Dans la première leçon de ce parcours, on a appris à reconnaître les renseignements personnels dans les documents financiers. Maintenant, on s'attaque à la fin de leur cycle de vie : leur destruction.
C'est le sujet où Loi 25 et obligations fiscales semblent se contredire. La loi dit « détruisez quand la finalité est terminée ». Le fisc dit « conservez six ans après la fin de l'année d'imposition ». La bonne lecture, c'est que ces deux exigences ne s'opposent pas. Elles s'articulent.
La règle de base de la Loi 25
La règle est claire (art. 23). Quand la finalité pour laquelle un renseignement personnel a été collecté est accomplie, l'entreprise doit détruire le renseignement, ou l'anonymiser si elle veut le conserver pour des fins sérieuses et légitimes. Pas de moyen terme : on ne garde pas « au cas où ».
Cette obligation est centrale. Elle fait passer la conservation d'un mode par défaut (« on garde tout ») à un mode actif (« on garde tant qu'on en a besoin »). C'est un renversement.