RGPD : quelle est la durée de conservation de vos données ?

Parmi les principes phares du Règlement Général de la Protection des Données (RGPD), nous y trouvons celui de la conservation limitée des données personnelles.

La durée de conservation de ces données est donc un enjeu de taille !

Collecter des données personnelles avec le consentement des utilisateurs est une chose, mais s’occuper du devenir des informations ainsi confiées est un chantier à part entière.

Concrètement ? Vous ne pouvez pas conserver indéfiniment des données personnelles. 

Dans ce guide, nous allons vous donner les clés pour appréhender la portée de cette obligation pour votre entreprise :

• le RGPD et la conservation des données ;
• la mise en place du principe de conservation limitée ;
• les sanctions en cas de non-respect.

Prêt à vous plonger dans le sujet ? Alors, allons-y.

Comprendre le RGPD et la conservation des données 

Que dit l’article 5 e) du RGPD ?

L’article 5 e) du RGPD pose un cadre général : 

• la durée ne doit pas excéder celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
• les données personnelles peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique, historique ou à des fins statistiques à condition de mettre en place des mesures pour garantir les droits et libertés de la personne.

Durée de conservation des données personnelles : le rôle essentiel du responsable de traitement

Le RGPD ne donne que des directives et reste silencieux sur la mise en application réelle de ces durées de conservation.

Il appartient donc au responsable de traitement de déterminer au cas par cas la durée pendant laquelle les données personnelles doivent être conservées.

Un arbitrage devra être effectué en fonction : 

• des finalités pour lesquelles les entreprises ont collecté les données personnelles : la gestion du recrutement, la gestion de la clientèle ou bien encore la protection des biens et des personnes, etc.
• des exigences légales, réglementaires applicables au responsable de traitement.

Dans les faits, cela implique que l’entreprise sera dans l’obligation d’instaurer des procédures pour la suppression ou l'anonymisation des données une fois la durée de conservation écoulée.

Facteurs influençant les durées de conservation

Obligations légales

Première question que vous vous posez sans doute : comment définir la durée de conservation des données ?

La première chose à faire est de vous référer aux obligations légales applicables. Ici, vous n'avez pas le choix. Vous devez tout simplement conserver les données pendant cette durée.

Voici quelques exemples de durées de conservation :

• contrats conclus par voie électronique (à partir de 120 €) : 10 ans
• données comptables : 10 ans
• contrats d'acquisition ou de cession de biens immobiliers et fonciers : 30 ans
• bulletin de paie : 5 ans

L'Etat français met à disposition un simulateur présentant certaines durées de conservation légales.

Référentiels de la CNIL sur la durée de conservation des données personnelles

Toutes vos activités ne sont pas encadrées par une durée légale de conservation : alors, comment définir cette fameuse durée ?

La CNIL a rédigé des référentiels qui fournissent, par secteur, des durées de conservation actives et d'archivage intermédiaire.

On trouve notamment des référentiels sur :

• le domaine de la santé (hors recherche) ;
• le secteur social et médico-social ;
• la gestion locative ;
• les informations bancaires lors de la vente à distance ;
• les renseignements RH, en partie réglementées par le code du travail ;
• la gestion des impayés lors d’une transaction commerciale ;
• la gestion des activités commerciales.

Toutefois, il s'agit de recommandations et c'est au responsable de traitement de vérifier la pertinence du référentiel par rapport à sa situation.

Exemple de référentiel : la gestion des données personnelles des activités commerciales

Faisons un focus sur les sujets qui vous préoccupent jour et nuit : la prospection, la fidélisation client et la fin de la relation client. 

En langage RGPD, la question suivante doit se poser : avez-vous pensé à définir des durées de conservation ?

Si la réponse est non, suivez ces exemples.

Exemple 1 :
Activité : Gestion des contrats / programmes de fidélité

Finalité du traitement : Gestion des commandes, de la livraison, de l'exécution du service ou fourniture du bien, etc.

