Vous entrez dans un espace virtuel nous permettant de vous présenter nos activités, et vous offrant la possibilité d'entrer en contact avec notre accueil commercial dans le cadre d'une relation BtoB.
Notre site collecte des informations sur votre visite et utilise des modules strictement nécessaires. Ces informations ne nous permettent pas d'identifier les visiteurs et d'utiliser les données à des fins commerciales.
Afin de vous proposez d'entrer en contact avec nous, et des réaliser des statistiques plus précises, nous devons vous demander l'autorisation pour utiliser des modules complémentaires.
Il s'agit de données vous assurant un affichage correct des pages selon votre appareil, permettant d'assurer la sécurité du notre site, et la réalisation de statistiques anonymes sans suivi individualisé.
Le stockage ou l’accès technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou la personne utilisant le service.
Ils s'agit de données nous permettant de réaliser des analyses statistiques anonymes plus précises et notamment l'ordre des pages qu'un visiteur consulte
Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Il s'agit des données de statistiques individuelles précédentes et des informations que vous acceptez de communiquer en utilisant les moyens de contact engendrant un transfert des données à notre prestataire hors Europe (CRM Hubspot, utilisant les police Google (fonts).
Durées de conservation des données personnelles
RGPD : Fixer les durées de conservation des données personnelles
L’article 5 du RGPD impose de définir des durées précises pour la conservation des données personnelles. Vous souhaitez comprendre comment déterminer les durées de conservations des données à caratère personnel ? Voici une base facile à lire pour s’y mettre :
Conservez les données uniquement le temps nécessaire à leur finalité.
Respectez les durées légales (ex. : 5 ans pour les bulletins de paie, 20 ans pour les dossiers médicaux).
Supprimez les données une fois leur utilisation terminée, ou Anonymisez (si besoin d’archivage définitif ou de statistiques).
Points clés :
Pourquoi c’est important ? Pour protéger les droits des personnes et éviter les risques juridiques. On se souvient de cet assureur en 2021 qui a reçu une amende de 1,75M d’euro, pour conservation excessive des données des clients.
Comment faire ? Analysez la finalité des données, suivez les recommandations de la CNIL, et mettez en place des outils processus permettant l’effacement des données.
Exemples pratiques :
Données de connexion : 6 à 12 mois.
Données prospects : 3 ans à 5 ans compter du dernier contact.
En organisant le cycle de vie des données (base active, archivage intermédiaire, suppression), vous restez conforme au RGPD tout en simplifiant la gestion.
Définir les durées de conservation des données
Durées de conservation des données personnelles selon les éxigences légales
Les durées de conservation des données personnelles doivent respecter des règles juridiques précises. Chaque type de données est soumis à des obligations spécifiques que le responsable du traitement doit identifier. Par exemple, selon l’Article L3243-4 du Code du travail français, les bulletins de paie doivent être conservés pendant 5 ans, et en cas de bulletin dématérialisé, laisser accessibles à un ancien employé durant 50 ans.
Pour d’autres types de données, une analyse approfondie des finalités est nécessaire afin de définir une durée de conservation appropriée.
Durées de conservation des données personnelles au regard de l’analyse des finalités
L’analyse des finalités aide à déterminer les durées adaptées pour chaque traitement. La CNIL précise :
Lors de cette analyse, il est essentiel de prendre en compte :
L’objectif initial et le temps nécessaire pour l’atteindre.
Les contraintes opérationnelles liées au traitement des données.
Les risques de contentieux ou d’autres obligations légales.
Ces éléments permettent de structurer efficacement le cycle de vie des données.
Gestion du cycle de vie des données
Une fois les durées définies, organiser le cycle de vie des données garantit leur gestion conforme. Ce cycle se divise en trois étapes principales :
Base active
Définir la période d’utilisation courante.
Mettre en place des alertes pour signaler la fin de cette période.
Documenter les critères qui justifient la durée choisie.
Archivage intermédiaire
: Cette phase permet de conserver les données pour répondre à des obligations légales, à des audits ou à des contentieux potentiels.
