L’obligation de définir une Durée de Conservation des données

Les données collectées ont une date de péremption !

La notion de durée de conservation est intimement liée à la finalité du traitement que vous avez définie.
Le RGPD impose de déterminer la durée de conservation de données personnelles en fonction de l’objectif qui a conduit à la collecte de ces données. Lorsque cet objectif est atteint, que le service rendu est terminé, que la personne concernée sort du champ de votre activité, vous devez supprimer ses données personnelles, ou les archiver en les anonymisant.
Il en va d’un principe fondamental des dispositifs légaux en vigueur qui est “le droit à l’oubli”.

Les données personnelles ne peuvent être conservées au-delà du strict temps nécessaire pour atteindre les objectifs du traitement.

CE QUE DIT LA LOI :

RGPD – Chapitre 2 – Article 5 – Principes relatifs au traitement des données à caractère personnel

Les données à caractère personnel doivent être :
e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation);

Des durées variables en fonction de la finalité fixée

La durée de conservation peut être une durée fixe (par exemple : 2 ans) ou en fonction de la durée de l’objectif à atteindre (exemple : les données à caractère personnel relatives aux clients ne peuvent être conservées au-delà de la durée strictement nécessaire à la gestion de la relation commerciale).

Des durées de conservation peuvent être fixées par la loi

Quelques exemples de durées fixes

  • 1 mois
    Durée de conservation des images de vidéosurveillance ;
  • 13 mois
    Durée légale de conservation d’une transaction par carte bancaire en vue de répondre à une contestation ;
  • 3 ans
    Durée de conservation des données relatives à un prospect non client à compter de leur collecte par le responsable de traitement, ou du dernier contact émanant de ce prospect (demande de documentation par exemple) ;
    Durée de conservation des données relatives à un client utilisées à des fins de prospection commerciale (c’est-à-dire par exemple à compter d’un achat, de la date d’expiration d’une garantie, du terme d’un contrat de prestations de services, du dernier contact émanant du client) ;
  • 5 ans
    Durée de conservation d’un double des bulletins de paie à compter de leur remise au salarié ;
  • 10 ans
    Durée de conservation des données contenues dans un dossier médical à compter de la consolidation du dommage.

Quelques exemples de durées liées à l’objectif à atteindre

  • jusqu’à la liquidation des droits à la retraite : durée de conservation de certaines données figurant dans les fichiers de gestion du personnel d’une entreprise ;
  • jusqu’à la fin d’une relation commerciale (c’est-à-dire par exemple à compter d’un achat, de la date d’expiration d’une garantie, du terme d’un contrat de prestations de services, du dernier contact émanant du client);
  • jusqu’au terme des délais légaux afin d’établir la preuve d’un droit ou d’un contrat, ou, conservées au titre du respect d’une obligation légale peuvent être archivées conformément aux dispositions en vigueur (notamment celles prévues par le code de commerce, le code civil et le code de la consommation).

    Que deviennent ces données ensuite ?

    Au terme du délai de conservation défini par le Responsable de Traitement pour atteindre la finalité ayant justifié leur collecte et leur stockage, appelé conservation en base active”, les données personnelles devront être :

    • supprimées,
    • anonymisées,
    • archivées (sous certaines conditions).

    Un archivage temporaire peut être nécessaire, par exemple pour répondre à une obligation de garantie ou à un recours juridique. On parle alors de “phase d’archivage intermédiaire des données” qui doit être court et dont l’utilisation des DP doit rester dans le cadre pour lequel ces données ont été collectées, exploitées et stockées. Les données doivent par ailleurs être séparées des données de la base active.

    Certains types de données ne doivent jamais être supprimés, notamment si elles présentent un intérêt public, historique, scientifique ou encore statistique, comme par exemple les données d’état civil. Elles font donc l’objet d’un “archivage définitif”qui est strictement encadré par la loi.

    Le Responsable de Traitement doit être en mesure de justifier à tout moment du respect de la durée de conservation des données personnelles.

    Pin It on Pinterest