Comment fixer la durée de conservation des données ?
C’est quoi la durée de conservation des données dans le RGPD ?
La durée de conservation fait référence au temps pendant lequel une entreprise peut légalement conserver les données personnelles collectées.
Tout organisme qui collecte et utilise des données personnelles doit déterminer une durée de conservation à ces données. Il s’agit d’une des obligations imposées par le RGPD, qui est la limitation des durées de conservation.
Cette limitation vous oblige à trier, organiser et surtout planifier la conservation de vos données.
Et oui ! Vous ne pouvez pas garder les données que vous collectez indéfiniment, et certainement pas « au cas où » !
Très souvent, il s’agit d’un véritable casse-tête pour les professionnels.
Les trois phases clés de la conservation des données
La gestion des données personnelles peut être structurée en trois étapes principales, chacune répondant à des objectifs spécifiques.
La base active
Les données que vous collectez sont actives aussi longtemps que l’objectif initial du traitement n’est pas atteint.
Exemple : Les informations concernant vos clients sont conservées tant que leurs contrats sont en cours.
L’archivage intermédiaire
Une fois l’objectif initial atteint, les données sont archivées pour une durée limitée. Cette phase permet de respecter les obligations légales, les délais de prescription, les recommandations de la CNIL.
Exemple :
Les données d’un client qui met fin à son contrat ne sont pas immédiatement supprimées.
- Données commerciales : Conservées 5 ans après la fin de la relation, conformément aux délais de prescription habituels.
- Données comptables : Conservées 10 ans, comme l’exige la loi.
- Données de prospection : Conservées 3 ans après la fin de la relation commerciale, sauf opposition du client (selon la CNIL).
L’archivage définitif
Certaines données peuvent être conservées de façon permanente. Cette phase concerne généralement des données présentant un intérêt spécifique :
- Données historiques, scientifiques
- Archives publiques
Comment déterminer la durée de conservation adéquate ?
Pour vous simplifier la tâche, voici quelques clés que vous serons utiles :
- Tout d’abord, vérifiez les obligations légales. Certaines durées sont imposées par des lois spécifiques. Par exemple : le Code du travail impose à l’employeur de conserver le bulletin de paie du salarié pendant au moins 5 ans.
- Si aucun texte n’existe, dans ce cas vérifiez s’il existe des durées recommandées par la CNIL
Impossible de déterminer la durée de conservation ?
Vous n’avez toujours pas trouvé la durée qu’il vous faut ? Il faudra alors faire preuve de bon sens, Pensez à la finalité du traitement des données :
- Pourquoi les avez-vous collectées ?
- A quel moment deviennent-elles obsolètes pour vos besoin ?
Sachez que la CNIL recommande de recenser dans un document unique les durées de conservation que vous aurez déterminées pour chaque type de données collectées.
Adoptez les bonnes pratiques
Pour assurer la conformité de votre organisation :
- Élaborer un registre des durées de conservation,
- Mettre en place des procédures claires d’archivage et de suppression,
- Former vos équipes sur ces processus.
Mais attention, déterminer les durées de conservation c’est bien, mais encore faut-il les respecter !