Depuis son entrée en application en 2018, les organismes de tous secteurs et de toutes tailles doivent respecter le RGPD. La détermination des durées de conservation des données au sein des systèmes d’information (SI) représente l’un des plus grands défis de mise en conformité au Règlement Général sur la Protection des Données (RGPD). Pourtant, de nombreuses entreprises accusent un retard considérable ou ne lancent jamais ce projet crucial, malgré une réelle volonté d’adopter de bonnes pratiques.
Les défis de la conservation des données
La détermination de durées de conservation est une obligation prévue à l’article 5 du RGPD.
Le principe à respecter est semble t-il simple : hormis quelques exceptions très particulières, toute donnée personnelle doit avoir une durée de vie. Au bout de cette durée, elle doit obligatoirement être supprimée (ou anonymisée).
La détermination des durées de conservation des données est cependant une tâche complexe et confrontée à plusieurs obstacles au sein des entreprises. Le premier défi réside dans la compréhension des obligations légales et réglementaires, souvent perçues comme un labyrinthe de directives et de recommandations.
De plus, la peur de supprimer des données potentiellement utiles à l’avenir crée une réticence à engager le processus de nettoyage des données. Les professionnels de la protection des données ou les délégués à la protection des données entendront très souvent “mais si je supprime les fiches de paie, et qu’un salarié revient me voir pour prouver ses droits à la retraite, comment faire ?” ou encore “nous souhaitions réutiliser ces données, mais nous ne savons pas encore comment”.
La méconnaissance des risques liés à la conservation excessive des données, tant du point de vue légal que sécuritaire, ajoute une couche supplémentaire de complexité. Enfin, l’absence d’une politique de conservation des données claire et la difficulté à mettre en œuvre des processus automatisés pour la suppression des données constituent des freins significatifs.
Méthode de détermination des durées de conservation
Pour surmonter ces défis, une méthode claire et structurée est essentielle.
Un plan de conduite du changement, visant à sensibiliser les équipes à la suppression des données, sera nécessaire.
Mais avant de sensibiliser les équipes, ou de mettre en place des processus de suppression, il faut d’abord déterminer les durées qui seront applicables aux données. Voici les questions à se poser pour déterminer les durées de conservation adaptées à votre entreprise.
La loi prévoit elle une durée de conservation applicable à des processus ou documents ?
En commençant par identifier les lois spécifiques applicables à vos domaines d’activités, vous pouvez vérifier si des durées ne sont pas déjà imposées.
Si la loi prévoit déjà une durée applicable, vous n’aurez d’autre choix que de la respecter.
Un risque de litige existe t-il, qui nécessiterait de conserver la donnée pour pouvoir la produire durant le contentieux ?
Si la loi ne prévoit pas expressément de durée de conservation applicable à vos données ou documents, la durée de conservation peut être déduite aisément au regard de son utilité en tant qu’élément de preuve. Ainsi, toute donnée qui serait nécessaire ou utile à prouver vos actes ou paroles en cas de contentieux futur peuvent être conservées jusqu’à ce que la durée de prescription d’éventuelles actions à votre encontre soit dépassée.
La CNIL recommande t’elle des durées ?
Lorsque la loi ne prévoit pas de durée, et que les données ne présentent pas une utilité significative en cas de contentieux, il appartient alors au responsable du traitement de déterminer la durée de conservation de la donnée.
Avant de s’y atteler, il est recommandé de vérifier si la CNIL n’a pas recommandée, dans une de ses recommandations, lignes directrices, ou dans un de ses référentiels, une durée de conservation applicable à votre cas.
Si la CNIL a recommandé une durée de conservation applicable à votre traitement, vous pouvez toute de même décider d’aller au delà, ou en deça, de sa recommandation. Notez qu’en cas de contrôle, la CNIL vous demandera alors de justifier de la raison pour laquelle vous n’avez pas suivi sa récommandation.
Pendant combien de temps la donnée m’est-elle utile ?
En l’absence de durées légales, ou recommandées, il appartient donc au responsable de traitement de déterminer la durée qu’il appliquera.
Attention, cela ne veut pas dire que vous choisir d’appliquer une durée de conservation infinie, ou extrêmement longue !
Le RGPD imposant de choisir les durées strictement nécessaires à l’atteinte des finalités pour lesquelles les données sont traitées, vous devez choisir la durée la plus courte possible, et être capable de justifier votre choix en cas de contrôle.
Implémentation et suivi
Une fois les durées de conservation déterminées, il est crucial de mettre en place des processus manuels et automatisés pour garantir l’application effective de votre politique d’effacement. La mise en œuvre d’un système de gestion des données permettra de suivre, d’archiver et, finalement, de supprimer les données en conformité avec les durées établies. Ceci minimise les risques légaux et optimise la gestion des ressources de l’entreprise.
La détermination et l’application des durées de conservation des données sont essentielles pour naviguer dans le paysage complexe de la conformité RGPD. En abordant ce défi avec une méthode structurée, votre entreprise peut non seulement éviter les sanctions, mais aussi renforcer la confiance de vos clients dans votre gestion des données personnelles.
Vous êtes confrontés à des difficultés dans la détermination de vos durées de conservation ? Faites appels à nos services de mise en conformité ou DPO externe pour une mise en conformité simplifiée ! Contactez nous dès aujourd’hui pour sécuriser votre gestion des données et avancer avec confiance dans l’ère numérique.