Les durées de conservation des données : Le tableau PDF complet

La gestion des données est au cœur de toute activité, qu'elle soit commerciale, associative ou publique. La question de la durée de conservation de ces données est cruciale, car elle implique des obligations légales et des enjeux de conformité importants. Cet article vous propose un tour d'horizon complet sur les durées de conservation, en s'appuyant sur les réglementations en vigueur et les recommandations de la CNIL.

Durées de conservation spécifiques par domaine

Les durées de conservation varient considérablement selon la nature des données et l'activité concernée.

• La prospection commerciale et marketing : Lien vers le PDF
• La vente en ligne : Lien vers le PDF
• Les ressources humaines (RH) : Lien vers le PDF
• La comptabilité et banques : Lien vers le PDF
• Fiscalité : Lien vers le PDF
• Documents sociaux : Lien vers le PDF
• La gestion du système d'information (SI) : Lien vers le PDF
• Mutuelle, assurances, services juridiques (droit des affaires) : Lien vers le PDF
• Association : Lien vers le PDF

Le principe de limitation de la conservation

Le Règlement Général sur la Protection des Données (RGPD) impose un principe fondamental : les données personnelles ne doivent être conservées que pendant la durée strictement nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées. Cela signifie qu'il est interdit de conserver des données indéfiniment, sauf exceptions justifiées.

• Finalité et durée : La durée de conservation doit être déterminée en fonction de l'objectif du traitement des données.
• Responsabilité : Il incombe au responsable du traitement de définir ces durées en amont.
• Information : Les personnes concernées doivent être informées des durées de conservation de leurs données.

Les différentes phases du cycle de vie des données

Une donnée peut traverser plusieurs phases durant son existence :

• Utilisation courante (ou base active) : C'est la période durant laquelle les données sont nécessaires pour l'activité quotidienne.
• Archivage intermédiaire : Les données sont conservées pour des raisons administratives, juridiques ou pour répondre à des obligations légales. L'accès aux données est restreint et ponctuel.
• Archivage définitif : Concerne les données qui sont archivées sans limitation de durée. Cela concerne principalement les archives publiques, encadrées par le Code du Patrimoine.

Archivage et destruction des données

• Archivage intermédiaire : Les données archivées doivent être triées pour ne conserver que celles qui sont nécessaires, avec une durée définie et un accès restreint.
• Destruction : Lorsque la durée de conservation est atteinte, les données doivent être supprimées de manière sécurisée.
• Anonymisation : Alternative à la suppression, elle permet de conserver les données à des fins statistiques sans qu'elles ne soient rattachables à une personne.

Les référentiels de la CNIL

La CNIL met à disposition des référentiels de durées de conservation par secteur. Ces référentiels sont des outils précieux, mais ne se substituent pas à une analyse au cas par cas. Ils permettent :

• D'identifier les durées obligatoires imposées par la loi.
• De proposer des durées recommandées par la CNIL.
• De donner des exemples de durées.

Documentation et conformité

Il est essentiel de documenter toutes les démarches relatives à la gestion des durées de conservation. Cette documentation doit inclure :

• Le registre des activités de traitement.
• Un tableau des durées de conservation par type de données.
• Les procédures d'archivage et de destruction.
• Les références aux textes législatifs, réglementaires ou aux recommandations de la CNIL.
• Les instructions données aux sous-traitants.

Sanctions

Le non-respect du principe de limitation de la conservation peut entraîner de lourdes sanctions financières (jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial).

Conclusion

La gestion des durées de conservation des données est un aspect crucial de la conformité au RGPD. Chaque organisation doit adapter ses pratiques en fonction de ses activités, en s'appuyant sur les réglementations en vigueur, les recommandations de la CNIL et une analyse rigoureuse de ses besoins. La documentation et la transparence sont essentielles pour garantir la conformité et la protection des données personnelles.

Autres articles susceptibles de vous intéresser

🔗 Comprendre les étapes du stockage des données en entreprise : le "cycle de vie de la donnée": Cet article explore les différentes phases de conservation des données, de leur utilisation courante à leur archivage à long terme, tout en respectant les obligations du RGPD. Cela offre un contexte plus large sur la gestion des données au-delà des durées de conservation spécifiques.

🔗 Les notions essentielles : qu’est-ce qu’une base légale, et comment la choisir ? : Dans le cadre du RGPD, chaque traitement de données à caractère personnel doit reposer sur une base légale, sans quoi le traitement est considéré comme illicite. Il est important de comprendre les bases légales pour déterminer correctement les durées de conservation.

🔗 RGPD : Etablir un registre des activités de traitement: Le registre de traitement des données personnelles est un outil essentiel pour toute organisation traitant des données personnelles, centralisant toutes les informations sur les traitements de données effectués par l'organisation. La mise en place d'un registre des activités de traitement permet de mieux comprendre et gérer les durées de conservation des données.

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus