RGPD - Les durées de conservation - Vente en ligne

La vente en ligne est devenue une partie intégrante du commerce moderne, mais elle s'accompagne également d'obligations en matière de protection des données personnelles. Le Règlement général sur la protection des données (RGPD) impose des règles strictes sur la durée pendant laquelle les données des clients peuvent être conservées. Cet article de blog a pour objectif d'éclairer les professionnels de la vente en ligne sur ces obligations.

Télécharger le tableau complet des durées de conservation

Principes clés de la conservation des données

• Finalité et durée : La durée de conservation des données doit être strictement liée à la finalité du traitement. Cela signifie que vous ne devez conserver les données que le temps nécessaire pour atteindre l'objectif pour lequel elles ont été collectées. Il est important de noter que certaines durées mentionnées dans les sources font référence à des normes simplifiées ou des dispenses qui n'ont plus de valeur juridique depuis l'entrée en vigueur du RGPD. Les durées mentionnées ici sont donc des indications et nécessitent une adaptation au cas par cas.
• Sécurité des données : Pendant toute la durée de conservation, la sécurité des données doit être assurée. Cela implique la mise en place de mesures de sécurité pour protéger les données contre tout accès non autorisé, perte ou altération.
• Archivage intermédiaire : Après la période d'utilisation active, les données peuvent être conservées en archivage intermédiaire, notamment pour répondre à des obligations légales ou en cas de litige.

Durées de conservation spécifiques à la vente en ligne

Les durées de conservation varient en fonction du type de données collectées et de leur finalité :

• Données relatives à la gestion des clients : Cela inclut les contrats, commandes, livraisons, factures, données comptables, suivi de la relation client et enquêtes de satisfaction. La durée de conservation doit être strictement nécessaire à la gestion de la relation commerciale.
• Preuve d'un droit ou d'un contrat : Les données utilisées pour établir la preuve d'un droit ou d'un contrat peuvent être conservées pendant la durée nécessaire, conformément aux dispositions en vigueur du code de commerce, code civil et code de la consommation.
• Données relatives aux moyens de paiement :
• Les informations complètes (numéro de carte, date de validité, cryptogramme) doivent être supprimées une fois la transaction réalisée, dès son paiement effectif.
• Le numéro de carte et la date de validité peuvent être conservés 13 mois après le débit, 15 mois pour les cartes à débit différé, uniquement en cas de contestation.
• Les données de carte bancaire conservées avec le consentement du client ne doivent pas excéder la durée nécessaire pour faciliter les paiements réguliers. La date d'expiration de la carte doit entraîner la suppression des données.
• Le cryptogramme visuel doit être supprimé après la transaction.
• Données relatives à l'exercice des droits d'accès, de rectification ou d'opposition :
• Les copies de pièces d'identité pour l'exercice du droit d'accès ou de rectification doivent être conservées un an.
• Les copies de pièces d'identité pour l'exercice du droit d'opposition doivent être conservées trois ans.
• Les données relatives à la gestion des listes d'opposition à recevoir de la prospection doivent être conservées au minimum trois ans.
• Informations relatives aux comptes utilisateurs : Les données doivent être effacées dès que le compte est supprimé, sous réserve d'exceptions. Les données des comptes utilisateurs inactifs doivent être supprimées après un délai fixé, après avoir averti l'utilisateur.
• Données relatives à la transaction (numéro de transaction, détail de l'achat, etc.) et au suivi de la relation commerciale (demandes de documentation, historique des achats, etc.) doivent être conservées pour la durée nécessaire à la réalisation de l'objectif.
• Données relatives aux règlements des factures (modalités de règlement, remises, reçus, etc.) doivent être conservées pour la durée nécessaire à la réalisation de l'objectif.
• Données collectées via des actions de fidélisation, de prospection, d'étude, de sondage, de test produit et de promotion : La durée doit être limitée à la durée nécessaire à la réalisation de l'objectif.
• Données relatives à l'organisation des jeux-concours et opérations promotionnelles : La durée doit être limitée à la durée nécessaire à la réalisation de l'objectif.
• Données relatives aux avis clients : La CNIL recommande de ne pas excéder 5 ans pour la durée de publication des avis. Après cette période, les données agrégées peuvent être conservées.

Importance de l'adaptation et de l'expertise

Les durées de conservation mentionnées ci-dessus sont des indications générales. Il est essentiel d'adapter ces durées en fonction des besoins spécifiques de votre activité et de consulter un expert juridique ou un DPO (Délégué à la Protection des Données) pour des conseils précis.

Conclusion

Le respect des règles de conservation des données est crucial pour la conformité au RGPD. En tant que professionnel de la vente en ligne, il est de votre responsabilité de comprendre ces règles et de les appliquer rigoureusement. Cela permettra de garantir la protection des données de vos clients et d'éviter des sanctions potentielles.

N'hésitez pas à consulter les liens et les références mentionnés dans les sources pour approfondir vos connaissances sur ce sujet. Pour aller plus loin, les contacts de Silexo et ProDPO sont disponibles.

Si cet article vous a été utile, voici un autre article qui pourrait sûrement vous intéresser :

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus