RGPD - Les durées de conservation - La gestion du système d'information (SI)
La gestion du système d'information (SI) implique le traitement de nombreuses données, notamment celles relatives aux comptes informatiques, aux contrôles d'accès, et aux logs de connexion. Il est essentiel de connaître les règles de conservation de ces données pour se conformer au Règlement général sur la protection des données (RGPD) et aux recommandations de la CNIL. Cet article de blog a pour but d'informer les entreprises sur ces obligations.
Télécharger le tableau complet des durées de conservation
Principes clés de la conservation des données
- Finalité et durée : La durée de conservation des données doit être strictement liée à la finalité du traitement. Les données ne doivent être conservées que le temps nécessaire à l'accomplissement de l'objectif pour lequel elles ont été collectées.
- Sécurité des données : La sécurité des données doit être assurée pendant toute leur durée de vie, y compris en archivage. L'accès doit être contrôlé et les données doivent être protégées contre toute perte, altération ou accès non autorisé.
- Archivage intermédiaire : Les données peuvent être conservées en archivage intermédiaire après la période d'utilisation active, notamment pour répondre à des obligations légales ou en cas de litige.
Durées de conservation spécifiques à la gestion du SI
Les durées de conservation varient en fonction de la nature des données :
- Gestion des comptes informatiques : Toute la durée de la relation de travail.
- Gestion des contrôles d'accès : Toute la durée de la relation de travail.
- Gestion des logs de connexion : 6 mois selon la CNIL.
- Gestion des contrôles d'accès à internet : 6 mois pour les logs, et 1 an pour une connexion Wi-Fi publique, sauf obligation légale de conservation plus longue.
- Gestion des contrôles de l’utilisation de la messagerie professionnelle : 6 mois à compter de l’utilisation de la messagerie.
Importance de l'adaptation et de l'expertise
Les durées de conservation mentionnées ci-dessus sont des indications générales. Il est essentiel d'adapter ces durées en fonction des besoins spécifiques de votre entreprise et de consulter un expert juridique ou un DPO (Délégué à la Protection des Données) pour des conseils précis. Les durées peuvent être affectées par d'autres obligations légales spécifiques à votre secteur d'activité.
Remarques importantes
- Les données utilisées à des fins statistiques ne sont plus considérées comme des données personnelles une fois anonymisées.
- Il est important de noter que certaines durées mentionnées dans les sources font référence à des normes simplifiées ou des dispenses qui n'ont plus de valeur juridique depuis l'entrée en vigueur du RGPD.
- Il convient de respecter les recommandations de la CNIL et du RGPD en matière de protection des données.
Conclusion
Le respect des règles de conservation des données relatives à la gestion du SI est crucial pour la conformité au RGPD et pour la sécurité de l'entreprise. En tant que responsable, il est de votre responsabilité de comprendre ces règles et de les appliquer rigoureusement. Cela permettra d'éviter des sanctions potentielles et de garantir la protection des données de votre entreprise et de vos employés.
N'hésitez pas à consulter les liens et les références mentionnés dans les sources pour approfondir vos connaissances sur ce sujet. Pour aller plus loin, les contacts de Silexo et ProDPO sont disponibles.
Si cet article vous a été utile, voici un autre article qui pourrait sûrement vous intéresser :
Le logiciel RGPD du DPO
Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.
Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.