Archivage définitif ou Suppression des données :
Après l’archivage intermédiaire, les données doivent être soit supprimées définitivement, soit archivées de manière permanente si elles présentent un intérêt historique, conformément au Code du patrimoine.
La CNIL, en partenariat avec le Service interministériel des Archives de France (SIAF), propose des recommandations pour concilier les exigences du RGPD et celles du Code du patrimoine.
Attention, indépendamment des obligations de conservation des données personnelles liées du Code du Patrimoine, l’archivage définitif n’est que rarement possible pour un responsable de traitement lambda.
Outils de gestion des durées de conservation
Une fois les durées de conservation définies, il est essentiel d’utiliser des outils adaptés pour gérer efficacement le cycle de vie des données. En effet, qu’il s’agisse de la mise à jour des durées de conservation des données personnelles dans le cadre du RGPD et des autres lois, ou bien qu’il s’agisse de s’assurer du respect des règles de conservation par les destinataires, des procédures ,et parfois des outils, peuvent être nécessaires.
Veille règlementaire sur les durées de conservation des données personnelles
La CNIL propose des référentiels qui aident les professionnels à déterminer des durées de conservation appropriées, quel que soit le secteur ou la taille de l’organisation. Ces documents présentent, sous forme de tableaux, les différentes catégories de durées applicables aux traitements courants des données personnelles :
Catégorie de durée
Description
Flexibilité
Obligatoire
Fixée par la loi
Aucune dérogation possible
Recommandée
Issue des préconisations de la CNIL
Peut être ajustée avec justification
Indicative
Basée sur les bonnes pratiques
Ajustable en fonction du contexte
D’autres organisations, fédérations et réseaux, ont élaboré des guides sectoriels permettant de faciliter certaines analyses des durées de conservation dans le cadre du RGPD.
Il est indispensable de mettre en place une veille règlementaire afin de suivre les évolutions et mettre à jour, si nécessaire, le registre des traitements.
Automatisation de la conservation des données personnelles
Comme le propose de plus en plus les solutions numériques, l’automatisation peut simplifier la gestion des données en mettant en place des fonctionnalités comme :
Alertes automatiques pour signaler les échéances proches.
Transferts automatiques vers des archives intermédiaires.
Suppression programmée des données arrivées à expiration.
Ces processus doivent être intégrés dans le registre des traitements. Des outils de suivi permettent également de surveiller chaque étape du cycle de vie des données.
Systèmes de suivi des données personnelles
Un bon système de suivi doit permettre de :
Cartographier toutes les données personnelles traitées.
Suivre l’évolution des données, de leur collecte à leur archivage ou suppression.
Documenter les actions de suppression ou d’anonymisation.
Chaque organisation doit adapter ces outils à ses besoins tout en assurant une documentation rigoureuse des décisions prises. Les guides et référentiels existants peuvent servir de point de départ, mais il est important de ne pas se reposer sur ceux-ci.
Cartographier les données, c’est à dire les recenser, consiste à schematiser le registre des traitements des données personnelles. La cartographie des données vise à rendre l’information facilement accessible aux pilotes de l’oganisation.
Une organisation de petite taille, telle une PME ou TPE, opte en général pour un suivi humain du cycle de vie. Automatiser ce suivi des données peut avoir un coût non négligeable. Par ailleurs, même en cas de processus automatisé, par exemple pour effacer les données, l’action humaine est encore indispensable pour s’assurer de l’efficacité des processus automoatisés.
Maintien de la conformité RGPD
Révisions régulières des durées de conservation
Pour respecter le RGPD, il est indispensable de revoir régulièrement les durées de conservation des données. Cela fait partie d’une approche globale de gestion du cycle de vie des données. Voici les étapes clés :
Évaluer les politiques de conservation tous les ans
Mettre à jour les durées de conservation dans le documents
Faire valider les recommandtions par le DPO ou le responsable juridique
Chaque révision doit être consignée dans un registre, avec des responsabilités clairement définies :
Élément à documenter
Fréquence
Responsable
Analyse légale
Tous les 6 mois
Service juridique
Révision des durées
Trimestrielle
DPO
Audit des processus
Annuellement
Contrôle interne
Tests des outils
Mensuelle
Service IT
Documentation de la conformité RGPD
La documentation joue un rôle central dans le suivi des révisions et des pratiques de conservation. Assurez-vous de maintenir :
Un registre des traitements avec les durées de conservation à jour et validée.
