Benoît Gagnon, chercheur associé à la Chaire du Canada en sécurité, identité et technologie, et co-auteur d’une étude sur le vol d’identité avec Benoît Dupont dont j’ai déjà parlé sur le présent blogue, le disait récemment dans une vidéo disponible sur son site : à l’UDM, les bacs de recyclage sont mal gardés...

Dans le cadre d’un cours qu’il donne sur la sécurité, il a demandé à ses étudiants d’aller chercher des renseignements personnels dans les poubelles ici à l’université. Apparemment, cela ne fut pas très difficile.

On est loin de la l’obligation de sécurité que l’on trouve notamment dans la Loi sur l’accès et la protection des renseignements personnels dans le secteur public.

« 63.1 Un organisme public doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. »

On est loin aussi des politiques de base en terme de destruction de documents (notamment le Guide pour la destruction des documents détenant des renseignements personnels) (pdf), comme celle par exemple disponible sur le site de la Commission d’accès à l’information. On peut y lire notamment :

« Au sein de l’organisme ou de l’entreprise, il est important que chaque employé, à son poste de travail, se sente responsable d’assurer la protection des renseignements personnels qu’il traite. C’est ainsi qu’il ne doit pas jeter au rebut les documents, disquettes, cartouches ou rubans magnétiques qui en contiennent, sans s’être assuré au préalable que leur contenu ne peut être reconstitué.

La Commission suggère aux organismes et entreprises de désigner une personne qui sera responsable de mettre en place et de surveiller l’application d’une politique sur la destruction de documents contenant des renseignements personnels.

Le déchiquetage demeure la meilleure méthode de destruction des documents confidentiels. Si les spécifications techniques de la déchiqueteuse de l’entreprise ne répondent pas au volume des documents à détruire, il faut les entreposer dans un endroit fermé à clef avant de les confier à une entreprise spécialisée de récupération de papier. »

Pas compliqué. Il faut répondre à deux questions : QUI et QUOI. QUI = personne responsable et QUOI = déchiquetage. Pas compliqué.

Et Benoît, s’il y a des informations sur moi, peux-tu les détruire ?