{"id":11272,"date":"2018-09-25T12:45:53","date_gmt":"2018-09-25T11:45:53","guid":{"rendered":"https:\/\/www.riskinsight-wavestone.com\/?p=11272\/"},"modified":"2020-01-02T13:36:25","modified_gmt":"2020-01-02T12:36:25","slug":"3-idees-recues-sur-les-obligations-du-rgpd-33","status":"publish","type":"post","link":"https:\/\/www.riskinsight-wavestone.com\/en\/2018\/09\/3-idees-recues-sur-les-obligations-du-rgpd-33\/","title":{"rendered":"3 id\u00e9e re\u00e7ues sur les obligations du RGPD (3\/3)"},"content":{"rendered":"

Suite \u00e0 l\u2019adoption du RGPD en 2016, la plupart des entreprises se sont dot\u00e9es d\u2019une d\u00e9marche structur\u00e9e et, maintenant que l\u2019\u00e9ch\u00e9ance de mai 2018 est pass\u00e9e, ont pour la plupart entam\u00e9 leur plan de mise en conformit\u00e9. Mais nous observons encore certaines interpr\u00e9tations du texte qui peuvent s\u2019av\u00e9rer inexactes. Nous avons donc lanc\u00e9 une s\u00e9rie de 3 articles visant \u00e0 d\u00e9construire ces id\u00e9es re\u00e7ues. Apr\u00e8s un premier article sur l\u2019obligation de consentement <\/a>et un second sur les techniques de protection telles qu\u2019anonymisation, pseudonymisation et chiffrement<\/a>, voici le troisi\u00e8me et dernier de la s\u00e9rie, traitant des dur\u00e9es de conservation.<\/em><\/p>\n

 <\/p>\n

Id\u00e9e re\u00e7ue #3 \u2013 Il y a une dur\u00e9e maximale de conservation des donn\u00e9es<\/h2>\n

Cette dur\u00e9e n\u2019est pas fix\u00e9e de mani\u00e8re absolue par le RGPD en mois ou en ann\u00e9es. La r\u00e8gle est toujours la m\u00eame\u00a0: les donn\u00e9es ne peuvent \u00eatre conserv\u00e9es que si elles sont utilis\u00e9es pour un traitement qui est couvert par une justification (contrat, consentement, obligation l\u00e9gale\u2026).[1]<\/a>,[2]<\/a><\/sup> Si la justification tombe (par exemple par retrait du consentement ou fin d\u2019un contrat) pour un traitement donn\u00e9, la donn\u00e9e ne peut plus \u00eatre utilis\u00e9e pour ce traitement. Si aucun autre traitement n\u2019utilise ces donn\u00e9es, celles-ci doivent \u00eatre effac\u00e9es imm\u00e9diatement<\/strong>, ou pour le dire comme le r\u00e8glement, \u00ab\u00a0dans les meilleurs d\u00e9lais\u00a0\u00bb[3]<\/a>.<\/p>\n

Les donn\u00e9es peuvent \u00eatre conserv\u00e9es tant qu\u2019elles servent \u00e0 au moins un traitement<\/strong> couvert par une justification<\/strong>\u00a0!<\/p>\n

Il existe de nombreux cas o\u00f9 la fin d\u2019une justification, comme l\u2019arr\u00eat d\u2019un contrat, ne va pas impliquer la suppression des donn\u00e9es, car une autre justification est pr\u00e9sente. Par exemple, si mon contrat t\u00e9l\u00e9phonique prend fin, l\u2019op\u00e9rateur peut \u00eatre amen\u00e9 \u00e0 conserver les donn\u00e9es dans le cadre de mon contrat internet que j\u2019ai conclu avec lui. Il est des cas \u00e9galement o\u00f9 la soci\u00e9t\u00e9 a un int\u00e9r\u00eat, voire l\u2019obligation, de conserver certaines donn\u00e9es, par exemple pour archivage\u00a0: c\u2019est le cas par exemple des CV de candidats non retenus, des bulletins de paie ou encore des relev\u00e9s d\u2019information des assureurs.<\/p>\n

 <\/p>\n

Il existe n\u00e9anmoins dans certains cas, et pour certaines cat\u00e9gories de donn\u00e9es, une dur\u00e9e de conservation maximale autoris\u00e9e ou minimale requise<\/h3>\n

Ces dur\u00e9es ne sont pas indiqu\u00e9es dans le RGPD. Il peut exister des dur\u00e9es sp\u00e9cifiques \u00e0 certaines cat\u00e9gories de donn\u00e9es, propres \u00e0 la nature de la donn\u00e9e en question, et d\u00e9coulant d\u2019autres textes de loi<\/strong>, comme le Code de la S\u00e9curit\u00e9 Sociale (ex.\u00a0: prescription des paiements de l\u2019assurance maladie, d\u00e9comptes), le Code du Travail (ex.\u00a0: conservation des bulletins de paie), le Code Civil (ex.\u00a0: prescription d\u2019un contrat de travail), ou encore des textes relatifs \u00e0 des secteurs sp\u00e9cifiques, comme le Code des Assurances (ex.\u00a0: prescription d\u2019un contrat d\u2019assurance vie). Il s\u2019agit souvent de dur\u00e9es minimales, au bout desquelles une prescription autorise l\u2019effacement des donn\u00e9es.<\/p>\n

De plus, la CNIL a d\u00e9fini, dans le contexte l\u00e9gislatif pr\u00e9c\u00e9dent le RGPD, des Normes Simplifi\u00e9es, sp\u00e9cifiant souvent des dur\u00e9es de conservation maximale, par exemple dans le domaine de la relation commerciale[4]<\/a>, ou encore dans le recrutement[5]<\/a>. Ces documents n\u2019ont plus de valeur juridique[6]<\/a> depuis l\u2019entr\u00e9e en vigueur du RGPD, mais en attendant la production de nouveaux r\u00e9f\u00e9rentiels bas\u00e9s sur le RGPD, ils peuvent continuer \u00e0 servir de guide, afin de d\u00e9finir une dur\u00e9e de conservation qui satisfasse aux besoins de l\u2019entreprise tout en n\u2019\u00e9tant pas abusive vis-\u00e0-vis des personnes concern\u00e9es.<\/p>\n

Il existe donc deux raisons<\/strong> qui peuvent n\u00e9cessiter l\u2019effacement d\u2019une donn\u00e9e\u00a0:<\/p>\n