Rechercher
  • laurapodjarny

Ask IMPALA #17 - Définir une politique de conservation des données personnelles

Dernière mise à jour : 8 juil.

La société BRICO PRIVÉ, éditrice du site bricoprive.com, a récemment été condamnée par la CNIL au paiement d’une amende de 500 000 euros, en partie parce qu’elle ne respectait pas les durées de conservation des données personnelles qu’elle s’était fixées.


C’est ainsi que les données de plus de 16 000 clients étaient conservées, alors même qu’ils n’avaient pas passé commande sur le site depuis 5 ans. Il en était de même pour plus de 130 000 personnes, qui ne s’étaient pas connectées à leur compte client depuis 5 ans.

Cette condamnation rappelle combien il est important, pour toute personne traitant des données personnelles, non seulement de déterminer une politique efficace de conservation des données, mais surtout de s’y tenir. Vous trouverez donc succinctement, dans cette fiche, un rappel des enjeux liés à la politique de conservation des données ainsi que la présentation de la marche à suivre pour l’élaborer.


I- LES ENJEUX DE LA POLITIQUE DE CONSERVATION DES DONNEES

  1. Durée limitée. L’article 5 du Règlement Général sur la Protection des Données (RGPD) prévoit, de façon générale, que les données personnelles doivent être conservées uniquement pour une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. A titre exceptionnel, elles peuvent faire l’objet d’un archivage dès lors qu’une réglementation le prévoit et/ou qu’elles sont traitées par un service public.

  2. Transparence. Le responsable du traitement, devant faire preuve de transparence vis-à-vis de la personne dont il exploite les données, doit expliciter la manière dont il conserve les données et, en particulier, détailler la durée de cette conversation : d’où la nécessité d’établir une politique claire, dont le respect devra être assuré efficacement pour ne pas rester lettre morte.

II- L’ELABORATION DE LA POLITIQUE DE CONSERVATION DES DONNEES 1. Cycle de vie de la donnée.


1. Cycle de vie de la donnée. Au cours de son traitement, une donnée personnelle est susceptible de connaître trois phases de conservation successives : la conservation en base active, l’archivage intermédiaire et l’archivage définitif. Ces phases sont décrites ci-dessous :


2. Déterminer une durée de conservation cohérente. La durée de conservation peut, dans certains cas, être prévue par la loi : par exemple, le Code du travail exige de l’employeur qu’il conserve un double du bulletin de salaire de son employé, pendant 5 ans. Néanmoins, le principe reste celui d’une durée déterminée par le responsable du traitement lui-même, au regard de la finalité du traitement. Par exemple, pour un site de vente en ligne, la durée choisie pourrait être celle nécessaire à l’élaboration et à l’expédition d’une commande.

En raison de leur valeur et intérêt, certaines données peuvent être archivées définitivement. Il s’agit d’une option.


3.Besoin d'aide? Le responsable du traitement des données personnelles peut être assisté dans sa tâche, notamment, par son DPO, par un conseil extérieur ou bien encore par la fédération professionnelle à laquelle il est rattaché.

En outre, la CNIL a mis à disposition des professionnels un guide pratique, faisant une présentation détaillée des durées de conservation et répondant aux questions les plus courantes en la matière. Par ailleurs, des référentiels ont d’ores et déjà été publiés pour certains type de données (en particulier, les données traitées dans le secteur de la santé).


4. Effectivité. Le non-respect du principe de conservation limitée des données est sanctionné par une amende administrative pouvant s’élever jusqu’à 20 000 000 euros ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent.


Il est donc primordial de s’assurer que la politique que vous avez déterminée est effectivement appliquée


L’effectivité passera, particulièrement, par la tenue d’audits réguliers permettant de corriger au besoin les pratiques des opérationnels et de s’assurer de la véritable suppression ou de l’anonymisation des données. De plus, une documentation devra être tenue scrupuleusement afin d’être en mesure de démontrer à tout moment la conformité de la conservation des données au RGPD (registre des activités de traitement, documents de référence, instructions écrites, etc.).


#politiqueconservsationdonnées


ASK IMPALA #17 - DEFINIR UNE POLITIQUE DE CONSERVATION DES DONNEES_JUILLET2021
.pdf
Download PDF • 265KB

38 vues0 commentaire

Posts récents

Voir tout