1. Gestion
  2. Politique de confidentialité - RGPD
  3. RGPD et durée de conservation des données

RGPD et durée de conservation des données

Consulter Me Znaty
Consulter Me Znaty
Me Benjamin Znaty
Écrit par Me Benjamin Znaty
Droit du numérique
Droit commercial
Maître Benjamin Znaty (Cabinet Taylor Wessing) : Je conseille depuis plusieurs années une clientèle française et internationale de start-ups, PME et groupes internationaux dans leurs relations commerciales avec clients, partenaires commerciaux et fournisseurs. Je possède par ailleurs une expertise en droit des nouvelles technologies comprenant notamment la rédaction et négociation des contrats informatiques et la gestion des problématiques de propriété intellectuelle, protection des données personnelles et cyber-sécurité.
Vous avez encore des questions ? 🤔
Image des coach CaptainContrat
Posez-les gratuitement à l’un de nos coachs entrepreneuriaux.
Parler à un coach

Le RGPD, le règlement général européen relatif à la protection des données personnelles, pose en son article 5 un principe général imposant à tout responsable de traitement de déterminer une durée de conservation justifiée au regard de tout traitement de données personnelles qu’il réalise. 

Cette durée de conservation doit être définie au cas par cas par le responsable du traitement en fonction du traitement concerné. En ce sens, l’article 25 du RGPD pose quant à lui le principe duprivacy  by default”, selon lequel le responsable de traitement doit mettre en place des mesures techniques et organisationnelles permettant de garantir le respect des durées de conservation applicables à chaque traitement dont il a la responsabilité. 

Cette obligation légale trouve ainsi une application très concrète au sein de l’entreprise. Toute organisation doit ainsi non seulement définir une durée de conservation applicable à chaque traitement dont elle a la responsabilité, mais aussi mettre en place des mesures internes visant à garantir le respect de cette durée, via notamment des mécanismes de suppression, purge et archivage des données personnelles. 

Mais quelle est donc la durée appropriée au regard d’un traitement donné ? Quelles sont les obligations concrètes à la charge du responsable de traitement ? Comment garantir le respect de ces obligations au sein de l’entreprise ? 

Me Benjamin Znaty, avocat spécialiste du droit du numérique et du droit des données personnelles décrypte pour vous ce sujet.

 

1/ Comment définir la durée de conservation applicable à chaque traitement ? 

 

La durée de conservation de toute donnée personnelle collectée doit donc être déterminée par le responsable de traitement qui doit, au cas par cas, s’interroger sur la finalité de chacun des traitements associés. En d’autres termes, selon le type de traitement mis en œuvre, le responsable de traitement doit définir la durée au cours de laquelle les données collectées seront utiles à l’entreprise et devront en ce sens être conservées.  

La réponse à ces questions dépend d’une part de la finalité du traitement envisagé, mais également des obligations légales et réglementaires en la matière. A cet égard, il faut garder une vigilance particulière concernant la durée de prescription applicable au traitement concerné. 

A titre d’exemple, si un traitement de données personnelles porte sur l’exécution d’un contrat de vente, on peut à juste titre partir du principe que les données de l’acheteur, notamment ses coordonnées postales, sont uniquement utiles à la réalisation de la vente, et ce jusqu’à la livraison de la chose vendue. Toutefois, la réalité est plus complexe que cela puisqu’en cas de litige concernant cette même vente, l’acheteur dispose d’un délai de 5 ans à compter de celle-ci pour agir en responsabilité contractuelle à l’encontre du vendeur. Ainsi le responsable de traitement, à savoir le vendeur, doit impérativement anticiper ce type de situation. Il est donc en réalité justifié pour le responsable de traitement d’archiver les données pour la durée de prescription applicable, à savoir cinq 5 ans à compter de l’exécution de la vente. 

Par ailleurs, il convient de porter une attention particulière aux obligations légales applicables et pouvant exiger également des obligations d’archivage des documents comportant de telles données personnelles. C’est notamment le cas de certains documents comptables qui doivent être conservés pendant une durée pouvant aller jusqu’à 10 ans à compter de l’exercice comptable concerné. 

Il est par ailleurs recommandé de se référer aux référentiels publiés par la CNIL comportant des informations et recommandations précieuses pour les entreprises dans la détermination des durées de conservation applicables aux divers traitements de données personnelles dont elles ont la responsabilité. 

 

2/ La mise en œuvre de mesures techniques et organisationnelles garantissant le respect des durées de conservation. 

 

Il est ensuite important pour le responsable de traitement de mettre en place des mesures internes permettant de garantir le respect effectif des durées de de conservation établies. C’est ce que le RGPD désigne par des mesures techniques et organisationnelles. 

La CNIL a notamment sanctionné dans le passé à plusieurs reprises des responsables de traitement ne respectant pas en pratique les durées de conservation qu’ils ont eux même déterminées au titre de leurs traitements. 

Il est notamment ici recommandé de se coordonner avec le service informatique de l’organisation afin de mettre en place de telles mesures. En effet, le DPO ou service conformité de l’entreprise peut par exemple mettre en place avec la DSI des systèmes de purge et d’archivage automatique des données afin de garantir l’effectivité des durées de conservation déterminées en amont. 

En ce qui concerne les mesures liées à l’archivage des données, la CNIL recommande également de distinguer entre la conservation en base active et l’archivage intermédiaire ou définitif. 

