Obligations réglementaires concernant l’élimination des disques durs et des serveurs désuetsL’élimination du matériel de la mauvaise manière peut laisser une organisation au-dessous de ses obligations réglementaires en vertu de la législation sur la protection des renseignements personnels. Selon la résidence des personnes ou des entités dont les données personnelles sont stockées par des organisations, l’élimination inappropriée des dispositifs de stockage matériel peut être hors de propos des obligations réglementaires dans plusieurs pays. Morgan Stanley a récemment accepté de payer 35 millions de dollars américains à la Securities and Exchange Commission (SEC) des États-Unis à la suite d’une enquête de la SEC concernant le retrait inapproprié présumé d’appareils informatiques des bureaux de Morgan Stanley. La SEC a allégué que la société avait embauché une société de déménagement et de stockage sans expertise en protection des données pour mettre hors service des milliers de serveurs et de disques durs. La SEC a également allégué que l’entreprise de déménagement avait vendu ces appareils, qui comprenaient les renseignements d’identification personnelle de millions de clients. Morgan Stanley n’a pas admis les allégations. Cette affaire soulève un risque important qui est souvent négligé. Le matériel utilisé par une organisation contient généralement des quantités importantes de renseignements personnels et confidentiels. Si elles ne sont pas effacées correctement, ces informations peuvent faire l’objet d’un accès non autorisé. Si une organisation externalise la tâche de suppression et de destruction sans prendre les mesures appropriées, cette organisation est exposée. En règle générale, la manière dont le matériel est éliminé par une organisation est laissée au service informatique. Toutefois, les risques inhérents à cet exercice exigent une surveillance de la part de la direction sur la façon dont cette tâche sera exécutée, y compris, par exemple, la vérification des fournisseurs tiers qui peuvent être retenus pour disposer de l’équipement, les obligations contractuelles et les modalités d’indemnisation dans l’entente avec ces fournisseurs, et les limites de la capacité du fournisseur à externaliser ses obligations. Le Commissariat à la protection de la vie privée du Canada (CPVP) recommande ce qui suit (entre autres choses) dans son document d’orientation intitulé Conservation et élimination des renseignements personnels : Principes et pratiques exemplaires :
Les questions de protection de la vie privée et de confidentialité exigent une planification et un examen minutieux à chaque étape du cycle de vie des données, de la collecte à l’élimination. Les conséquences de ne pas le faire peuvent être importantes. Le groupe Bennett Jones Privacy and Data Protection group se ferai un plaisir de vous aider avec toutes vos questions. Auteur(e)s
Traduction alimentée par l’IA. Veuillez noter que cette publication présente un aperçu des tendances juridiques notables et des mises à jour connexes. Elle est fournie à titre informatif seulement et ne saurait remplacer un conseil juridique personnalisé. Si vous avez besoin de conseils adaptés à votre propre situation, veuillez communiquer avec l’un des auteurs pour savoir comment nous pouvons vous aider à gérer vos besoins juridiques. Pour obtenir l’autorisation de republier la présente publication ou toute autre publication, veuillez communiquer avec Amrita Kochhar à kochhara@bennettjones.com. |