Durée de conservation des données personnelles : Durée de la relation contractuelle

Exemple 2 :

Activité : Suivi de la relation client

Finalité du traitement : Suivi de la relation client, gestion de la réclamation, service après-vente.

Durée de conservation des données personnelles : Durée de la relation contractuelle

Exemple 3 :

Activité : Actions de prospection commerciale, (messages publicitaires, jeux concours, parrainage, promotion, etc.).

Finalité du traitement : Contact par voie électronique pour des biens ou services qui n'ont pas déjà été achetés par les personnes visées.

Durée de conservation des données personnelles : Jusqu'au retrait du consentement ou 3 ans à compter du dernier contact des personnes avec l'organisme.

Pas de référentiel : que faire pour déterminer la durée de conservation ?

Si aucune source ne précise la durée à appliquer, alors il appartient au responsable de traitement des données personnelles de la déterminer.

La meilleure méthode ? Le cas par cas :

• identifier l'objectif poursuivi par le traitement de la donnée ;
• identifier les besoins des métiers en interne ;
• vérifier les paramétrages possibles dans les outils métier pour gérer ces durées ;
• définir une durée réaliste pour chaque traitement ou du moins des critères objectifs pouvant la définir.

Gardez en mémoire que vous devez pouvoir justifier chaque délai choisi. Le responsable de traitement doit toujours être en mesure de démontrer sa conformité à tout instant (très utile en cas de contrôle de la CNIL !).

Point de départ pour calculer la durée de la conservation des données personnelles

Attention au point de départ pour calculer la durée de conservation des données.

Le guide de la CNIL explique que la durée ou son point de départ peuvent être « glissants ».

Par exemple, pour les opérations de prospection commerciale, les données des prospects peuvent être conservées en base active jusqu’au retrait du consentement ou 3 ans à compter du dernier contact émanant du prospect.

Ici, le dernier contact peut être une demande de documentation. A contrario, le simple fait d’ouvrir un courriel n’est pas suffisant. Le point de départ de la durée est ainsi «reculé » à chaque nouveau contact du prospect.

Au bout de ce délai de 3 ans, le responsable de traitement a la possibilité de contacter à nouveau le prospect pour vérifier s’il veut continuer de recevoir des offres commerciales. S’il ne répond pas de manière affirmative et claire, il sera nécessaire d'effacer les données personnelles ou de les archiver dans le respect des règles en vigueur.

Comment mettre en place le principe de conservation limitée de vos données ?

Comprendre le cycle de vie d’une donnée personnelle

Les données personnelles que vous traitez connaissent deux grandes étapes.

La base active correspond à la phase où les données personnelles sont activement utilisées par les services responsables de leur traitement : commerciaux, service marketing, développeurs, service comptable, ressources humaines, etc. Il y a une finalité opérationnelle indéniable qui peut facilement expliquer le traitement des données personnelles et la durée de conservation.

L'archivage intermédiaire intervient lorsque certaines données ne sont plus nécessaires pour leur finalité initiale, mais sont encore nécessaires pour des raisons administratives ou juridiques pour le responsable de traitement (comme la gestion de litiges potentiels).

Tel est le cas également lorsqu'elles doivent être gardées en raison d'exigences légales comme les données de facturation pour une période définie par la loi (10 ans), même si la personne n'est plus cliente.

Ainsi, les données personnelles doivent devenir accessibles uniquement aux personnes qui en ont le besoin dans ce cadre (équipe juridique, comptable...).

Il existe également une troisième étape applicable dans un cas précis : la conservation sans limitation de durée à des fins archivistiques d'intérêt public.

Durée de conservation limitée : quoi mettre en place comme dispositif ? 

A l’issue de la phase d’utilisation (conservation en base active) ou d’archivage intermédiaire, les données doivent être supprimées en interne, mais aussi auprès des sous-traitants puisque le responsable de traitement reste garant de ces derniers.

Un système d’anonymisation peut aussi être mis en place. Il convient de garder à l'esprit que ce type de système peut être remis en question si l'anonymisation n'a pas pour conséquence de rendre l'identification d'une personne physique impossible de façon irréversible.

L'avantage ? Une fois anonymisées, les données restantes ne relèvent plus du RGPD, car elles ne permettent plus d'identifier les personnes physiques.

Documentation des procédures de conservation et information

Il convient de documenter : l’utilité de la donnée récoltée (la finalité), sa base légale, les destinataires, mais aussi la durée de conservation.

Plusieurs outils peuvent être utilisés comme le registre des activités de traitement.

De la même façon, vous devrez rassembler toute référence utile sur le sujet (textes et normes de gestion de l'information, guides de la CNIL) et les procédures internes mises en place afin de corroborer le bien-fondé de votre stratégie de conservation et des durées choisies.

Information du public sur la durée de conservation

Les durées doivent être clairement communiquées aux personnes concernées : prospects, clients, contacts, etc. Il est ainsi important de détailler les différentes étapes, base active et archivage intermédiaire, de façon transparente (dans la politique de confidentialité si vous avez un site).

Sanctions en cas de non respect de l'obligation de conservation limitée des données

Conservation des données : les erreurs courantes 

Il est à noter que lors des contrôles, la CNIL vérifie les durées de conservation des données personnelles.

Les infractions courantes comprennent l'absence de politique de conservation des données, des durées de conservation excessivement longues, ou le manque de mécanismes automatisés pour l'effacement des données.

Pour rappel, le RGPD peut prévoir des sanctions financières significatives. Les amendes peuvent atteindre jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial de l'entreprise pour l'exercice précédent. 

Exemple d’entreprises sanctionnées 

Affaire Doctissimo 

La CNIL a identifié plusieurs infractions dont une mauvaise gestion des durées de conservation des données avec notamment une conservation des données des utilisateurs dont le compte était inactif depuis plus de 3 ans.

Doctissimo a dû payer :

• une amende de 280 000 euros pour les manquements au Règlement Général sur la Protection des Données (RGPD). 

Affaire infogreffe.fr

Durant ses enquêtes, la CNIL a découvert plusieurs infractions liées au traitement des données personnelles des utilisateurs du service, incluant ceux ayant créé un compte pour consulter ou commander des documents, ainsi que les abonnés annuels.

Le site web infogreffe.fr avait établi que les données personnelles des membres et abonnés étaient conservées pendant 36 mois à partir de la dernière commande de service et/ou document.

Cependant, la CNIL a découvert que les données de 25 % des utilisateurs étaient conservées au-delà de cette période prévue. 

Suite à ces observations, la formation restreinte de la CNIL, l'organe en charge de l'émission de sanctions, a imposé une amende publique de 250 000 euros au GIE INFOGREFFE. 

Conclusion 

Pour mettre en place une durée de conservation des données efficace, voici les trois premières étapes sur lesquelles travailler.

Évaluer : déterminez les types de données que vous collectez et les exigences légales liées à leur conservation.

Puis, priorisez les domaines qui méritent un travail de fond sur le sujet suivant votre secteur et vos enjeux business.

Leto peut vous aider en fournissant des informations actualisées sur les réglementations en vigueur et en vous épaulant dans la tenue de registre de traitement.

Mettre en place des mécanismes de suppression automatique : utilisez des outils technologiques pour supprimer automatiquement les données une fois la période de conservation terminée.

Leto peut offrir des solutions pour automatiser ce processus, en s'assurant que les données sont supprimées de manière sécurisée et conforme.

Effectuer une veille régulière : soyez au fait des recommandations de la CNIL et des dernières bonnes pratiques sur la durée de conservation. Le RGPD est un texte vivant qui apporte son lot de nouveautés mois par mois !

Leto peut être un partenaire précieux dans ce processus, en offrant des mises à jour et des conseils sur les meilleures pratiques pour vos différentes activités : marketing, ressources humaines, informatiques, etc.

‍