Durée de conservation des données et RGPD : le guide de bonne conduite

Data

Mini-sommaire : 

  1. Durée de conservation des données et rgpd : ce que dit le droit
  2. Durée de conservation des données rgpd : les bonnes pratiques 
  3. Les sanctions en cas de manquement à l’obligation de conserver les données 
  4. Foire aux questions 
  5. Conclusion 

Durée de conservation des données et RGPD : le guide de bonne conduite.

Collecter des données personnelles dans le cadre d’une activité économique est inévitable. Mais attention. Vous ne pouvez pas les conserver de manière injustifiée, ni pour une durée indéfinie. 

Voici notre guide de bonne conduite afin de bien gérer la durée de conservation des données !

Durée de conservation des données : les notions à comprendre

Durée de conservation des données personnelles : ce que dit le RGPD

La durée de conservation des données : ni le RGPD ni la loi informatique et libertés ne la fixent. Et pourtant, il s’agit de l’information que tout le monde cherche.

L’article 5 du RGPD impose que les données collectées soient “conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées”.

Ce qu’il faut comprendre :

  • la collecte doit être proportionnée aux finalités fixées par le responsable de traitement ;
  • la durée doit elle-même être strictement nécessaire par rapport aux finalités choisies.

Cette définition générique ne donne malheureusement aucune indication sur la façon de fixer concrètement cette période de conservation. Autrement dit ? C’est au responsable de traitement qu’incombe cette délicate tâche.

Base active, archivage et suppression

La base active fait référence à la période pendant laquelle les données personnelles sont activement utilisées pour les finalités pour lesquelles elles ont été collectées. Ici, les données sont conservées dans des systèmes accessibles et utilisés régulièrement par vos services : ressources humaines, marketing, CSM, etc.

Mais que deviennent ces informations collectées lorsqu’elles ne remplissent plus les finalités ?

  • Archivage intermédiaire : les données à caractère personnelle peuvent être conservées durant un certain laps de temps si la loi l’exige ou qu’il répond à une nécessité administrative (recours contentieux). Néanmoins, leur accès doit être limité aux personnes habilitées.
  • Suppression : si aucune exigence légale ou administrative ne justifie cet archivage intermédiaire, vous devez tout simplement prendre les mesures nécessaires pour anonymiser les données ou les détruire

Durée de conservation des données rgpd : les bonnes pratiques 

Maintenant que tu connais la réglementation autour de la durée de conservation des données et le rgpd, il faut que tu t’assures que ta start-up met tout en œuvre correctement. Pas de panique, nous t’avons fait un résumé des bonnes pratiques à mettre en œuvre dès aujourd’hui. Pour en connaître davantage, tu peux aussi découvrir les 10 questions à se poser pour se mettre en conformité RGPD

Les préalables : finalité et base légale

Avant de vous atteler à la question de la durée, nous vous conseillons de vous poser deux questions pour les catégories de données que vous récoltez

  • Sur quelle base légale récoltez-vous et traitez-vous les données ?
  • Quelle est leur finalité, c’est-à-dire, quel est l’objectif opérationnel poursuivi ?

Si la réponse à ces deux questions n’est pas évidente pour vous, il est fort probable que vous détenez des données à caractère personnelle dont vous n’avez pas besoin. Dans ce cas de figure, nous vous laissons deviner ce qu’il vous reste à faire : les supprimer !

Quelle est la durée de conservation des données personnelles recommandées par la CNIL ?

Les principes de la CNIL

La première est la plus simple : un texte de loi ou une réglementation vous impose de conserver une donnée durant un certain laps de temps. Ainsi, le code du travail impose à l’entreprise de conserver les bulletins de paie durant 5 ans.

Mais, l’affaire devient plus complexe lorsque la loi ne dit rien. Toutefois, il vous reste encore une piste à explorer. Avec un peu de chance, il est possible que la CNIL ait publié des guides relatifs à la conservation des données

On en trouve notamment sur les informations bancaires lors de la vente à distance, la gestion des impayés lors d’une transaction commerciale, la gestion des activités commerciales.

Ces ressources servent de référence, mais le responsable du traitement peut choisir de s'en écarter, à condition de justifier sa décision.

Dernier cas de figure : il n’existe aucun guide de la CNIL. Ici, vous n’aurez pas le choix. En tant que responsable de traitement, vous devrez fixer cette durée en trouvant un équilibre entre vos besoins et les intérêts des personnes dont les données sont collectées.

Exemple de durée de conservation de données

  • Durée de conservation des données clients :

3 ans à compter de la fin de la relation commerciale pour les données des clients utilisées à des fins de prospection commerciale

  • Durée de conservation des données salariés

5 ans pour le registre du personnel (article L1221-26 du Code du travail) 

5 ans pour les bulletins de paie et les reçus de solde de tout compte (article L3243-4 du code du travail).

  • Durée de conservation des données de santé

20 ans à compter du dernier séjour ou dernière consultation pour les dossiers médicaux (Article R1112-7 du Code de la Santé publique)

10 ans pour les données relatives à la traçabilité des dispositifs médicaux.

  • Durée de conservation des données de connexion 

5 ans à compter de la fin de la validité du contrat pour l’identité civile 

1 an à compter de la fin de validité du contrat ou la clôture du compte pour les coordonnées de contact et de paiement, données relatives aux contrats et aux comptes 

1 an à compter de la connexion ou de l’utilisation des équipements terminaux pour les adresses IP et équivalent

  • Durée de conservation des photos rgpd 

1 mois pour les images prises sur une voie publique ou un lieu ouvert au public 

Définir le point de départ du délai de conservation des données et la durée 

Les textes sont silencieux quant au point de départ. Mais, il semble que le compte à rebours de la durée ne commence pas à la collecte des données. Le point de départ de la durée commence donc à partir du moment où la relation avec la personne n’est plus “active”. 

Par exemple, la durée de conservation des données salariés commence à partir du moment où le salarié quitte votre entreprise. La mise à disposition des bulletins de salaire a pour base légale l’exécution du contrat. 

La durée de la conservation des données commence donc à la fin de la base active, c'est-à-dire à la rupture du contrat. La durée de conservation étant de 5 ans, elle commence à compter de la date de la rupture du contrat.

Respecter le droit des personnes qui partagent leurs données

Les personnes dont les données sont collectées doivent être informées de la durée de conservation. 

Elles pourront alors exercer leurs droits comme le droit à l’effacement ou le droit de retirer leur consentement.

Elles peuvent donc vous demander de retirer leurs données de votre base. Si aucune loi ne vous oblige à conserver ces derniers, vous prendrez les mesures nécessaires pour faire droit à cette demande.

Foire aux questions 

Quelle est la durée maximale de conservation des données des collaborateurs ?

La durée maximale de conservation des données de tes collaborateurs est de 5 ans à compter de la fin de son contrat de travail.

Comment un avocat peut-il vous accompagner pour vous mettre en conformité avec le RGPD ? 

Nos avocats RGPD chez Bold ont pour rôle de te conseiller sur ta mise en conformité RGPD, en commençant par faire un état des lieux de ta situation en matière de collecte et de traitement des données à caractère personnel et te faire des recommandations à mettre en œuvre.

Faut-il documenter la durée de conservation des données ? 

La CNIL préconise de rassembler un dossier avec 3 types de documents : les documents formalisant le travail interne (comme le registre de traitement), les références aux textes réglementaires ou aux guides de la CNIL et les procédures internes.

Conclusion 

Fixer une durée de conservation des données RGPD s’avère être assez complexe. Il convient de faire une veille régulière sur la réglementation et sur les recommandations de la CNIL.  

Néanmoins, cet exercice est aussi l’occasion de mettre à jour votre registre de traitements et d’effectuer un audit sur vos bonnes pratiques !

Une question ? Un besoin ponctuel ou récurrent ?

Nous contacter pour un accompagnement

Téléchargez nos templates

Retrouvez tous les contrats et documents juridiques pour créer et développer votre entreprise en 2023.

Templates gratuits

À lire également

Data

Comment réagir en cas de violation de données personnelles ?

Explorez des stratégies efficaces pour réagir à une violation de données personnelles, tout en minimisant les dommages et en protégeant l'intégrité de votre entreprise.
January 3, 2024
5 min read
Corporate

BSA AIR : Un Outil de Financement Stratégique

Découvrez comment le BSA AIR peut devenir un outil stratégique pour le financement des startups, favorisant une croissance rapide et soutenue.
Team BOLD
January 3, 2024
5 min read
Tax

Quel statut choisir pour sa startup : auto-entrepreneur vs société

Découvrez les spécificités des formes juridiques SARL, SAS et SA pour votre start-up, ainsi que l'intérêt du contrat CAPE dans ce guide complet
Margot Cohen Salmon
January 3, 2024
5 min read