Par Peexeo Publié le 17 juin 2022 (mis à jour le 20 juin 2022)

Définitions et explications

Les données personnelles ne doivent pas être conservées plus longtemps que nécessaire à la finalité pour laquelle elles ont été collectées par l’entreprise, dans le cadre du RGPD.

Une fois cet objectif atteint, vous devez supprimer ces données personnelles, ou les archiver en les anonymisant.

Ce processus d’archivage ou de suppression est nouveau, et nombreuses sont les personnes non informées. Elle nécessite de se doter d’une « politique de conservation des données », qui devra être communiquée à la CNIL en cas de contrôle.

Il faudra aussi pouvoir démontrer la suppression effective des données conformément à cette politique, une fois la période d’archivage autorisée expirée.

L’entreprise devra alors déterminer une durée de conservation pour les données collectées. Parfois un texte de loi impose une durée précise. Lorsque ce n’est pas le cas, la durée dépend de la nature des données et des objectifs poursuivis.

Les différents types de données

1 – Les données sensibles

Comme définit dans l’article 9 du RGPD, ces données correspondent aux traitements des données à caractère personnel qui révèle l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique. De plus, les données concernant la santé, la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdites.

2 – Les données non sensibles

Les données non sensibles représentent toutes les autres données qui peuvent être collectées, comme par exemple le nom, le prénom, la date de naissance, le sexe, etc.

Un besoin en marketing digital ?
Réseaux sociaux, Référencement naturel, Google Analytics, Google Ads, Sponsoring Réseaux sociaux… Nos experts serons ravis de vous accompagner !

Combien de temps conserver les données personnelles ?

1 – Le principe de limitation de la durée de conservation

Il s’agit d’un principe général énoncé à l’article 5 du RGPD qui impose à chaque responsable de traitement de déterminer une durée de conservation des données personnelles cohérente et justifiée au regard de l’objectif de leur traitement. Un organisme ne peut donc conserver des données personnelles de manière illimitée, sauf dans certains cas spécifiques et limités à ce qui est strictement nécessaire.

2 – Les différentes phases du cycle de vie d’une donnée

Le cycle de vie d’une donnée peut se décomposer en trois phases successives :

  • L’utilisation courante « base active » : il s’agit des données personnelles collectées par les services chargés de la mise en œuvre de leur traitement. Les données sont accessibles, dans l’environnement de travail immédiat, par tous ceux qui sont en charge du traitement des affaires courantes.
  • L’archivage intermédiaire : les données personnelles ne sont plus utilisées pour atteindre l’objectif fixé mais présentent encore un intérêt administratif pour l’organisme ou doivent être conservées pour répondre à une obligation légale. Les données peuvent alors être consultées de manière ponctuelle et motivée par des personnes spécifiquement habilitées.
  • L’archivage définitif : ce sont les données qui sont archivées sans limitation de durée. Cette phase concerne uniquement les traitements mis en œuvre à des fins archivistiques dans l’intérêt public. Cette dernière phase concerne essentiellement le secteur public soumis aux dispositions du livre II du code du patrimoine.

3 – Quelques exemples

Durée fixe

  • 1 mois
    Durée de conservation des images de vidéosurveillance ;
  • 5 ans
    Durée de conservation d’un double des bulletins de paie à compter de leur remise au salarié ;
  • 10 ans
    Durée de conservation des données contenues dans un dossier médical à compter de la consolidation du dommage.

Durée lié à l’objectif à atteindre

  • jusqu’à la liquidation des droits à la retraite : durée de conservation de certaines données figurant dans les fichiers de gestion du personnel d’une entreprise ;
  • jusqu’à la fin d’une relation commerciale (c’est-à-dire par exemple à compter d’un achat, de la date d’expiration d’une garantie, du terme d’un contrat de prestations de services, du dernier contact émanant du client) ;
  • jusqu’au terme des délais légaux afin d’établir la preuve d’un droit ou d’un contrat ; ou conservées au titre du respect d’une obligation légale pouvant être archivées conformément aux dispositions en vigueur (notamment celles prévues par le code de commerce, le code civil et le code de la consommation).

Et ensuite ?

A la fin du délai de conservation défini pour atteindre la finalité souhaitée, appelé « base active », les données personnelles devront être supprimées, anonymisées ou archivées.

Un archivage temporaire peut être nécessaire pour répondre à une obligation de garantie ou à un recours juridique, par exemple. On peut qualifier ce temps comme une « phase d’archivage intermédiaire des données ». De plus, ces données doivent par ailleurs être séparées des données de la base active.

Certains types de données ne doivent jamais être supprimées, notamment si elles présentent un intérêt public, historique, scientifique ou encore statistique, comme par exemple les données d’état civil. Elles font donc l’objet d’un « archivage définitif » qui est strictement encadré par la loi.

Voilà ! Vous savez tout sur la conservation des données.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.