RGPD : quelle durée de conservation des données clients?

Au sein du Règlement Général sur la Protection des Données (RGPD), la gestion des durées de conservation des données clients est un sujet incontournable de la protection des données personnelles (Art5 du RGPD et voir notre article "les règles d'or du RGPD").

Le RGPD ne fixe pas de durée de conservation spécifique pour les données personnelles. La durée de conservation des données personnelles doit être déterminée en fonction de la finalité (l'objectif) du traitement des données et des obligations légales applicables.

De plus, avec la dématérialisation et l'augmentation des capacités de stockage des logiciels cloud, il est très facile de céder à la facilité de "tout conserver indéfiniment, au cas où ....". Nous entendons parfois chez les clients xDPO les mauvaises pratiques suivantes:

😏"je ne supprime rien dans mon CRM, au cas où je relance mes prospects"

🙂"je conserve tous mes mails ad-vitam: c'est très pratique pour retrouver des éléments d'un vieux dossier client"

🤔"oui nous trions et supprimons les archives papiers mais je ne sais pas comment faire avec les archives numériques"

😐"personne ne s'occupe du dossier "éléments scannés" sur le réseau de l'entreprise: je ne sais pas ce qu'il contient"

🚨Attention! Les durées de conservation excessives (trop longues) et abusives (sans finalité) sont une des raisons majeures de sanctions financières prononcées par la CNIL (voir les statistiques sur leur site)

A l'issue de la lecture de cet article vous saurez combien de temps conserver les données et quelles sont les quatre grands étapes pour gérer les durées de conservation en conformité avec le RGPD:

Etape 1 : définir le trio durée / finalité / base légale

Etape 2 : définir le point de départ de la conservation

Etape 3 : s'engager sur une durée de conservation

Etape 4 : agir à la fin de la durée

1️⃣Etape 1 : Définir le trio durée / finalité / base légale

Un traitement de données personnelle doit être décrit par les informations suivantes:

• la base légale (quel est la raison juridique que vous retenez pour faire ce traitement de données. Plus d'info dans la base légale dans notre article notre article sur les règles d'or du RGPD).

• la finalité (quel est votre objectif en traitant cette données)

• la durée de conservation (combien de temps vous avez besoin de conserver les données personnelles pour cette finalité)

Par exemple, si votre traitement de données concerne "la gestion des données de mes clients"

• la base légale est : si le client a accepté des CGV : l'exécution d'un contrat

• la finalité est : gérer la relation client : facturation, SAV, relance des impayés, relances commerciales

• la durée de conservation est : 3ans après la dernière commande

Si un des trois critères (soit base légale, soit finalité, soit durée) n'est plus valable, vous devez redéfinir les trois critères

Par exemple à l'issue des 3 ans dans l'exemple précédent, vous souhaitez néanmoins relancer les anciens clients. Le nouveau cadre pourrait être:

• nouvelle finalité : relancer les anciens clients inactifs depuis plus de 3ans

• nouvelle base légale : l'intérêt légitime (le votre) puis le consentement (vous les sollicitez une première fois pour leur demander leur consentement à recevoir à nouveau des informations

• nouvelle durée de conservation : 1 an supplémentaire

S'il n'y a plus de finalité ou base légale ou durée de conservation ... il ne plus y avoir de données : vous devez procéder à l'effacement ou l'anonymisation des données personnelles.

Une fois de plus le RGPD est une affaire de bon sens : si vous n'avez aucune raison de conserver des données personnelles, il faut les supprimer!

2️⃣Etape 2 : définir le point de départ de la conservation

Le point de départ de la conservation des données clients n'est pas déclenché tant que vous faites un traitement de données avec un objectif défini et que la relation avec la personne est active (client, usager, salarié ou agent).

fin de la relation active = début du compte à rebours

En effet vous pouvez conserver les données clients car vous les exploitez avec un objectif et une base légale (voir notre article sur les Règles d'or du RGPD).

On parle ici d'une base de données active : En pratique, les données clients seront alors facilement accessibles dans l’environnement de travail immédiat pour les services opérationnels qui sont en charge de ce traitement (ex : le service des ressources humaines pour les opérations de recrutement)

Le point de départ de la durée conservation démarre dès que la relation avec la personne n'est plus active : le salarié est parti de votre organisme, le client n'achète plus, le candidat n'est pas retenu, le prospect ne clique plus sur votre newsletter, l'adhérent de votre association n'a pas renouvelé son adhésion, ...

👉C'est cet évènement qui définit le point de départ de la durée de conservation.

👉 Le compte à rebours démarre ...

3️⃣Etape 3 : s'engager sur une durée de conservation

Pour trouver des références juridiques, il existe des usages et des obligations légales (souvent liées au Code du Commerce ou du Travail), comme :

👉 5 ans pour les traitements de données personnelles liés aux ressources humaines

👉3 ans pour les traitements de données personnelles liés aux prospects et clients

👉 13 mois pour les cookies Google Analytics

Une durée de conservation peut être adaptée par chaque responsable de traitement si elle est justifiée. Par exemple, nous avons des clients dans le tourisme qui justifient une année de conservation des données clients supplémentaire à cause de la crise sanitaire et de la saison "morte" qu'elle a provoquée.

A partir d'une certaine durée d'inactivité, le personnel opérationnel du responsable de traitement doit sortir les données clients de la base active, le dossier est "clos".

