Faire l'inventaire de vos données
Identifiez et documentez tous les renseignements personnels que votre entreprise détient.
C'est souvent l'étape qui prend le plus de temps, mais c'est la fondation de tout le reste.
📜 Ce que dit la loi
La Loi 25 exige que toute organisation connaisse précisément quels renseignements personnels elle détient, à quelles fins, où ils sont conservés et qui y a accès.
Cet inventaire doit inclure :
- La nature des renseignements collectés (nom, adresse, date de naissance, informations financières, etc.)
- La source de ces données
- L'usage qui en est fait
- Le lieu et la durée de conservation
- Les personnes ou services qui y ont accès
- Les moyens de protection en place
🏢 Pour une PME
Même une petite entreprise doit être capable de présenter rapidement un portrait complet des renseignements personnels qu'elle détient. Cela peut se faire via :
- Un tableau Excel ou Google Sheets
- Un registre papier classé dans un endroit sécurisé
- Un outil de gestion dédié si le volume est important
🔍 Données souvent oubliées
N'oubliez pas d'inclure dans votre inventaire :
- Les CV des candidats non retenus lors d'embauches
- Les courriels archivés contenant des informations clients
- Les sauvegardes (backups) de vos systèmes
- Les accès des anciens employés jamais révoqués
- Les fichiers sur clés USB ou disques externes
Important à savoir
Sans inventaire à jour, vous ne pouvez pas répondre adéquatement à une demande d'accès d'un client, ni gérer efficacement un incident de confidentialité. En cas de contrôle, l'absence d'inventaire peut être considérée comme un manquement à vos obligations.
💡 Exemples concrets
Exemple 1 : Un salon de coiffure recueille les noms, numéros de téléphone et historiques de rendez-vous de ses clients.
L'inventaire indique :
- • Type : coordonnées personnelles
- • Source : formulaire de prise de rendez-vous
- • Usage : planification et rappels
- • Lieu : logiciel de gestion en ligne au Canada
- • Durée : 2 ans après le dernier rendez-vous
- • Protection : mot de passe sécurisé, accès réservé à la gérante et aux coiffeuses
Exemple 2 : Une boutique en ligne collecte les informations de facturation et de livraison de ses clients.
L'inventaire indique :
- • Type : nom, adresse, courriel, historique d'achats, infos de paiement (via Stripe)
- • Source : formulaire de commande sur le site web
- • Usage : traitement des commandes, livraison, service client, infolettres (si consentement)
- • Lieu : Shopify (serveurs au Canada), Stripe (paiements), Mailchimp (infolettres)
- • Durée : 7 ans pour les données de facturation (exigence fiscale), 2 ans pour le reste
- • Protection : authentification à deux facteurs, accès limité au propriétaire et à l'adjoint
⚠️ Erreurs à éviter
- Oublier des données détenues dans des courriels ou documents papier
- Ne pas préciser la durée de conservation
- Ne pas mettre à jour l'inventaire après un changement de système ou de procédure
- Confondre données personnelles et informations générales
🛠️ Instructions pas à pas
✅ Checklist — Étape 2 complétée ?
- J'ai identifié toutes mes sources de collecte de données
- J'ai listé tous les types de renseignements personnels détenus
- J'ai documenté l'usage, l'accès et la durée de conservation
- J'ai créé un registre officiel
- J'ai prévu un processus de mise à jour du registre
📄 Gabarits inclus dans le Kit Loi 25
- Modèle de Registre d'inventaire des renseignements personnels
- Modèle de Politique de Conservation et de Destruction des Renseignements Personnels