Accueil / Dossiers / Comprendre le RGPD: focus sur le principe de limitation de la conservation des données
Comprendre le RGPD: focus sur le principe de limitation de la conservation des données
Le Règlement européen sur la protection des données personnelles, qui entre en application le 25 mai 2018, renforce les obligations en matière de conservation des données. Limitée dans le temps, cette dernière est corrélée à la finalité du traitement. Zoom sur cet aspect avec le cabinet BDO.
1 - La limitation de conservation des données: décryptage
Le Règlement européen sur la protection des données exige que les données personnelles ne soient conservées que pendant une durée n'excédant pas celle nécessaire au regard des finalités du traitement correspondant.
Pour rappel, la "finalité" est la raison pour laquelle l'organisation collecte des données, ce pour quoi elle va utiliser les données.
Exemple: la collecte d'images d'une caméra de surveillance disposée à l'entrée d'un bâtiment pour sécuriser les allers et venues est une finalité. Conserver ces données au-delà d'un mois n'est ni légitime, ni conforme à la loi (puisqu'en l'espèce, la durée de conservation de ces données a été fixée par la Cnil).
En pratique, pour chaque traitement, vous devrez déterminer la durée de conservation des données en fonction de sa finalité:
- En tenant compte des éventuelles durées de conservation maximales imposées par la Cnil (ce qui simplifie la réflexion... [NDLR: pour plus de précisions, voir le référentiel indicatif établi par la Cnil et se rapprocher de la commission en cas de doute]),
- Pour les finalités qui n'ont pas de durée de conservation encadrée par la loi, en partant du principe que la durée de conservation doit être limitée au strict minimum (il n'empêche que vous devrez tenir compte des obligations légales à conserver certaines données).
>> La suite en .
2 - Implications opérationnelles
On pourra se poser quatre bonnes questions pour déterminer la durée de conservation pour un traitement donné:
- Jusqu'à quand mon organisation a-t-elle vraiment besoin des données pour atteindre l'objectif fixé?
- Mon organisation a-t-elle des obligations légales de conserver les données pendant un certain temps?
- Mon organisation doit-elle conserver certaines données en vue d'être protégée contre un éventuel contentieux?
- Jusqu'à quand puis-je faire valoir ce recours en justice ?
Le mieux est de mener cette réflexion au moment de l'élaboration du registre des traitements. D'abord puisque l'article 30 du RGPD exige que les durées de conservation soient mentionnées au registre. Ensuite, car les "métiers" (qui doivent être impérativement rencontrés lors de cet exercice) sont les mieux placés pour appréhender la durée de vie utile propre à la finalité de chaque traitement.
L'autre question qu'il conviendra de traiter sera plus opérationnelle: quelles sont les règles de suppression des données au sein de mon organisation? En d'autres termes, comment est géré l'effacement des données à l'issue de la durée de vie utile déterminée?
Dans l'idéal, on formalisera une politique de conservation et d'archivage des données pragmatique et exhaustive. Ce document indiquera les personnes impliquées, les fréquences d'effacement, les logiciels utilisés (audités ou certifiés par l'ANSSI tant qu'à faire), etc.
Là encore, il conviendra d'impliquer les opérationnels concernés (exemple: DRH, administration des ventes, etc.) dans l'élaboration de ce document, voire dans le process lui-même (exemple: déclenchement du process de suppression à partir d'un e-mail).
Si chaque traitement a été correctement identifié et qualifié, vous devriez être en capacité de repérer aisément le(s) support(s) sur lesquels les données sont stockées. Cette cartographie facilitera l'application du processus de suppression défini.
L'auteur
Romain Maillard, senior manager au sein du département de BDO France dédié aux activités de conseil. Depuis 2009, il accompagne ses clients dans leur projet de cartographie des risques, dans l'évaluation de leurs procédures de contrôle interne, et intervient sur de nombreux sujets liés à la compliance. Romain apporte également son expertise dans le cadre de la structuration de dispositifs de lutte anti-fraude et conduit des missions d'investigations en exploitant les données comptables et financières. Romain est Certified Fraud Examiner et diplômé de Neoma (ESC Rouen).
Sur le même thème
Voir tous les articles Marketing Client