1. Gestion
  2. Politique de confidentialité - RGPD
  3. RGPD et durée de conservation des données

RGPD et durée de conservation des données

par Me Benjamin Znaty
5 min
Consulter Me Znaty
Consulter Me Znaty

Le RGPD, le règlement général européen relatif à la protection des données personnelles, pose en son article 5 un principe général imposant à tout responsable de traitement de déterminer une durée de conservation justifiée au regard de tout traitement de données personnelles qu’il réalise. 

Cette durée de conservation doit être définie au cas par cas par le responsable du traitement en fonction du traitement concerné. En ce sens, l’article 25 du RGPD pose quant à lui le principe duprivacy  by default”, selon lequel le responsable de traitement doit mettre en place des mesures techniques et organisationnelles permettant de garantir le respect des durées de conservation applicables à chaque traitement dont il a la responsabilité. 

Cette obligation légale trouve ainsi une application très concrète au sein de l’entreprise. Toute organisation doit ainsi non seulement définir une durée de conservation applicable à chaque traitement dont elle a la responsabilité, mais aussi mettre en place des mesures internes visant à garantir le respect de cette durée, via notamment des mécanismes de suppression, purge et archivage des données personnelles. 

Mais quelle est donc la durée appropriée au regard d’un traitement donné ? Quelles sont les obligations concrètes à la charge du responsable de traitement ? Comment garantir le respect de ces obligations au sein de l’entreprise ? 

Me Benjamin Znaty, avocat spécialiste du droit du numérique et du droit des données personnelles décrypte pour vous ce sujet.

 

1/ Comment définir la durée de conservation applicable à chaque traitement ? 

 

La durée de conservation de toute donnée personnelle collectée doit donc être déterminée par le responsable de traitement qui doit, au cas par cas, s’interroger sur la finalité de chacun des traitements associés. En d’autres termes, selon le type de traitement mis en œuvre, le responsable de traitement doit définir la durée au cours de laquelle les données collectées seront utiles à l’entreprise et devront en ce sens être conservées.  

La réponse à ces questions dépend d’une part de la finalité du traitement envisagé, mais également des obligations légales et réglementaires en la matière. A cet égard, il faut garder une vigilance particulière concernant la durée de prescription applicable au traitement concerné. 

A titre d’exemple, si un traitement de données personnelles porte sur l’exécution d’un contrat de vente, on peut à juste titre partir du principe que les données de l’acheteur, notamment ses coordonnées postales, sont uniquement utiles à la réalisation de la vente, et ce jusqu’à la livraison de la chose vendue. Toutefois, la réalité est plus complexe que cela puisqu’en cas de litige concernant cette même vente, l’acheteur dispose d’un délai de 5 ans à compter de celle-ci pour agir en responsabilité contractuelle à l’encontre du vendeur. Ainsi le responsable de traitement, à savoir le vendeur, doit impérativement anticiper ce type de situation. Il est donc en réalité justifié pour le responsable de traitement d’archiver les données pour la durée de prescription applicable, à savoir cinq 5 ans à compter de l’exécution de la vente. 

Par ailleurs, il convient de porter une attention particulière aux obligations légales applicables et pouvant exiger également des obligations d’archivage des documents comportant de telles données personnelles. C’est notamment le cas de certains documents comptables qui doivent être conservés pendant une durée pouvant aller jusqu’à 10 ans à compter de l’exercice comptable concerné. 

Il est par ailleurs recommandé de se référer aux référentiels publiés par la CNIL comportant des informations et recommandations précieuses pour les entreprises dans la détermination des durées de conservation applicables aux divers traitements de données personnelles dont elles ont la responsabilité. 

 

2/ La mise en œuvre de mesures techniques et organisationnelles garantissant le respect des durées de conservation. 

 

Il est ensuite important pour le responsable de traitement de mettre en place des mesures internes permettant de garantir le respect effectif des durées de de conservation établies. C’est ce que le RGPD désigne par des mesures techniques et organisationnelles. 

La CNIL a notamment sanctionné dans le passé à plusieurs reprises des responsables de traitement ne respectant pas en pratique les durées de conservation qu’ils ont eux même déterminées au titre de leurs traitements. 

Il est notamment ici recommandé de se coordonner avec le service informatique de l’organisation afin de mettre en place de telles mesures. En effet, le DPO ou service conformité de l’entreprise peut par exemple mettre en place avec la DSI des systèmes de purge et d’archivage automatique des données afin de garantir l’effectivité des durées de conservation déterminées en amont. 

En ce qui concerne les mesures liées à l’archivage des données, la CNIL recommande également de distinguer entre la conservation en base active et l’archivage intermédiaire ou définitif. 

La conservation qui se fait en base active correspond à la durée nécessaire à la réalisation de l’objectif ayant conduit à la collecte. Les données restent donc relativement accessibles au personnel qui est susceptible d’en avoir besoin jusqu’à réalisation de l’objectif. A titre d’exemple, lorsqu’une personne candidate à une offre d’emploi, les données du candidat sont conservées pendant une durée maximale de deux ans par les services des ressources humaines, à moins que l’effacement des données ait été demandé par le candidat. 

