Rebondir !

- Législation du web -

Durée de conservation des données personnelles

A savoir, dans toutes les configurations et dans tous les types de sites qui mettent en œuvre des traitements de collectes de données personnelles : les données personnelles ne peuvent être conservées au delà du strict temps nécessaire pour atteindre les objectifs du traitement.

Cette durée est fixée lors de la déclaration de votre fichier à la CNIL.
Elle est également variable selon le type de données et l’activité dans laquelle elles s’inscrivent.


Pour les sites marchands, voici ce que dit la CNIL :

"Concernant les données relatives à la gestion de clients et de prospects :

Les données à caractère personnel relatives aux clients ne peuvent être conservées au-delà de la durée strictement nécessaire à la gestion de la relation commerciale.

  • les données permettant d’établir la preuve d’un droit ou d’un contrat, ou, conservées au titre du respect d’une obligation légale peuvent être archivées conformément aux dispositions en vigueur (notamment celles prévues par le code de commerce, le code civil et le code de la consommation).
  • sous réserve du respect de l’article 6 de la présente norme, les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant un délai de trois ans à compter de la fin de la relation commerciale (c’est-à-dire par exemple à compter d’un achat, de la date d’expiration d’une garantie, du terme d’un contrat de prestations de services, du dernier contact émanant du client).

Les données à caractère personnel relatives à un prospect non client peuvent être conservées pendant un délai de trois ans à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect (demande de documentation par exemple).

Au terme de ce délai de trois ans, le responsable de traitement pourra reprendre contact avec la personne concernée afin de savoir si elle souhaite continuer à recevoir des sollicitations commerciales. En l’absence de réponse positive et explicite de la personne, les données devront être supprimées ou archivées conformément aux dispositions en vigueur et notamment celles prévues par le code de commerce, le code civil et le code de la consommation." [1]

Ce dernier paragraphe laisse rêveur : il est loin d’être respecté par les sociétés commerciales qui envahissent nos boîtes de messagerie de mailings pendant bien des années !…

Pour les autres sites (associatifs, institutionnels, personnels), la CNIL indique dans ses textes (Dispense n°6, Dispense n°7, Dispense n°8) ses recommandations et vos obligations sur cette question de la durée de conservation.

<< Déclarer son site à la CNIL - Acte 4

Une page rassemble nos obligations vis à vis des personnes que nous avons "fichés", ainsi que les sanctions prévues par la loi : http://www.cnil.fr/vos-obligations/vos-obligations/.
Ainsi, les responsables de sites internet doivent s’assurer :

  • de tout mettre en œuvre pour assurer la sécurité des données collectées
  • d’assurer leur confidentialité
  • de respecter la durée de conservation maximale prévue par la loi, et celle que vous avez fixée dans la déclaration que vous avez effectuée auprès de la CNIL
  • d’informer les utilisateurs au moment de la collecte des données de l’identité du responsable de ce traitement, de la finalité de la collecte, des personnes qui y auront accès, des droits de modification, d’opposition et de leur utilisation (cession à un tiers par exemple)
  • d’être précis sur ce à quoi vont servir ces données et de ne pas les utiliser à des fins non prévues initialement
  • de se conformer aux recommandations de la CNIL et d’effectuer les déclarations obligatoires le cas échéant.
Article mis à jour le mercredi 5 mars 2014

Où suis-je ?

Perdu/e ?