Dans notre quotidien d’entreprise ou au cours de nos prestations envers nos clients, nous sommes amenés à traiter le sujet de la conservation des documents et surtout des données qu’ils contiennent.

Deux questions principales se posent alors : quelles données peut-on conserver ? Pour combien de temps ?

Quelles données peuvent être conservées ?

Ici, on parle également d’archivage. La CNIL distingue 3 types d’archivage :

  • La base active, est celle qui contient les données qui ont fait l’objet récemment ou feront bientôt l’objet d’une activité.
  • Les archives intermédiaires, dans lesquelles les données contenues ont une accessibilité restreinte dans l’attente d’être supprimées.
  • Les archives définitives, qui sont réservées aux données dont la conservation sous forme d’archives est justifiée pas un intérêt public (scientifique, statistique ou historique).

C’est le responsable de traitement qui opte pour tel ou tel type d’archivage.

gorgpd

Dans tous les cas, l’idée est de pouvoir demander un minimum d’informations lors de la collecte de données et de se contenter de celles strictement nécessaires à l’exploitation recherchées (on évite les données sensibles autant qu’on le peut).

Combien de temps sont conservées les données ?

Le principe est que les données personnelles ne peuvent pas être conservées indéfiniment.

C’est la nature des données et la finalité de la collecte qui permettent de déterminer la durée de conservation.

En dehors de cas où la durée de conservation est réglementée, c’est le responsable du traitement qui est en charge de la définir.

Dans un cas comme dans l’autre, une fois arrivé le terme du délai prévu, les données doivent être supprimées ou anonymisées (rendre impossible toute ré-identification des personnes par un procédé de changement du contenu ou de la structure des données). Il en est de même si une personne concernée vous demande expressément la suppression des données que vous possédez à son sujet.

Dans ce cas précis d’ailleurs, les organisations ont l’obligation de supprimer les données si on le leur demande sauf dans trois situations :

  • Les données personnelles détenues sont nécessaires à l’exercice du droit à la liberté d’expression
  • La conservation des données est imposée par une obligation légale
  • Les données sont d’intérêt public (comme vu plus haut)

De manière générale, la conservation et l’accessibilité ne doivent donc pas excéder le temps nécessaire à l’atteinte de l’objectif visé par la collecte des données.

Pour exemple, en cas de possession d’une base de données clients, les données concernant les personnes inactives depuis 3 ans (36 mois) doivent être supprimées. C’est le principe du droit à l’oubli.

Voilà, vous en savez un peu plus sur la conservation (ou non) des données. Bientôt, nous nous pencherons sur les nuances entre anonymisation et pseudonymisation.

 

Anne, Responsable Marketing chez Apsynet

 

Newsletter

Categories: RGPD