L’archivage des données à l’issue de cette conservation en base active devient alors intermédiaire ou définitif. Il est intermédiaire lorsque la finalité du traitement a été réalisée mais que les données restent encore nécessaires à l’entreprise. C’est notamment le cas de la vente qui a été réalisée mais pour laquelle les données du client sont conservées jusqu’à prescription de toute action en justice. Dans ce cas de figure, il est intéressant de mettre en place des mécanismes permettant à des personnes habilitées de les consulter en cas de besoin. On parle d’archivage définitif lorsque certaines informations sont archivées de manière définitive en raison de leur valeur pour l’entreprise. L’archivage définitif implique néanmoins d’anonymiser à terme les données personnelles contenues dans les documents archivés. 

 

 

3/ Documenter la conservation, la suppression et l’archivage des données 

 

En tout état de cause, les opérations de conservation, suppression et archivage des données doivent être documentées et justifiées par le responsable de traitement. 

Le RGPD impose en effet au responsable de traitement non seulement de déterminer une durée de conservation applicable à chaque traitement mais également que celle-ci soit documentée, en application des principes d’accountability et de transparence du RGPD. 

Il convient ainsi de renseigner au sein des politiques de confidentialité, mais également au sein du registre des traitements, les durées de conservation applicables et ce, au titre de chaque traitement réalisé par l’entreprise. Il est également recommandé d’inclure au sein de ces mêmes documents une brève description des mesures techniques et organisationnelles mises en place aux fins de suppression ou archivage des données. 

En pratique, les entreprises vont également formaliser ces opérations par une politique interne spécifique d’archivage et de suppression des données et documents. 

En effet, en cas de contrôle de la CNIL, il convient de pouvoir démontrer que chaque traitement a bien une durée de conservation déterminée et que les mesures techniques et organisationnelles sont mises en place en interne afin de supprimer ou le cas échéant, archiver les données concernées à l'expiration de la durée de conservation établie. 

 

4/ L’importance de se faire accompagner 

 

Le respect des obligations du RGPD au regard de la durée de conservation des données suppose une certaine acuité pour être mis en place de façon conforme et efficace au sein d’une entreprise. 

Seul un expert en données personnelles ou un juriste qualifié sont à même de définir le cadre de cette réglementation et les processus à mettre en place au sein d’une entreprise en fonction de ses spécificités, et ce, en collaboration avec les nombreuses parties prenantes dont notamment la DSI. 

Ainsi, il est vivement conseillé de se faire accompagner par une personne spécialisée et notamment un avocat ou expert spécialiste de telles questions. 

Me Benjamin Znaty

Écrit par

Me Benjamin Znaty

Maître Benjamin Znaty (Cabinet Taylor Wessing) : Je conseille depuis plusieurs années une clientèle française et internationale de start-ups, PME et groupes internationaux dans leurs relations commerciales avec clients, partenaires commerciaux et fournisseurs. Je possède par ailleurs une expertise en droit des nouvelles technologies comprenant notamment la rédaction et négociation des contrats informatiques et la gestion des problématiques de propriété intellectuelle, protection des données personnelles et cyber-sécurité.

Besoin d’aller plus loin ? On vous accompagne !
Consulter Me Znaty

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

Politique de confidentialité - RGPD
RGPD : quelle est la procédure de sanction ?

Le règlement général de protection des données (RGPD) est un texte européen qui encadre le ...

Me Sarah Benhammou

Me Sarah Benhammou

Politique de confidentialité - RGPD
RGPD : évaluez en 20 questions la conformité de votre entreprise en 2022

Le 25 mai 2021, le nouveau Règlement Général sur la Protection des Données (RGPD)  est entré en ...

Maxime Wagner

Maxime Wagner

Politique de confidentialité - RGPD
L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Vous êtes éditeur de logiciel SaaS et intervenez en tant que prestataire pour le compte de ...

Me Benjamin Znaty

Me Benjamin Znaty

Politique de confidentialité - RGPD
Règlement général sur la protection des données (RGPD) : quel impact sur les conditions générales de vente (CGV) ?

Le Règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018, vise à ...

Me Mathilde Lefroy

Me Mathilde Lefroy

Politique de confidentialité - RGPD
La clause de confidentialité dans le contrat de travail

Pour éviter la divulgation d’un secret professionnel par un employé, le droit français a créé un ...

Maxime Wagner

Maxime Wagner

Politique de confidentialité - RGPD
Accord de confidentialité : pourquoi et comment le rédiger ?

Vous envisagez de transmettre des informations sensibles à un partenaire commercial potentiel ? Au ...

Philippe Wagner

Philippe Wagner

Politique de confidentialité - RGPD
Les limites de la protection des données personnelles du salarié

Dans le cadre d’une entreprise, de nombreuses informations au sujet du salarié sont conservées pour ...

Maxime Wagner

Maxime Wagner

Politique de confidentialité - RGPD
Qu’est-ce qu’une charte/politique de confidentialité ?

En raison du fort développement des services en ligne, les données personnelles des utilisateurs ...

Philippe Wagner

Philippe Wagner

Politique de confidentialité - RGPD
RGPD : qui est concerné ?

L’Union européenne a adopté le 14 avril 2016 le règlement général sur la protection des données ...

Maxime Wagner

Maxime Wagner

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier