[Episode 4] Les principes fondamentaux du RGPD | La limitation des durées de conservation
Pour notre épisode 4 sur les principes fondamentaux du RGPD nous aborderons la question qui revient le plus souvent en formation : « Et ça, je peux le conserver combien de temps ? »
Nous aimerions vous répondre « Alors, il existe bien une formule magique … » mais… c’est un secret. 🙂
A défaut de formule magique secrète, nous pouvons tout de même vous proposer un raisonnement qui vous permettra de répondre à cette question par vous-même :
La conservation des données peut se découper en deux ou trois temps.
- La base active : les données sont conservées tant que l’objectif du traitement n’a pas été atteint.
Ex : les données de vos clients actuels sont conservées tant que leurs contrats sont bien en cours.
- L’archivage intermédiaire : une fois l’objectif du traitement atteint les données sont archivées pour une durée fixe.
C’est généralement à cette étape qu’il faut fixer les durées de conservation. L’archivage intermédiaire permet de conserver plus longtemps des données pour répondre :
- A des obligations légales
- A des délais de prescription
- Aux recommandations de la CNIL
Exemple : Votre client vient de rompre son contrat avec vous, ou il a pris naturellement fin. Pas question de supprimer toutes ses données d’un coup.
Si l’on s’appuie sur les délais de prescription habituelle, les données collectées dans le cadre du suivi de la relation commerciale sont conservées 5 ans à compter de la rupture.
Les données comptables devront quant à elles être conservées 10 ans pour répondre aux obligations légales.
Côté prospection, à moins que le client ne s’y soit apposé, les données utiles peuvent être conservées 3 ans à compter de la fin de la relation commerciale, selon les recommandations de la CNIL.
Après ces délais les données peuvent être supprimées ou anonymisées. Dans certains cas les données peuvent également être conservées de manière définitive : il s’agit d’un troisième temps de conservation possible : l’archivage définitif
Par exemple, il s’agit des données versées aux archives publiques pouvant présenter un intérêt historique, scientifiques, etc. Ces données ne font pas l’objet de destruction !
N’attendez plus, en fonction de vos activités de traitement, prenez le temps de créer votre registre de durées de conservation et vos procédures d’archivage et de suppression. Et s’il vous reste des questions, n’hésitez pas : nous sommes là pour y répondre !