RGPD : Quelle durée de conservation des données ?
Le RGPD ainsi que la loi Informatique et Libertés imposent une durée de conservation des données personnelles. Pour mieux comprendre ce sujet complexe et indispensable pour déterminer ladite durée, CODPO fait le point.
Des durées de conservation des données fixées par la loi
Il faut savoir qu’en matière de RGPD et de durée de conservation des données, la loi instaure certaines obligations. Ainsi, selon les cas, ces durées ne devront pas dépasser :
- 1 mois : durée de conservation d’images provenant de vidéosurveillance
- 13 mois : il est indispensable, pour le traitement des cookies d’un site internet, de demander tous les 13 mois, l’accord des visiteurs
- 3 ans : le droit à l’oubli consiste à retirer les données personnelles des personnes inactives
Durées de conservation des données personnelles internes
Il faut aussi savoir qu’en matière de RGPD, la durée de conservation des données ne s’applique pas seulement aux clients et prospects, mais également aux collaborateurs internes à l’entreprise. Voici quelques caractéristiques à connaître :
- 2 ans : durée de conservation des données personnelles des candidats qui n’ont pas été retenus par l’entreprise. Cette durée court à compter du dernier contact entre les parties.
- 5 ans : durée de préservation des données des salariés après une fin de contrat
- 10 ans : durée de conservation des documents comptables
Durée de conservation selon les objectifs fixés
Il est important de bien déterminer la durée de conservation des données en fonction de l’objectif qui est fixé lors de la collecte de ces données personnelles. C’est au responsable de traitement de fixer ces durées, de veiller à leur contrôle et à leur suppression ou autres. Un registre de traitement des données personnelles doit obligatoirement être tenu.
Données personnelles : quel cycle de vie ?
Il faut savoir que les données personnelles suivent différentes phases durant leur traitement. En effet, la durée de conservation des données suit donc le cycle de vie de ces dernières. Il est alors possible de le découper de 3 étapes :
- étape n°1 : conservation en base active. Les données collectées pour atteindre un objectif fixé sont classées durant la durée de réalisation de cet objectif.
- étape n°2 : archivage intermédiaire. Les données présentent encore un intérêt sur le plan administratif mais ne sont plus utilisées pour l’atteinte des objectifs.
- étape n°3 : archivage définitif. Les données qui n’ont plus aucune utilité mais qui représentent tout de même un intérêt public ne peuvent être supprimées. Dans ce cas, elles subissent alors un archivage définitif qui est légalement encadré.
Il se peut que les étapes 2 et 3 ne soient pas réalisées. Cela est propre à chaque traitement.
Quel devenir pour les données périmées ?
Une fois la durée de conservation des données dépassée, les données personnelles peuvent être, selon les cas de figure, supprimées, anonymisées ou encore archivées.