La conservation qui se fait en base active correspond à la durée nécessaire à la réalisation de l’objectif ayant conduit à la collecte. Les données restent donc relativement accessibles au personnel qui est susceptible d’en avoir besoin jusqu’à réalisation de l’objectif. A titre d’exemple, lorsqu’une personne candidate à une offre d’emploi, les données du candidat sont conservées pendant une durée maximale de deux ans par les services des ressources humaines, à moins que l’effacement des données ait été demandé par le candidat. 

L’archivage des données à l’issue de cette conservation en base active devient alors intermédiaire ou définitif. Il est intermédiaire lorsque la finalité du traitement a été réalisée mais que les données restent encore nécessaires à l’entreprise. C’est notamment le cas de la vente qui a été réalisée mais pour laquelle les données du client sont conservées jusqu’à prescription de toute action en justice. Dans ce cas de figure, il est intéressant de mettre en place des mécanismes permettant à des personnes habilitées de les consulter en cas de besoin. On parle d’archivage définitif lorsque certaines informations sont archivées de manière définitive en raison de leur valeur pour l’entreprise. L’archivage définitif implique néanmoins d’anonymiser à terme les données personnelles contenues dans les documents archivés. 

 

 

3/ Documenter la conservation, la suppression et l’archivage des données 

 

En tout état de cause, les opérations de conservation, suppression et archivage des données doivent être documentées et justifiées par le responsable de traitement. 

Le RGPD impose en effet au responsable de traitement non seulement de déterminer une durée de conservation applicable à chaque traitement mais également que celle-ci soit documentée, en application des principes d’accountability et de transparence du RGPD. 

Il convient ainsi de renseigner au sein des politiques de confidentialité, mais également au sein du registre des traitements, les durées de conservation applicables et ce, au titre de chaque traitement réalisé par l’entreprise. Il est également recommandé d’inclure au sein de ces mêmes documents une brève description des mesures techniques et organisationnelles mises en place aux fins de suppression ou archivage des données. 

En pratique, les entreprises vont également formaliser ces opérations par une politique interne spécifique d’archivage et de suppression des données et documents. 

En effet, en cas de contrôle de la CNIL, il convient de pouvoir démontrer que chaque traitement a bien une durée de conservation déterminée et que les mesures techniques et organisationnelles sont mises en place en interne afin de supprimer ou le cas échéant, archiver les données concernées à l'expiration de la durée de conservation établie. 

 

4/ L’importance de se faire accompagner 

 

Le respect des obligations du RGPD au regard de la durée de conservation des données suppose une certaine acuité pour être mis en place de façon conforme et efficace au sein d’une entreprise. 

Seul un expert en données personnelles ou un juriste qualifié sont à même de définir le cadre de cette réglementation et les processus à mettre en place au sein d’une entreprise en fonction de ses spécificités, et ce, en collaboration avec les nombreuses parties prenantes dont notamment la DSI. 

Ainsi, il est vivement conseillé de se faire accompagner par une personne spécialisée et notamment un avocat ou expert spécialiste de telles questions. 

Besoin d’aide ?

Tatiana - photo rappel sales (blog)
Nos coachs entrepreneuriaux sont à votre écoute
Besoin de conseils sur votre projet ? De poser toutes vos questions de vive-voix ? Contactez-nous 🙂
Prendre un rendez-vous

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

5 min
RGPD : quelle est la procédure de sanction ?

Mais que se passe-t-il en cas de non-respect du RGPD ? Quelles sont les sanctions susceptibles d’être prononcées à l’égard des responsables de traitement qui ne respecteraient pas ses dispositions ?

5 min
L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Quel est l'impact du RGPD sur l'éditeur Saas ? Quel est le statut de l'éditeur Saas face au RGPD : responsable de traitement ou sous-traitant ? Me Znaty répond à toutes ces questions.

5 min
Règlement général sur la protection des données (RGPD) : quel impact sur les conditions générales de vente (CGV) ?

La mise en conformité au RGPD implique de nombreuses mesures, notamment sur la rédaction des CGV. Mais les CGV e-commerce ne sont pas les seules visées : mentions légales, cookies, politique de confidentialité sont également indispensables pour votre site. Me Lefroy vous guide

5 min
La clause de confidentialité dans le contrat de travail

La clause de confidentialité permet de garantir qu'un salarié ne divulguera pas d'informations qui peuvent être vitales pour l’organisation d'une entreprise

5 min
Accord de confidentialité : pourquoi et comment le rédiger ?

L'’accord de confidentialité est un des outils phares de la protection d’information et du secret professionnel. Dans quel cas doit-on le signer ?

4 min
Les limites de la protection des données personnelles du salarié

Quelles sont les limites à la protection des données personnelles du salarié ? Sous quelle conditions l'employeur peut-il collecter ces informations ?

5 min
Violation de données personnelles en entreprise : comment réagir ?

Votre entreprise fait face à une violation de données personnelles ? Une faille ? Comment faire ? Me Benjamin Znaty vous livre les étapes à respecter pour identifier, corriger et notifier ces failles.

5 min
Qu’est-ce qu’une charte/politique de confidentialité ?

Une politique de confidentialité est un document ou un contrat qui expose les engagements de l’entreprise en matière de traitement des données personnelles des utilisateurs. Obligatoire dans le cadre de la conformité RGPD, Me Camille Mirabel Chambaud décrypte le sujet

3 min
RGPD : qui est concerné ?

Entrepreneur, dirigeant ou juriste d’entreprise, vous vous demandez si votre entreprise est concernée ? Devez-vous effectuer une mise en conformité avec le RGPD par rapport aux données à caractère personnel des citoyens ? Captain Contrat fait le point sur le RGPD.

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier