Logo Dipeeo - Votre DPO externe

Durées de conservation des données personnelles

RGPD : La gestion des durées de conservation des données personnelles

Découvrez les clés pour une conformité RGPD parfaite. Comprenez les nuances de la gestion des durées de conservation des données personnelles, entre suppression, archivage, et limites légales.

Le Règlement Général sur la Protection des Données (RGPD) établit des principes fondamentaux régissant le traitement des données personnelles, parmi lesquels les délais de conservation suscitent fréquemment des interrogations.

1 - Durées de Conservation : un cadre légal et réglementaire

💼 Les durées de conservation des données peuvent être définies par des exigences légales ou réglementaires, telles que la conservation des factures pendant 10 ans (Article L123-22 du Code du commerce) ou du registre unique du personnel pendant 5 ans après le départ du collaborateur (Article R1221-26 du Code du travail).

La CNIL intervient également en fixant des durées spécifiques, par exemple, les cookies statistiques peuvent être conservés pendant 13 mois selon la Délibération n°2020-092 du 17 septembre 2020 de la CNIL. De même, les données des prospects collectées directement peuvent être conservées pendant 3 ans à compter du dernier contact avec le prospect, conformément à la Norme simplifiée n°48 de la CNIL.

2 - Variations selon la qualification : Responsable de traitement ou sous-traitant

📋 Les durées de conservation varient en fonction de la qualification de l’entité, qu’il s’agisse d’un responsable de traitement ou d’un sous-traitant. Un responsable de traitement respecte les délais de conservation des données qu’il traite pour son propre compte. En revanche, un sous-traitant, conformément à l’article 28 du RGPD, est tenu de supprimer toutes les données de son client à la fin de la relation contractuelle. Cette obligation, bien que claire en apparence, nécessite une analyse approfondie à la lumière d’autres obligations contraignantes pesant sur l’entreprise.

3 - Limites des obligations de suppression des données

📌 Toute demande de suppression des données est soumise à des limites déterminées par les droits et obligations de l’entreprise, notamment les délais de prescription, les obligations légales ou réglementaires, ainsi que les motifs d’intérêt public.

La suppression des données en vertu de l’article 17 du RGPD doit être exercée avec précaution, en tenant compte de ces diverses contraintes. Pour illustrer cela concrètement, prenons quelques exemples concrets : 

  • Un prospect demande la suppression de ses données : en raison des obligations légales, il peut être nécessaire de conserver une trace de son refus, ne serait-ce que pour éviter de lui adresser des sollicitations non désirées.

     

  • Un client demande la suppression de ses données : De même, dans le cas d’un client, la demande de suppression totale des données peut être entravée par des obligations légales liées à la conservation des factures. Il est impératif de respecter ces contraintes tout en assurant la conformité avec le RGPD.

La gestion des demandes de suppression doit être adaptée aux spécificités de chaque situation, en tenant compte des multiples facettes légales et réglementaires qui encadrent ces processus.

4 - Distinction entre suppression et archivage

🔥 Souvent, dans les contrats et textes de lois, on parle simplement de supprimer les données. Cela souligne l’importance de rappeler la définition d’un sous-traitant, qui peut être une personne physique ou morale traitant des données à caractère personnel pour le compte du responsable du traitement.

En réalité, la démarche de suppression n’est immédiate que dans certains cas. De nombreuses données doivent suivre des phases d’archivage avant d’être définitivement supprimées. Comprendre ces nuances est essentiel pour assurer une conformité totale avec les exigences du RGPD en matière de gestion des durées de conservation des données personnelles.

En résumé, la gestion adéquate de ces durées de conservation constitue un défi complexe, nécessitant une compréhension approfondie des obligations légales, réglementaires et contractuelles. Idéalement, pour une évaluation au cas par cas, il est recommandé de se référer à son DPO (Délégué à la Protection des Données), qui pourra apporter une expertise spécifique adaptée à chaque situation.

Nous traitons le sujet RGPD pour vous !

Audit conformité,
en 48h

Un questionnaire de 40 min pour alimenter votre DPO dédié.

Une mise en œuvre rapide, pour une conformité totale.

DPO externe dédié,
nommé à la CNIL

Un interlocuteur officiel pour votre entreprise, référent pour la CNIL.

Dipeeo prend la responsabilité de votre conformité RGPD.

Coût fixe,
100% maîtrisé

Dipeeo réalise tous les livrables nécessaires à votre conformité.

Forfait mensuel tout inclus. Aucun devis complémentaire.

Play Video about Témoignages clients Dipeeo : votre DPO externalisé

Conformité CNIL totale garantie, dans la durée...

Une offre DPO externe dédié “tout inclus” qui s’adapte à vos évolutions futures sans aucun frais complémentaire.

Découvrir Dipeeo ?
Demander une démo !

Jade MASSOT

Ou appelez nous directement au

+33 01 59 06 81 85

Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.