Mais si vous avez encore un intérêt à conserver les données pour des objectifs administratifs, pour une obligation légale ou en prévision d'un éventuel contentieux, vous devez alors passer la donnée dans une base archivée

👉La différence entre base active et base archivée est la facilité d'accès pour les opérationnels. En base active les opérationnels y accède facilement, en base archivée non : on ne peut pas consulter les pièces jointes à la fiche clients, on ne peut pas leur envoyer de newsletter, on ne peut pas saisir de nouvelles informations dans la fiche client , ...

Toutefois, les données personnelles conservées en archivage doivent répondre à quelques exigences :

- Sécurité : Un niveau de sécurité approprié au regard des risques et de la nature du traitement de données.

- Disponibilité : Pour répondre aux demandes de droit d'accès des personnes concernées.

- Confidentialité : Les données ne sont plus facilement accessibles dans l’environnement de travail immédiat pour les services opérationnels qui sont en charge du traitement (par exemple : le service commercial).

Attention car la durée citée précédemment (3 ou 5ans) comprend la base active ET la base archivée

4️⃣️Etape 4 : agir à la fin de la durée

A la fin de cette durée, votre relation est inactive avec la personne (client ou salarié) depuis longtemps (cf ci-dessus, depuis 3 ou 5ans) et vous devez agir pour accompagner la fin du cycle de vie de la donnée.

suppression ou anonymisation ?

Vous avez deux possibilités (une autre si votre activité a une intérêt historique ou scientifique):

• Suppression des données et de leurs sauvegardes

• Anonymisation : la donnée ne permet plus d'identifier une personne physique

• En raison de leur valeur et intérêt historique ou scientifique, certaines informations sont archivées de manière définitive et pérenne.

En image et par exemple pour l'exploitant d'un hôtel:

Mr Durand est un client de l'hôtel Terminus

Il est venu dans l'hôtel une seule une fois en janvier 2018.

Depuis cette date, l'hôtel Terminus lui envoie régulièrement des informations et des promotions par email

Son dernier clic sur la newsletter date de janvier 2020.

C'est la date du début de la conservation en base active.

L'hôtel peut le solliciter mais il peut se désinscrire de la newsletter et exercer ses droits RGPD quand il le souhaite

Si l'hôtel Terminus applique une durée de conservation de 3ans, il devra procéder à la

suppression ou à l'anonymisation des données personnelles de Mr Durand à partir de

janvier 2023

Pour finir, sur quel support peut on trouver les données personnelles des clients?

Les données personnelles des clients peuvent être trouvées sur une variété de supports, notamment :

Les dossiers papier : le support le plus simple, l'armoire qui est devant votre bureau ou les archives qui sont dans vos locaux. Pour la gestion des durées de conservation l'avantage des dossiers papier est la place qu'elles occupent (si l'armoire ne ferme plus, il faut supprimer les anciens dossiers ... bref "faire du rangement") mais aussi parce que la fonction d'archiviste existe dans les grands organisations et dans les collectivités. N'hésitez pas à faire appel à ces spécialistes du classement, ils ont des références légales et sauront vous conseiller pour gérer vos archives.

Les logiciels métiers : les ERP, CRM, logiciels d'emailing, sites internet regorgent de données clients et ont rarement de limite de stockage.

🚨Attention aux "zones grises" qui contiennent des données clients, souvent anciennes et rarement gérées:

• les exports : vos utilisateurs peuvent effectuer des exports de vos logiciels cloud pour leur propre usage, un tri ou une opération spécifique. Ces exports sont souvent téléchargés sur le poste de travail, au format excel ou csv, et de ce fait échappent à une gestion centralisée des durées de conservation.

• les duplications de bases : assurez vous que les bases de données sont bien synchronisées. En effet si vous supprimez les données de votre CRM, assurez vous que vous les avez bien supprimé dans votre logiciel de mail. Inversement, lorsque votre logiciel vous remonte des erreurs (NPAI, utilisateur ou nom de domaine erroné), assurez vous que vous mettez à jour votre CRM

• les boîtes emails : un grand nombre d'échanges professionnels se font par emails : une prise de commande, un support client, le règlement d'un contentieux ou les échanges avec son expert comptable ou avocat. Or il y a rarement des règles de gestion de l'ancienneté de sa boite mails et avec le développement de solutions cloud (GMail ou Outlook365) la capacité de stockage est quasiment illimitée. Il convient donc de vider sa boîte de réception, ses éléments envoyés, ses éléments supprimés ainsi que les dossiers crées : chaque année pour les mails de plus de 3 ans.

Le mise en œuvre de durées de conservation cohérentes et conformes est une étape importante dans la conformité RGPD de votre organisation.

C'est une bonne occasion, pour tout organisme, de faire le tri, supprimer les données inutiles pour ne conserver que des données personnelles utiles et exploitables!

Les internautes ont aussi consulté :

• Quelle check-list RGPD lors d'une due diligence ?

• Quelles sont les règles d'or du RGPD?

• Quelles sont les obligations RGPD du sous-traitant?

• Comment remplir le registre des traitements ?

• Comment réaliser une analyse d impact relative à la protection des données (AIPD)

• Votre logiciel de newsletter est-il conforme au RGPD ?

• Comment mettre son site internet en conformité avec le RGPD?

Ressources utiles de la CNIL:

Guide pratique : la gestion des durées de conservation (CNIL) : https://www.cnil.fr/sites/default/files/atoms/files/guide_durees_de_conservation.pdf

Article : les durées de conservation des données : https://www.cnil.fr/fr/les-durees-de-conservation-des-donnees

Guide pratique : les durées de conservation : Elaboré en partenariat avec le Service interministériel des archives de France (SIAF) https://www.cnil.fr/sites/default/files/atoms/files/guide_durees_de_conservation.pdf