Recherche

Publié par le | Mis à jour le
Lecture
3 min
  • Imprimer

2 - Implications opérationnelles

On pourra se poser quatre bonnes questions pour déterminer la durée de conservation pour un traitement donné:

  • Jusqu'à quand mon organisation a-t-elle vraiment besoin des données pour atteindre l'objectif fixé?
  • Mon organisation a-t-elle des obligations légales de conserver les données pendant un certain temps?
  • Mon organisation doit-elle conserver certaines données en vue d'être protégée contre un éventuel contentieux?
  • Jusqu'à quand puis-je faire valoir ce recours en justice ?

Le mieux est de mener cette réflexion au moment de l'élaboration du registre des traitements. D'abord puisque l'article 30 du RGPD exige que les durées de conservation soient mentionnées au registre. Ensuite, car les "métiers" (qui doivent être impérativement rencontrés lors de cet exercice) sont les mieux placés pour appréhender la durée de vie utile propre à la finalité de chaque traitement.

L'autre question qu'il conviendra de traiter sera plus opérationnelle: quelles sont les règles de suppression des données au sein de mon organisation? En d'autres termes, comment est géré l'effacement des données à l'issue de la durée de vie utile déterminée?

Dans l'idéal, on formalisera une politique de conservation et d'archivage des données pragmatique et exhaustive. Ce document indiquera les personnes impliquées, les fréquences d'effacement, les logiciels utilisés (audités ou certifiés par l'ANSSI tant qu'à faire), etc.

Là encore, il conviendra d'impliquer les opérationnels concernés (exemple: DRH, administration des ventes, etc.) dans l'élaboration de ce document, voire dans le process lui-même (exemple: déclenchement du process de suppression à partir d'un e-mail).

Si chaque traitement a été correctement identifié et qualifié, vous devriez être en capacité de repérer aisément le(s) support(s) sur lesquels les données sont stockées. Cette cartographie facilitera l'application du processus de suppression défini.

L'auteur

Romain Maillard, senior manager au sein du département de BDO France dédié aux activités de conseil. Depuis 2009, il accompagne ses clients dans leur projet de cartographie des risques, dans l'évaluation de leurs procédures de contrôle interne, et intervient sur de nombreux sujets liés à la compliance. Romain apporte également son expertise dans le cadre de la structuration de dispositifs de lutte anti-fraude et conduit des missions d'investigations en exploitant les données comptables et financières. Romain est Certified Fraud Examiner et diplômé de Neoma (ESC Rouen).

Romain Maillard

S'abonner
au magazine
Retour haut de page