Conservation de donnée RPDG : pour quelle durée ?

La durée de conservation des données personnelles est une question qui revient souvent, notamment lorsque vous faites des achats en ligne. En effet, les sites marchands ont besoin de garder certaines informations pour pouvoir traiter les commandes et éviter les fraudes. Mais quelle est la durée de conservation des données personnelles ?

Quelles sont les conséquences d’un non-respect des durées de conservation des données personnelles ?

Les données personnelles doivent être conservées pour une durée limitée. Il existe en effet des durées de conservation spécifiques pour chaque type de donnée. Pour les données à caractère personnel relatives aux prospects et aux clients, la durée maximale de conservation est fixée à 3 ans ou 5 ans selon que le prospect ou le client a conclu un contrat avec l’entreprise. Ainsi, dès qu’un contrat est conclu avec un client, les informations qui sont nécessaires au suivi commercial du client font l’objet d’une suppression automatique par l’entreprise.

Pour les données à caractère personnel relatives aux salariés et aux collaborateurs extérieurs (fournisseurs), la durée maximale de conservation varie entre 1 an et 10 ans selon que le collaborateur est encore présent dans l’entreprise ou non. En cas de départ du collaborateur, sachez que les informations qui le concernent peuvent être conservées pendant une période ne pouvant excéder 3 ans afin d’assurer la continuité des opérations. Lorsqu’elles ne sont plus nécessaires, cette information peut être supprimée sans délai si elle n’est pas requise par une obligation réglementaire ou contractuelle pesant sur l’employeur.

Les données personnelles ne doivent pas être conservés au-delà des durées autorisés par la loi, sauf exception prévue par celle-ci (obligation fiscale). Dans ce cas présent, vous devrez supprimer cette information avant la fin de votre exercice social afin qu’elle puisse faire l’objet d’un traitement fiscalement efficient.

La durée légale de conservation des données personnelles dépend de la nature du traitement. Si le responsable du traitement est une personne physique, les données sont conservées pendant un délai d’un à trois ans après la cessation des relations commerciales, sauf si vous avez consenti au-delà de ce délai. Si le responsable du traitement est une personne morale, les données sont conservées pendant un délai d’un an à compter de la fin de la relation commerciale ou du dernier contact avec la personne concernée.

Quelle est la durée de conservation des données personnelles selon le rgpd ?

Le règlement européen relatif à la protection des données (RGPD) est désormais applicable depuis le 25 mai 2018. Cette réforme vise à renforcer les droits des personnes concernées par le traitement de leurs données personnelles. Elle impose également aux entreprises un devoir de transparence accrue en matière de collecte, de stockage et d’utilisation des données à caractère personnel. Dans l’ensemble, ce texte vise à responsabiliser les acteurs du numérique et améliorer la confiance des utilisateurs envers ces professionnels. Il s’agit aussi de se conformer aux recommandations formulées par la Commission nationale informatique et libertés (CNIL).

Les sanctions encourues en cas de non-respect des dispositions du RGPD sont très lourdes : jusqu’à 4% du chiffre d’affaires annuel ou 20 millions d’euros pour une entreprise, voire 10% du chiffre d’affaires annuel ou 2 millions d’euros pour une association.

La conservation des données à caractère personnel sur une durée plus longue est soumise aux dispositions de l’article 6, paragraphe 1, point f du RGPD. Cette disposition ne s’applique que dans la mesure où les données personnelles nécessitent une conservation dans le cadre de l’exercice du droit à la liberté d’expression et d’information, de l’exercice du droit à la liberté de réunion et à la liberté d’association ainsi qu’à l’exercice du droit à un recours effectif devant un tribunal.

Dès lors que cela est justifié par un intérêt public important en matière de santé et/ou de sûreté publiques ou pour garantir le respect des obligations internationales et constitutionnelles incombant à la Suisse, les données peuvent être conservés pendant une période plus longue.

Existe-t-il des exceptions à la durée de conservation des données personnelles ?

La durée de conservation des données personnelles est souvent un sujet de préoccupation pour les entreprises. Il faut savoir qu’il existe différents types de données qui peuvent être conservés, comme par exemple : les données bancaires (fichier client), les données relatives à la santé (fichier médical) ou encore les données relatives aux habitudes et comportements des consommateurs.

Les règles en matière de conservation des données personnelles dépendent principalement du type de relation que l’entreprise entretient avec le client. En effet, selon la nature du contrat conclu avec son client, l’entreprise doit respecter certaines obligations en matière de durée de conservation des données personnelles. A titre d’exemples, sont réputés « clients » :

• toute personne physique ou morale qui souscrit un contrat avec une entreprise
• tout professionnel ou particulier vis-à-vis d’un professionnel
• toute personne physique agissant dans le cadre de son activité professionnelle
• toute entreprise vis-à-vis des autres entreprises

Selon la nature du contrat conclu avec son client, l’entreprise doit respecter certaines obligations en matière de durée de conservation des données personnelles. Par exemple : si vous êtes un particulier et que vous commandez sur internet : L’article 6 I 2° du RGPD prévoit que « la collecte ne peut avoir lieu qu’avec le consentement exprès et préalable du mineur ». Dans ce cas, votre responsabilité peut être engagée si vous n’avez pas obtenu une autorisation parentale.

Quels sont les moyens de s’assurer que les données personnelles sont bien conservées pendant la durée requise ?

Il est essentiel de savoir que la conservation des données personnelles doit être opérée conformément aux exigences légales et réglementaires. Il existe plusieurs obligations à respecter pour garantir une durée de conservation suffisante des données personnelles. Par exemple, les données sont conservées pendant la durée du contrat, mais aussi toute la durée nécessaire à l’exercice du droit d’accès et de rectification.

Les traitements relatifs au marketing direct ne peuvent pas excéder 3 mois après le dernier contact émanant du prospect ou du client. Par ailleurs, il faut rappeler qu’il existe un principe fondamental qui veut que les données soient toujours exactes et complètes. En outre, cette disposition vise à permettre aux clients de faire valoir leurs droits en cas d’utilisation abusive ou illicite de leurs données personnelles.

La durée de conservation des données personnelles est de 20 ans à compter de la fin du contrat, ou 10 ans à compter de leur collecte par le responsable de traitement ou du dernier contact avec cette personne.