Blog
Data
RGPD : Combien de temps conserver vos données ?
Data
5 mins

La durée de conservation des données en 2024 : les règles RGPD

Publié le
23/4/24

TOC Example

Example H2
Example H3
Example H4
Example H5
Example H6

La contrathèque

Accédez gratuitement à nos modèles de contrats et templates

Contrathèque

Collecter des données personnelles est une pratique incontournable dans le cadre d'une activité économique, notamment pour les start-ups. Cependant, il est essentiel de comprendre que ces données ne peuvent être conservées indéfiniment ou de manière injustifiée.

La gestion de la durée de conservation des données est un point clé pour respecter le Règlement Général sur la Protection des Données (RGPD) et garantir la transparence vis-à-vis des personnes concernées.

Dans cet article, nous vous guidons à travers les notions essentielles pour bien gérer la durée de conservation des données, en respectant les exigences légales et les bonnes pratiques recommandées.

Durée de conservation des données : les notions à comprendre

Durée de conservation des données personnelles : ce que dit le RGPD

La durée de conservation des données : ni le RGPD ni la loi informatique et libertés ne la fixent. Et pourtant, il s’agit de l’information que tout le monde cherche.

L’article 5 du RGPD impose que les données collectées soient “conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées”.

Ce qu’il faut comprendre :

  • la collecte doit être proportionnée aux finalités fixées par le responsable de traitement ;
  • la durée doit elle-même être strictement nécessaire par rapport aux finalités choisies.

Cette définition générique ne donne malheureusement aucune indication sur la façon de fixer concrètement cette période de conservation. Autrement dit ? C’est au responsable de traitement qu’incombe cette délicate tâche.

Base active, archivage et suppression

La base active fait référence à la période pendant laquelle les données personnelles sont activement utilisées pour les finalités pour lesquelles elles ont été collectées. Ici, les données sont conservées dans des systèmes accessibles et utilisés régulièrement par vos services : ressources humaines, marketing, CSM, etc.

Mais que deviennent ces informations collectées lorsqu’elles ne remplissent plus les finalités ?

  • Archivage intermédiaire : les données à caractère personnelle peuvent être conservées durant un certain laps de temps si la loi l’exige ou qu’il répond à une nécessité administrative (recours contentieux). Néanmoins, leur accès doit être limité aux personnes habilitées.
  • Suppression : si aucune exigence légale ou administrative ne justifie cet archivage intermédiaire, vous devez tout simplement prendre les mesures nécessaires pour anonymiser les données ou les détruire

Durée de conservation des données rgpd : les bonnes pratiques 

Maintenant que tu connais la réglementation autour de la durée de conservation des données et le rgpd, il faut que tu t’assures que ta start-up met tout en œuvre correctement. Pas de panique, nous t’avons fait un résumé des bonnes pratiques à mettre en œuvre dès aujourd’hui. Pour en connaître davantage, tu peux aussi découvrir les 10 questions à se poser pour se mettre en conformité RGPD

Les préalables : finalité et base légale

Avant de vous atteler à la question de la durée, nous vous conseillons de vous poser deux questions pour les catégories de données que vous récoltez

  • Sur quelle base légale récoltez-vous et traitez-vous les données ?
  • Quelle est leur finalité, c’est-à-dire, quel est l’objectif opérationnel poursuivi ?

Si la réponse à ces deux questions n’est pas évidente pour vous, il est fort probable que vous détenez des données à caractère personnelle dont vous n’avez pas besoin. Dans ce cas de figure, nous vous laissons deviner ce qu’il vous reste à faire : les supprimer !

Quelle est la durée de conservation des données personnelles recommandées par la CNIL ?

Les principes de la CNIL

La première est la plus simple : un texte de loi ou une réglementation vous impose de conserver une donnée durant un certain laps de temps. Ainsi, le code du travail impose à l’entreprise de conserver les bulletins de paie durant 5 ans.

Mais, l’affaire devient plus complexe lorsque la loi ne dit rien. Toutefois, il vous reste encore une piste à explorer. Avec un peu de chance, il est possible que la CNIL ait publié des guides relatifs à la conservation des données

On en trouve notamment sur les informations bancaires lors de la vente à distance, la gestion des impayés lors d’une transaction commerciale, la gestion des activités commerciales.

Ces ressources servent de référence, mais le responsable du traitement peut choisir de s'en écarter, à condition de justifier sa décision.

Dernier cas de figure : il n’existe aucun guide de la CNIL. Ici, vous n’aurez pas le choix. En tant que responsable de traitement, vous devrez fixer cette durée en trouvant un équilibre entre vos besoins et les intérêts des personnes dont les données sont collectées.

Exemple de durée de conservation de données

  • Durée de conservation des données clients :

3 ans à compter de la fin de la relation commerciale pour les données des clients utilisées à des fins de prospection commerciale

  • Durée de conservation des données salariés

5 ans pour le registre du personnel (article L1221-26 du Code du travail) 

5 ans pour les bulletins de paie et les reçus de solde de tout compte (article L3243-4 du code du travail).

