Cycle de vie des données : collecte, conservation et destruction

Vous retrouvez un Excel « clients_2018_final_v3.xlsx » sur un partage réseau que personne n'ose effacer? C'est le symptôme classique d'un cycle de vie mal géré. Chaque renseignement personnel a un début, une durée et une fin — pas une éternité « au cas où ».

Principe Loi 25 : collecter le minimum nécessaire, conserver seulement le temps requis, détruire ou anonymiser en fin de vie — de façon sécuritaire et documentée.

Collecte et qualité

Avant même de parler de conservation, posez-vous la question : « Est-ce qu'on a vraiment besoin de ce champ? »

• Finalité claire — vente, support, paie : chaque donnée doit servir un objectif précis, pas un jour peut-être.
• Formulaires Web sobres — date de naissance, photo ou numéro de téléphone secondaire : si ce n'est pas nécessaire, retirez-le. L'ennemi de la conformité, c'est souvent la complexité inutile.
• Données exactes — corrigez ou mettez à jour lorsque vous constatez une erreur; une adresse courriel fausse depuis trois ans, c'est un risque opérationnel et légal.

Conservation et destruction

Définissez une durée par type de renseignement. Exemples courants en PME : factures 7 ans (fiscalité), CV non retenus 6 à 24 mois selon votre politique, journaux de connexion selon vos besoins de sécurité. À l'échéance : suppression sécuritaire (papier broyé, disques effacés) ou anonymisation irréversible si vous gardez des statistiques.

Par contre, « on garde tout dans le cloud » n'est pas une stratégie — c'est un dépôt temporaire qui grossit.

Trois cas types en PME

Dossiers clients

CRM, courriels, facturation, tickets de support. À la fin de la relation : archivez ce qui doit l'être, puis détruisez selon le calendrier. Retirez les accès des employés qui quittent — un ex-vendeur qui voit encore le portefeuille client, c'est un drapeau rouge.

Dossiers employés

Paie, discipline, formations, accommodements. Conservation souvent plus longue (obligations légales et syndicales). Accès restreint au gestionnaire direct, aux RH et à la direction — pas à toute l'entreprise. Détails : RH et vie privée.

Candidatures RH

CV et notes d'entrevue : durée courte si la personne n'est pas embauchée. Ne réutilisez pas le dossier pour un autre poste sans consentement explicite. Un bac « candidatures » qui grossit depuis dix ans, la CAI ne l'apprécie pas.

En bref

Documentez vos durées dans une politique ou un registre — une page suffit souvent pour une PME. Cadre global : gouvernance et politiques. Ensuite, alignez vos outils (CRM, RH, partages) avec ce que vous avez écrit, pas l'inverse.

Références utiles

• CAI — Protection des renseignements personnels — principes de proportionnalité et de conservation.
• Loi P-39.1 (secteur privé) — cadre légal du cycle de vie des données.
• Gouvernance et politiques — où documenter les durées de conservation.

Ce texte est informatif et ne constitue pas un avis juridique. Pour une décision engageant votre organisation, consultez la CAI et un professionnel du droit.

Vérifier votre site Web

Plusieurs obligations se manifestent sur votre site public (politique, cookies, coordonnées du PRP). Notre analyse technique gratuite aide à repérer les écarts observables — elle complète, sans remplacer, votre programme de conformité.