Une description claire des procédures d’archivage et de suppression.
Des preuves de mise en œuvre, comme des certificats de destruction ou des rapports.
Formation du personnel
Former les équipes est essentiel pour garantir que les politiques de conservation soient bien appliquées. Le programme de formation devrait inclure :
Une introduction aux principes de conservation et leur application concrète
Des sessions régulières d’actualisation, avec des exercices pratiques
Des évaluations périodiques pour vérifier les acquis
Conservez les attestations de participation et les résultats des évaluations pour démontrer la conformité en cas de contrôle.
Exemples de durées de conservation des données
Pour gérer efficacement le cycle de vie des données, il est essentiel de définir des durées de conservation adaptées. Voici un tableau présentant des exemples concrets basés sur les recommandations de la CNIL, en complément des exigences légales et opérationnelles mentionnées précédemment.
Tableau de référence des durées de conservation
Type de données
Durée de conservation
Justification
Dossiers médicaux
20 ans
Article R. 1112-7 du Code de la Santé Publique
CV de candidat
2 ans
Recommandation CNIL
Bulletins de paie
5 ans à 50 ans
Article L3243-4 du Code du Travail
Loi n° 2016-1088 du 8 août 2016
Images de vidéosurveillance
1 mois
Article L.252-3 du CSI
Ces durées sont établies après une analyse approfondie des obligations légales et des besoins spécifiques. La CNIL rappelle :
Conseils pratiques pour la mise en œuvre des durées de conservation des données personnelles.
Système d’archivage structuré : Organisez vos données en trois niveaux : base active, archive intermédiaire et archive définitive.
Procédures claires : Établissez des règles précises pour le transfert des données entre ces niveaux.
Documentation : Justifiez chaque durée de conservation choisie et conservez une trace de ces décisions.
Disposer d’une personne en charge de la protection des données permet à l’orgaisation d’encadrer les durées de conservation des données personnelles. Pour les plus petites organisations, les consultants RGPD permettent de bénéficier d’une expertise tout au long du cycle de vie des données personnelles.
Résumé
Faisant partie des “5 erreurs courantes à évter “, ne pas avoir défini de durées de conservation des données personnelles est un frein à la conformité RGPD en 2025. Gérer le cycle de vie des données personnelles nécessite de suivre des principes essentiels pour respecter le RGPD tout en améliorant les processus internes.
Voici les points clés à considérer :
Organisez le cycle de vie des données : incluez les trois étapes principales (active, intermédiaire, finale).
Limitez les accès aux données archivées : définissez des droits spécifiques pour renforcer la sécurité.
Mettez en place des processus clairs : incluez la purge et la suppression des données.
Ces actions complètent les méthodes déjà abordées dans les sections précédentes.
Pour maintenir une conformité efficace :
Documentez vos décisions et vos pratiques.
Révisez régulièrement vos politiques internes.
Sensibilisez vos équipes aux bonnes pratiques liées à la gestion des données.
Vous l’aurez compris, il n’existe pas de référentiel incluant toutes les durées de conservation des données personnelles. Gérer le cycle de vie des données est une obligation de toute orgaisation, il appartient donc aux dirigeants de définir des durées de conservation cohérentes a regard des objectifs. Il est tout à fait possible de conserver des données plus longtemps que les autres, l’essentiel étant de pouvoir argumenter votre interet légitime et documenter les décision prises.
L’équilibre entre les exigences légales, les besoins opérationnels et la protection des droits des individus est essentiel. Piloter le cycle de vie des données personnelles détenues par votre organisation, c’est l’occasion de moderniser les pratiques, supprimer l’information obsolète et gagner en agilité. En effectuant des ajustements réguliers, vous garantissez que vos pratiques restent pertinentes et conformes au RGPD.
Recent Post
Thèmes
Categories