  • Durée de conservation des données de santé

20 ans à compter du dernier séjour ou dernière consultation pour les dossiers médicaux (Article R1112-7 du Code de la Santé publique)

10 ans pour les données relatives à la traçabilité des dispositifs médicaux.

  • Durée de conservation des données de connexion 

5 ans à compter de la fin de la validité du contrat pour l’identité civile 

1 an à compter de la fin de validité du contrat ou la clôture du compte pour les coordonnées de contact et de paiement, données relatives aux contrats et aux comptes 

1 an à compter de la connexion ou de l’utilisation des équipements terminaux pour les adresses IP et équivalent

  • Durée de conservation des photos rgpd 

1 mois pour les images prises sur une voie publique ou un lieu ouvert au public 

Définir le point de départ du délai de conservation des données et la durée 

Les textes sont silencieux quant au point de départ. Mais, il semble que le compte à rebours de la durée ne commence pas à la collecte des données. Le point de départ de la durée commence donc à partir du moment où la relation avec la personne n’est plus “active”. 

Par exemple, la durée de conservation des données salariés commence à partir du moment où le salarié quitte votre entreprise. La mise à disposition des bulletins de salaire a pour base légale l’exécution du contrat. 

La durée de la conservation des données commence donc à la fin de la base active, c'est-à-dire à la rupture du contrat. La durée de conservation étant de 5 ans, elle commence à compter de la date de la rupture du contrat.

Respecter le droit des personnes qui partagent leurs données

Les personnes dont les données sont collectées doivent être informées de la durée de conservation. 

Elles pourront alors exercer leurs droits comme le droit à l’effacement ou le droit de retirer leur consentement.

Elles peuvent donc vous demander de retirer leurs données de votre base. Si aucune loi ne vous oblige à conserver ces derniers, vous prendrez les mesures nécessaires pour faire droit à cette demande.

Foire aux questions 

Quelle est la durée maximale de conservation des données des collaborateurs ?

La durée maximale de conservation des données de tes collaborateurs est de 5 ans à compter de la fin de son contrat de travail.

Comment un avocat peut-il vous accompagner pour vous mettre en conformité avec le RGPD ? 

Nos avocats RGPD chez Bold ont pour rôle de te conseiller sur ta mise en conformité RGPD, en commençant par faire un état des lieux de ta situation en matière de collecte et de traitement des données à caractère personnel et te faire des recommandations à mettre en œuvre.

Faut-il documenter la durée de conservation des données ? 

La CNIL préconise de rassembler un dossier avec 3 types de documents : les documents formalisant le travail interne (comme le registre de traitement), les références aux textes réglementaires ou aux guides de la CNIL et les procédures internes.

Conclusion 

Fixer une durée de conservation des données personnelles en conformité avec le RGPD peut sembler complexe, mais c’est un exercice indispensable pour garantir la protection des données de vos clients et collaborateurs.

En vous appuyant sur les bonnes pratiques de la CNIL et en assurant une veille régulière sur les évolutions réglementaires, vous pouvez non seulement limiter les risques juridiques, mais aussi renforcer la confiance des personnes qui vous confient leurs informations.

Mettez à jour régulièrement votre registre de traitements et n'hésitez pas à faire appel à des experts RGPD pour vous accompagner dans cette démarche essentielle.

L'abonnement juridique illimité pour les entrepreneurs

Fonds publics, conflit d'associés, mise en conformité RGPD, M&A, contentieux : découvrez toutes nos offres conçues pour les startups. 

Voir notre abonnement

Nos autres articles

Tout savoir sur le Pacte d’Associés SARL 50/50 en 2024

Découvrez dans cet article toutes les informations sur le pacte d’associés en SARL 50/50 ainsi que les erreurs à éviter.

BSA Air décrypté : tout ce que votre start-up doit savoir

Découvrez dans ce guide toutes les informations que vous devez savoir sur les BSA Air pour les startups.
Data

RGPD : Combien de temps conserver vos données ?

Le RGPD impose de limiter la durée de conservation des données. Découvrez les bonnes pratiques et comment définir vos durées.

Pacte d’associés : Le guide ultime pour startups en 2024

Tout savoir sur le pacte d'associés : définition, clauses clés et conseils pour sécuriser votre entreprise. Comprenez tout en 5 minutes !
Corporate

BSA AIR : Définition

Plongez dans l'univers du financement des startups avec une définition détaillée et claire du BSA AIR, un outil de levée de fonds innovant.

Les objectifs et conséquences du RGPD

Avec l’entrée en vigueur du RGPD, l’objectif est triple : donner du pouvoir à ceux qui partagent leurs données personnelles, responsabiliser les entreprises dans cette démarche, et enfin harmoniser la réglementation à l’échelle de l’Union Européenne.