Rechercher
  • christophemichoud

RGPD : quelle durée de conservation des données?

Dernière mise à jour : janv. 13


La gestion des durées de conservation est un des piliers de la protection des données personnelles (Art5 du RGPD): en résumé vous devez conserver les données avec un objectif particulier (la "finalité") et pour une durée cohérente avec cet objectif.


A l'inverse, vous ne pouvez pas "conserver les données ad-vitam, au cas où ..." (certains clients se reconnaîtrons !)


Si la CNIL publie régulièrement des infos et guide pratiques (consultez le très intéressant "guide pratique de gestion des durées de conservation" disponible à cette adresse : https://www.cnil.fr/sites/default/files/atoms/files/guide_durees_de_conservation.pdf), nos clients font face à deux grandes questions:


1. Quelles sont les références légales pour choisir la durée de conservation?


Le RGPD n’indique pas de durée légale, néanmoins il existe des usages et des obligations légales (souvent liées au Code du Commerce ou du Travail), comme par exemple :

 5 ans pour les données liées aux ressources humaines

 3 ans pour les données liées aux prospects et clients


Au delà de la référence légale, la durée doit être cohérente avec sa finalité : pour les données de mes clients par exemple, combien de temps puis-je conserver des coordonnées de clients inactifs, qui n'ont pas racheté mes produits, qui ne cliquent pas sur mes newsletters et ne m'appellent jamais?


Sans parler de RGPD, le bon sens commercial pourrait considérer ces données comme inutiles voire périmées après un ou deux ans. En tout cas il semble abusif de conserver ces données 10 ou 15 ans.


Une durée de conservation peut être adaptée pour chaque responsable de traitement si elle est appliquée et justifiée. Par exemple nous avons des clients dans le tourisme qui justifient une année de conservation supplémentaire à cause de la crise sanitaire.


2. Comment calculer une durée de conservation?


Il faut distinguer trois étapes dans la vie de la donnée:

  • La base active

pour reprendre l'exemple d'un client, ses données personnelles sont exploitées dans cette base à partir du moment où la relation commerciale commence : un clic sur une newsletter, une commande, un appel. C'est le fait générateur

Si le client est fidèle et actif, le délai de conservation ne commence pas puisque on exploite ses données en toute légalité (voire la notion de "base légale" dans l'article sur les 10 règles d'or du RGPD)

Dès que la relation commerciale entre vous et le client cesse, le début du délai de conservation démarre.

C'est à partir de cette date que la durée de conservation s'applique.


par exemple

Mr Durand est un client de l'hôtel Terminus

Il est venu dans l'hôtel une seule une fois en janvier 2018.

Depuis cette date, l'hôtel Terminus lui envoie régulièrement des informations et des promotions par email

Son dernier clic sur la newsletter date du 1er mars 2020.

C'est la date du début de la conservation en base active.

L'hôtel peut le solliciter mais il peut se désinscrire de la newsletter et exercer ses droits RGPD quand il le souhaite


  • La base archivée

A partir d'une certaine durée d'inactivité vos services doivent sortir les données de la base active, le dossier est "clos", mais vous avez encore un intérêt à conserver les données pour des objectifs administratifs, pour une obligation légale ou en prévision d'un éventuel contentieux.


Les données ne sont plus facilement accessibles dans l’environnement de travail immédiat pour les services opérationnels qui sont en charge du traitement (ex : le service commercial de l'hotel Terminus).


par exemple

Si l'hôtel Terminus a choisi une durée de conservation de 3ans, le service commercial ne pourra plus solliciter Mr Durand à partir du 1er mars 2023


  • La fin de vie de la donnée personnelle

A l'issue de la période en base archivée vous devrez soit détruire les données soit les anonymiser (on conserve une fiche client anonyme mais on ne peut plus identifier la personne). Dans certains cas (obligation légale, recherche scientifique) vous pouvez procéder à un archivage définitif.


par exemple

Si l'hôtel Terminus a choisi une durée de conservation en archives de 2ans, le service commercial devra supprimer ou anonymiser les données de Mr Durand à partir du 1er mars 2025


Le mise en oeuvre de durées de conservation cohérentes et conformes est une étape importante dans la conformité RGPD de votre organisation.


C'est une bonne occasion de faire le tri pour ne conserver que des données utiles et exploitables!

72 vues0 commentaire