Mini-sommaire :
Collecter des données personnelles dans le cadre d’une activité économique est inévitable. Mais attention. Vous ne pouvez pas les conserver de manière injustifiée, ni pour une durée indéfinie.
Voici notre guide de bonne conduite afin de bien gérer la durée de conservation des données !
La durée de conservation des données : ni le RGPD ni la loi informatique et libertés ne la fixent. Et pourtant, il s’agit de l’information que tout le monde cherche.
L’article 5 du RGPD impose que les données collectées soient “conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées”.
Ce qu’il faut comprendre :
Cette définition générique ne donne malheureusement aucune indication sur la façon de fixer concrètement cette période de conservation. Autrement dit ? C’est au responsable de traitement qu’incombe cette délicate tâche.
La base active fait référence à la période pendant laquelle les données personnelles sont activement utilisées pour les finalités pour lesquelles elles ont été collectées. Ici, les données sont conservées dans des systèmes accessibles et utilisés régulièrement par vos services : ressources humaines, marketing, CSM, etc.
Mais que deviennent ces informations collectées lorsqu’elles ne remplissent plus les finalités ?
Maintenant que tu connais la réglementation autour de la durée de conservation des données et le rgpd, il faut que tu t’assures que ta start-up met tout en œuvre correctement. Pas de panique, nous t’avons fait un résumé des bonnes pratiques à mettre en œuvre dès aujourd’hui. Pour en connaître davantage, tu peux aussi découvrir les 10 questions à se poser pour se mettre en conformité RGPD.
Avant de vous atteler à la question de la durée, nous vous conseillons de vous poser deux questions pour les catégories de données que vous récoltez
Si la réponse à ces deux questions n’est pas évidente pour vous, il est fort probable que vous détenez des données à caractère personnelle dont vous n’avez pas besoin. Dans ce cas de figure, nous vous laissons deviner ce qu’il vous reste à faire : les supprimer !
La première est la plus simple : un texte de loi ou une réglementation vous impose de conserver une donnée durant un certain laps de temps. Ainsi, le code du travail impose à l’entreprise de conserver les bulletins de paie durant 5 ans.
Mais, l’affaire devient plus complexe lorsque la loi ne dit rien. Toutefois, il vous reste encore une piste à explorer. Avec un peu de chance, il est possible que la CNIL ait publié des guides relatifs à la conservation des données.
On en trouve notamment sur les informations bancaires lors de la vente à distance, la gestion des impayés lors d’une transaction commerciale, la gestion des activités commerciales.
Ces ressources servent de référence, mais le responsable du traitement peut choisir de s'en écarter, à condition de justifier sa décision.
Dernier cas de figure : il n’existe aucun guide de la CNIL. Ici, vous n’aurez pas le choix. En tant que responsable de traitement, vous devrez fixer cette durée en trouvant un équilibre entre vos besoins et les intérêts des personnes dont les données sont collectées.
3 ans à compter de la fin de la relation commerciale pour les données des clients utilisées à des fins de prospection commerciale
5 ans pour le registre du personnel (article L1221-26 du Code du travail)
5 ans pour les bulletins de paie et les reçus de solde de tout compte (article L3243-4 du code du travail).
20 ans à compter du dernier séjour ou dernière consultation pour les dossiers médicaux (Article R1112-7 du Code de la Santé publique)
10 ans pour les données relatives à la traçabilité des dispositifs médicaux.
5 ans à compter de la fin de la validité du contrat pour l’identité civile
1 an à compter de la fin de validité du contrat ou la clôture du compte pour les coordonnées de contact et de paiement, données relatives aux contrats et aux comptes
1 an à compter de la connexion ou de l’utilisation des équipements terminaux pour les adresses IP et équivalent
1 mois pour les images prises sur une voie publique ou un lieu ouvert au public
Les textes sont silencieux quant au point de départ. Mais, il semble que le compte à rebours de la durée ne commence pas à la collecte des données. Le point de départ de la durée commence donc à partir du moment où la relation avec la personne n’est plus “active”.
Par exemple, la durée de conservation des données salariés commence à partir du moment où le salarié quitte votre entreprise. La mise à disposition des bulletins de salaire a pour base légale l’exécution du contrat.
La durée de la conservation des données commence donc à la fin de la base active, c'est-à-dire à la rupture du contrat. La durée de conservation étant de 5 ans, elle commence à compter de la date de la rupture du contrat.
Les personnes dont les données sont collectées doivent être informées de la durée de conservation.
Elles pourront alors exercer leurs droits comme le droit à l’effacement ou le droit de retirer leur consentement.
Elles peuvent donc vous demander de retirer leurs données de votre base. Si aucune loi ne vous oblige à conserver ces derniers, vous prendrez les mesures nécessaires pour faire droit à cette demande.
La durée maximale de conservation des données de tes collaborateurs est de 5 ans à compter de la fin de son contrat de travail.
Nos avocats RGPD chez Bold ont pour rôle de te conseiller sur ta mise en conformité RGPD, en commençant par faire un état des lieux de ta situation en matière de collecte et de traitement des données à caractère personnel et te faire des recommandations à mettre en œuvre.
La CNIL préconise de rassembler un dossier avec 3 types de documents : les documents formalisant le travail interne (comme le registre de traitement), les références aux textes réglementaires ou aux guides de la CNIL et les procédures internes.
Fixer une durée de conservation des données RGPD s’avère être assez complexe. Il convient de faire une veille régulière sur la réglementation et sur les recommandations de la CNIL.
Néanmoins, cet exercice est aussi l’occasion de mettre à jour votre registre de traitements et d’effectuer un audit sur vos bonnes pratiques !
Une question ? Un besoin ponctuel ou récurrent ?
Nous contacter pour un accompagnementTéléchargez nos templates
Retrouvez tous les contrats et documents juridiques pour créer et développer votre entreprise en 2023.