Connectez-vous
logiciel rgpd
  1. 1 - Le principe du RGPD : une durée de conservation des données pour une finalité
    1. 2 - Quand faire démarrer le compte à rebours ?
      1. 3 - Les principales durées de conservation conformes au RGPD
        1. 4 - Les différents archivages et le cycle de vie de la donnée

          Quelle durée de conservation des données dans le RGPD ?

          RGPDOctober 6, 2022

          La question de la durée de conservation des données est centrale dans le RGPD. La limitation de cette durée est un des principes fondamentaux définis à l’article 5 du texte européen.

          Vous avez validé la licéité du traitement, sa finalité, le respect des droits des personnes ? Vous êtes conformes et vous pouvez collecter et traiter les données de vos clients, salariés, utilisateurs ou partenaires.

          Attention, ça ne veut pas dire que vous pouvez les conserver pour toujours ! La limitation de la durée de conservation des données est essentielle et souvent négligée (on verra plus tard…).

          Or il est important de bien anticiper cette question pas si compliquée qu’elle en a l’air. Voyons ensemble comment bien fixer les bonnes durées de conservation de vos données utilisateurs.

          Le principe du RGPD : une durée de conservation des données pour une finalité

          Revenons sur le principe de base du RGPD. Celui-ci ne donne pas de limites précises et bien définies de durées de conservation des données en fonction de leur nature. C’est donc au DPO ou au responsable du RGPD dans l’entreprise de mener une analyse au cas par cas pour déterminer la durée qui convient.

          La logique fondamentale à bien comprendre est que toute conservation de données se fait en visant une finalité précise : c’est l’objectif que vous poursuivez lorsque vous traitez la donnée. C’est donc en fonction de cet objectif que vous allez fixer la bonne durée : assez logiquement, lorsque l’objectif disparaît, la donnée doit elle aussi être supprimée.

          Autrement dit, on ne garde pas pour autant de temps des informations sur les cookies de site web, des informations clients et des documents contractuels, par exemple.

          En résumé : bien identifier la finalité associée à la donnée concernée. C’est cette finalité qui va déterminer la durée de conservation à appliquer.

          Quand faire démarrer le compte à rebours ?

          Avant de parler des principales durées de conservation des données, qui découlent d’usages ou d’obligations légales, parlons du déclenchement du chronomètre. Avoir une durée, c’est bien, savoir quand démarrer le compte à rebours, c’est mieux.

          Ce fameux compte à rebours démarre à la fin de la relation avec la personne. Avant ce moment, vous utilisez la donnée pour de bonnes raisons (en lien avec la finalité) et vous en avez besoin dans votre base de données active. Les échanges avec la personne sont réguliers et sont des indices de sa volonté de voir la relation continuée, y compris dans le partage d’informations qu’il a consenti. Une fois la relation terminée, cette volonté n’est plus si évidente.

          Or quel est ce moment de fin de relation ? Il s’agit par exemple du départ d’un salarié de votre entreprise, ou encore de l’acte d’achat d’un client. S’il a acheté chez vous, il a terminé la relation qui menait vers cet achat. En cas de prestation de service, la relation se termine au moment où la prestation est achevée.

          C’est à ce moment-là que le chrono de la conservation des données se déclenche.

          Les principales durées de conservation conformes au RGPD

          Vous devez, dans le cadre de votre obligation d’information, vous engager sur une période de conservation de la donnée. Or ces durées de conservation dépendent en général soit d’usages et de coutumes (à valeur légale), soit d’obligations qu’on tire du Code de commerce et du Code du travail principalement.

          Concrètement, quelles sont les principales durées de conservation des données à observer ?

          On peut donner quelques exemples courants :

          Des données personnelles de salariés et aux ressources humaines se conservent 5 ans après la fin de la relation.

          Des données personnelles liées aux prospects et clients peuvent se conserver jusqu’à 3 ans après la fin de la relation commerciale, ou le dernier acte positif d’un prospect (s’inscrire à une newsletter, consulter le site web, cliquer sur les liens d’un email, demander des informations…).

          Enfin, les données des cookies se conservent 13 mois (et le consentement doit donc de nouveau être demandé à l’issue de cette période).

          A noter qu’il peut être possible de justifier de conserver la donnée plus longtemps si la raison est valable. Il faut alors adopter une approche au cas par cas et s’assurer de la légitimité de la justification avancée. Pour vous aider dans cette démarche, la CNIL a publié un guide pratique de conservation de la donnée, disponible ici.

          Les différents archivages et le cycle de vie de la donnée

          On appelle “cycle de vie de la donnée” le cheminement qui conduit un jeu de données de sa collecte à son archivage et à sa suppression définitive, selon la durée de conservation décidée et la finalité du traitement.

          On distingue trois phases dans ce cycle de vie. La première phase, dans lequel les données se trouvent dans une base de données qu’on dit “active”, est tout simplement la conservation des données avant son archivage. Elle concerne les données que vous venez de collecter, par exemple, et qui continuent de vous servir. Les données sont facilement accessibles par les personnes qui en ont besoin pour remplir leurs missions.

          Par exemple, les données d’un candidat non retenu par une entreprise peuvent être conservées en base active pendant maximum 2 ans.

          La deuxième phase du cycle de vie de la donnée est l’archivage intermédiaire. La donnée est toujours disponible, mais seulement en cas de besoin et pour des personnes spécialement habilitées. Elle est stockée dans une base de données différente. Le plus souvent, cette phase concerne les données qui ne servent plus et dont la finalité est à priori éteinte mais qui doivent être conservées pour des raisons légales. C’est le cas par exemple des documentations contractuelles et de facturation après l’extinction de la relation commerciale, par exemple.

          Enfin, un archivage définitif peut éventuellement être décidé. On en parlait précédemment : il faut alors que la conservation de la donnée est une valeur importante et qui justifie sa conservation dans le temps, au-delà des durées de conservation classiques. Dans ce cas, le DPO ou les personnes en charge de la conformité de l’entreprise au RGPD doivent pouvoir justifier précisément de cet intérêt particulier et donc de la conservation de la donnée. Ce cas est donc relativement peu fréquent.

          A noter que le passage des données dans chaque phase d’archivage doit faire l’objet d’un tri : toutes les données n’ont pas à être conservées en archivage intermédiaire, et encore moins en archivage définitif. Ainsi, ce cycle de vie de la donnée ne concerne en pratique qu’une part des données collectées : la plupart seront détruites au terme de leur durée de conservation classique.

          La plateforme 100% made in France qui vous permet de simplifier, accélérer et pérenniser vos différents programmes de conformité.

          Vous souhaitez rester au courant des dernières actualités ? Abonnez-vous à la newsletter !
          • All rights reserved ©Witik 2024