvelles informations qui naîtront dans ces environnements. Il semble qu’on ne donne pas la priorité aux documents existants ni aux solutions envisagées pour la protection des documents papier.

Louise Tremblay, diplômée de la maîtrise en sciences de l’information à l’Université de Montréal, et son équipe de recherche ont sondé des entreprises québécoises assujetties à la Loi 25 pour comprendre leurs pratiques de gestion – entreposage, identification et repérage, destruction – des documents semi-actifs, plus spécifiquement les documents comptables, de ressources humaines et juridiques. Les 94 réponses obtenues leur ont permis de brosser un portrait sommaire.

Résultats de recherche

Les responsables de la protection des renseignements personnels dans les entreprises connaissent généralement les concepts sur lesquels sont bâtis les outils archivistiques. Il n’est toutefois pas clair s’ils saisissent la nature des documents qu’ils doivent protéger.
92% des répondants affirment être en mesure de retracer un document contenant des renseignements personnels, mais seuls 66% disent être capables de les distinguer.
71% entreposent des documents administratifs en format papier dans les locaux de l’entreprise; très peu recourent à des entrepôts tiers.
80% des documents papier conservés sur place sont sécurisés par un cadenas ou une serrure; 7,5% ont rapporté des tentatives d’accès non autorisé.
67% n’attribuent pas de date de destruction à leurs documents papier. Tous savent qu’ils doivent conserver leurs documents pour d’éventuels contrôles fiscaux, mais plusieurs croient à tort que les dossiers doivent être conservés sept ans plutôt que six.
49% des répondants qui stockent des données numériques utilisent les services informatiques d’une tierce partie. Parmi ceux qui recourent à l’infonuagique, la moitié confirme que les données sont hébergées au Québec.
Seuls 47% détruisent les données numériques semi-actives lorsqu’elles n’ont plus d’utilité pour l’entreprise; 18% ne détruisent pas ces données.

Discussions

La loi 25 oblige les entreprises à publier leur politique de protection des renseignements personnels sur leur site web. Or, plus de deux ans après l’entrée en vigueur de la loi, près de 40% des entreprises dotées d’un site web n’affichent toujours pas cette politique.
Certaines pratiques posent des risques pour la protection des renseignements personnels :
- La sécurisation par cadenas ou une serrure est jugée insuffisante, car facilement contournable.
- L’absence de conservation des rapports de paye sur les serveurs organisationnels peut contrevenir à l’obligation fiscale de conservation de documents en plus de poser un risque de perte d’information.
- Les petites entreprises semblent avoir des pratiques plus risquées en matière de contrôle d’information numérique, ce qui en fait des cibles privilégiées pour les cyberattaques susceptibles de contaminer d’autres firmes.
- Environ la moitié des répondants affirment détruire les documents quand ils n’ont plus d’utilité pour l’entreprise. Or, conserver plus longtemps qu’il ne faut des documents augmente le risque de violation de confidentialité.
La lecture des récentes décisions rendues par la Commission d’accès à l’information (CAI) révèle que peuvent être considérés comme documents à contenu confidentiel des documents tels : résultats de tests psychométriques lors d’un processus d’embauche, données statistiques, courriels, documents ayant un lien indirect avec le demandeur, et enregistrements vocaux, notamment.
Pour se conformer aux exigences de la loi 25, la CAI recommande la tenue d’un registre des documents contenant des renseignements personnels. Plus du tiers des répondants n’en ont pas constitué et l’absence de directives claires soulève des questions sur la façon dont les entreprises inventorient leurs documents.
L’archivistique est apte à accompagner les gestionnaires dans la mise en place d’outils de gestion documentaire. Une piste de réflexion serait d’intégrer l’enseignement de l’archivistique dans les écoles de gestion.

Cette recherche a permis de mettre en lumière les pratiques de conservation des documents administratifs semi-actifs dans les entreprises québécoises. Selon Louise et son équipe, les outils archivistiques peuvent aider à répondre aux exigences de la Loi 25 et mériteraient d’être enseignés aux gestionnaires et aux responsables de la conservation des documents dans les entreprises.

Vous pouvez lire le mémoire complet ici.