Combien de temps dois-je ou ai-je le droit de conserver les données nécessaires au fonctionnement de mon entreprise ?
Depuis son entrée en vigueur en 2018, la RGPD impose des règles strictes en matière de gestion des données :
- nommer un DPO,
- tenir un registre de traitements,
- définir les durées de conservation,
- définir les process de suppression…
Ici, nous allons regarder de plus près la question de la conservation. Quelles sont les obligations et contraintes ? quels cas sont à prendre en compte ?
Les données que vous utilisez pour le bon fonctionnement de votre entreprise, qu’elles concernent vos salariés, vos candidats, vos clients, vos prestataires, vos fournisseurs, ou autre, ne peuvent pas être conservées indéfiniment. En effet, au travers de la RGPD, la CNIL impose des règles afin d’assurer que les données (notamment personnelles et comptables) soient conservées dans un cadre maîtrisé.
En liaison avec votre registre de traitement de données, vous devez donc définir une durée de conservation des données relatives à chaque traitement (potentiellement différente, selon le traitement concerné), mais également un processus permettant de stocker, puis supprimer effectivement les données.
Attention : vous devez être en mesure de prouver que vos processus existent, mais également qu’ils sont utilisés et fonctionnent correctement.
Par exemple, en cas de suppression d’un contact inactif de votre base de prospection (aucune interaction, aucun clic, etc), vous devez supprimer ses informations dans un délais de 3 ans, mais également conserver le contact supprimé dans une liste d’opposition afin de ne plus le solliciter dans le futur et de pouvoir justifier de vos traitements et de votre conformité avec la réglementation.
Afin de fixer la durée de conservation, le responsable de chaque traitement devra déterminer :
- la typologie de donnés utilisées,
- la finalité du traitement,
- les phases du traitement, et les données nécessaires à chacune,
- les contraintes légales ou réglementaires éventuelles associées à leur conservation.
Et enfin, il devra compléter le registre de traitements afin d’y faire figurer :
- les catégories de données traitées,
- le ou les traitements effectués par son service,
- les finalités et objectifs, les acteurs (internes et externes) participant au traitement et, si ces données sont amenées à quitter l’Union Européenne, les origines et destinations des flux de données.
Quelques exemples de contraintes légales et réglementaires :
- L’article L3243-4 du Code du travail impose à l’employeur de conserver un double du bulletin de paie (et de tous les documents du salarié) pendant 5 ans, après la fin de toute relation contractuelle.
- Les informations sur les candidats non retenus à l’embauche et leur CV doivent être supprimés 2 ans au plus tard après le dernier contact.
- Les documents comptables doivent être conservés 10 ans, à compter de la clôture de l’exercice comptable.
Pour nous aider, la CNIL a mis en place un guide de bonnes pratiques, mais également des référentiels thématiques permettant de faciliter la recherche de durée de conservation pertinente, par les responsables de traitements.
Enfin, la CNIL propose quelques “bonnes questions” à se poser au moment de la définition de ces processus :
- Jusqu’à quand ai-je vraiment besoin des données pour atteindre l’objectif fixé ?
- Ai-je des obligations légales de conserver les données pendant un certain temps ?
- Dois-je conserver certaines données en vue de me protéger contre un éventuel contentieux ? Lesquelles ?
- Jusqu’à quand puis-je faire valoir ce recours en justice ?
- Quelles informations doivent être archivées ? Pendant combien de temps ?
- Quelles sont les règles de suppression des données.
- Quelles sont les règles d’archivage des données ?
Outils fournis par la CNIL :