Le principe de limitation du stockage du RGPD est l'un des aspects les plus difficiles sur le plan opérationnel en matière de conformité à la protection des données. Contrairement à certaines exigences du RGPD qui peuvent être satisfaites par le biais d'une politique, la conservation des données nécessite une gestion active et continue de vos actifs de données.
Le principe est simple : les données personnelles ne doivent pas être conservées plus longtemps que nécessaire aux finalités pour lesquelles elles ont été collectées. La mise en œuvre est tout sauf simple.
Comprendre le principe de limitation du stockage
L’article 5, paragraphe 1, point e), du RGPD exige que les données à caractère personnel soient conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles les données sont traitées.
Cela signifie que vos périodes de conservation doivent être liées à des objectifs spécifiques et documentés, et pas seulement à l'assurance générale que « nous pourrions en avoir besoin un jour ». Les données détenues sans objectif clair ni période de conservation définie constituent une responsabilité en matière de conformité.
Le lien crucial avec le but
Chaque période de conservation doit remonter à la finalité pour laquelle les données ont été collectées. Lorsque cet objectif est atteint – le contrat est terminé, l’emploi a pris fin, l’obligation légale est satisfaite – la position par défaut est que les données doivent être supprimées ou anonymisées.
Des exceptions existent : les obligations légales, l’archivage dans l’intérêt public et les intérêts légitimes peuvent justifier une conservation prolongée. Mais ces exceptions doivent être documentées et non supposées.
Périodes de conservation par catégorie de données
Différentes catégories de données ont différents facteurs de rétention. Les obligations légales fixent des seuils minimaux de rétention qui ne peuvent être raccourcis ; Le RGPD fixe le plafond au-dessus duquel vous ne pouvez pas dépasser sans justification précise.
- Dossiers des employés : généralement 6 à 7 ans après la fin de l'emploi pour respecter les obligations légales en matière de droit du travail et fiscales.
- Contrats clients : généralement 6 à 10 ans pour couvrir les réclamations contractuelles potentielles dans le cadre des délais de prescription.
- Données marketing : jusqu'à ce que le consentement soit retiré ou que l'objectif soit atteint – souvent beaucoup plus court que ce que les organisations pensent.
- Dossiers financiers : 6 à 7 ans dans la plupart des juridictions de l'UE pour répondre aux exigences fiscales et comptables.
- Images de vidéosurveillance : généralement 30 jours, sauf si cela est nécessaire pour une enquête en cours.
Création d'un calendrier de conservation des données
Un calendrier de conservation des données conforme au RGPD documente chaque catégorie de données personnelles traitées par votre organisation, la base juridique de leur traitement, la finalité pour laquelle elles sont conservées et la période de conservation avec sa justification juridique ou commerciale.
Ce calendrier doit être un document évolutif, mis à jour lorsque les activités de traitement des données changent, lorsque les lois changent et lorsque les besoins de l'entreprise évoluent.
- Cartographiez toutes les catégories de données personnelles et leurs finalités de traitement.
- Identifiez la base juridique et la justification de la rétention pour chaque catégorie.
- Définissez des périodes de conservation spécifiques et documentées liées à la justification.
- Établissez des processus automatisés de suppression ou de révision à la fin de chaque période de conservation.
- Documentez le calendrier dans le cadre de votre ROPA (Record of Processing Activities).
Erreurs de conformité courantes
L’échec de conservation le plus courant du RGPD ne vient pas du fait que les organisations fixent de mauvaises périodes de conservation, mais plutôt du fait qu’elles ne fixent aucune période de conservation et accumulent simplement les données indéfiniment.
Une autre erreur fréquente consiste à fixer des périodes de conservation sans mettre en œuvre les processus techniques permettant de supprimer réellement les données à l'expiration de la période. Une politique qui n’existe que sur papier n’offre aucune protection RGPD.