Quelle durée de conservation des données personnelles ?

Publié le :

Dernière modification le :

Vous êtes ici : wp-rgpd.fr > blog > Quelle durée de conservation des données personnelles ?

Vous ne trouvez pas la réponse à votre question dans cet article ?

Contactez-moi

« La durée pertinente de conservation des données personnelles est la durée nécessaire à la satisfaction de l’objectif ayant justifié leur collecte. »

Un des grands principes du RGPD, c’est que les données personnelles ne peuvent pas être gardées indéfiniment. La limitation de la conservation des données personnelles est un principe introduit en 1978 par la loi Informatique et Libertés et qui participe du droit à l’oubli

Le RGPD n’impose pas de durée précise

La CNIL édite néanmoins des outils pour aider à la décision des durées de conservation.

C’est le propriétaire du site qui décide de la durée

Le responsable de traitement va déterminer une durée de conservation pertinente des données personnelles, pour chaque traitement mis en place. C’est donc vous qui en décidez si c’est votre site Web, ou votre client si vous êtes prestataire.

La finalité du traitement va permettre de définir la durée de conservation des données. 

Connaître le cycle de vie des données personnelles

Le cycle de vie des données personnelles peut comprendre jusqu’à 3 phases.

La conservation des données en base active

Pour un usage courant des données

Les données personnelles sont dites en « base active », lorsqu’elles sont disponibles pour remplir la finalité pour laquelle elles ont été collectées.

Vous avez lancé une campagnes de publicité en ligne pour un nouveau véhicule que vous commercialisez dans votre concession automobile ?

À ce titre, vous avez collecté des leads via un formulaire dédié. Les données seront saisies dans votre CRM. Tant que les données personnelles sont disponibles pour que votre service commercial rappelle les prospects, conformément à la finalité annoncée, elles sont dites en base active.

La conservation des données en base intermédiaire

C’est une phase qui n’est pas obligatoire

Après expiration de la durée de conservation définie pour le traitement, les données ne peuvent plus être utilisées. Il existe toutefois des raisons qui peuvent nécessiter qu’elles ne soient pas totalement supprimées. Elles sont alors en base intermédiaire où elles sont uniquement consultables.

Pour raison administrative

Concernant les traitements effectués sur un site Web, vous pourrez avoir recours à un archivage intermédiaire dans la perspective d’un éventuel contentieux (pour une utilisation à des fins de vérification).

Vous avez collecté des candidatures pour un poste à pourvoir dans votre entreprise ?

Une fois le recrutement clos, vous demandez aux candidats s’ils acceptent que vous gardiez leur CV (consentement), ou vous leur proposez de s’y opposer (sur la base de l’intérêt légitime), dans le cas où une nouvelle opportunité se présenterait. Ce délai est habituellement de 2 ans, pendant lesquels le CV est maintenu en « base active » (ce qui veut dire que vous pouvez contacter la personne pendant ce délai pour lui proposer un poste).

Si vous n’avez pas l’intention de recontacter ce candidat, ou si celui-ci a fait valoir son droit d’opposition, alors vous conserverez ses données en base intermédiaire, à des fins probatoires, pendant 5 ans soit jusqu’à expiration du délai de prescription. C’est-à-dire dans l’hypothèse où, par exemple, un candidat entamerait des poursuites contre vous, estimant qu’il a subi une discrimination à l’embauche.

Quand les données ne sont plus nécessaires

Les données qui ne sont plus nécessaires doivent être supprimées. Le RGPD prévoit plusieurs solutions. La dernière va en général concerner un site Web.

Il concerne les services publics, plus précisément les données de l’état civil ou celles qui présentent un intérêt historique, scientifique ou statistique.

Au contraire de la pseudonymisation, l’anonymisation des données est un procédé à sens unique qui rend impossible l’identification d’un individu.

Vous procèderez en général à l’effacement des données après leur conservation en base active (usage courant) ou intermédiaire (à des fins probatoires).

Vous devrez veiller à bien répercuter la suppression des données dans tous les supports de stockage (site Web, serveur de messagerie, CRM, fichier client électronique et papier…).

Fixer une durée adéquate de conservation des données

La durée de conservation des données que vous indiquerez sur votre site Web s’entend pour le traitement mis en place au sein de l’entreprise, et pas uniquement pour leur conservation sur le site Web.

Vous indiquerez la durée en base active, et vous pourrez préciser l’existence d’un archivage intermédiaire (CV, exercice des droits…).

Lorsque la durée de conservation n’est pas fixée par un texte de loi, vous devez définir la durée de conservation la plus pertinente. La CNIL a édité des recommandations. Voici quelques exemples de durées courantes de conservation des données collectées sur un site Web :

3 ans pour un prospect

2 ans pour un CV

13 mois pour les informations bancaires

25 mois maximum pour les données collectées par les cookies

  • 3 ans pour un prospect, à compter de votre collecte ou du dernier contact avec le prospect, à condition que ce contact ait eu lieu à l’initiative de celui-ci.
  • Pour les candidats non retenus à l’issue d’un recrutement : leurs CV sont conservés pendant 2 ans en base active (sur consentement ou intérêt légitime) et 5 ans en archivage intermédiaire (pour assurer votre défense en cas de contentieux).
  • Le Code monétaire et financier prévoit une conservation des données bancaires pendant 13 mois en archivage intermédiaire, à compter de la transaction, dans la perspective d’une éventuelle contestation de celle-ci. Puis les données bancaires seront supprimées.
  • Les informations collectées par les cookies peuvent être conservées pendant 25 mois au maximum. Vous devez configurer votre extension de recueil de consentement aux cookies en conséquence.

L’expression de la durée

Sachez que, si la situation s’y prête, vous pouvez aussi exprimer la durée sans fixer un nombre de mois ou d’années, en indiquant par exemple « le temps de la relation commerciale » dans le cas d’un contrat d’abonnement.

La conservation des données sur votre site Web

Une durée raccourcie

Il convient de raccourcir la durée de conservation des données sur votre site Web. En effet, si un traitement de données a une durée de conservation de plusieurs années, il est bien sûr inutile de garder tout cet historique sur votre site Web !

Cette précaution évitera d’alourdir votre base de données ou les fichiers de votre site, et réduira le nombre de personnes à prévenir en cas de violation de données qui présenterait un risque élevé pour les personnes concernées et nécessiterait de les informer.

La mise en place d’un mécanisme de purge

Il est recommandé d’activer sur votre extension de formulaires un système de purge automatique, après une durée à définir. Vous pourrez indiquer celle-ci dans votre politique de confidentialité.

Dans le cas d’un recueil de leads sur votre site Web à destination du service commercial.

Une bonne pratique est de purger automatiquement les entrées de votre extension de formulaires de contact après 60 ou 90 jours (par exemple).

L’archivage intermédiaire

Les données archivées doivent être isolées de la base active (via un stockage distinct ou une bonne gestion des habilitations).

L’effacement des données

Comme expliqué plus haut, la suppression des données doit être répercutée dans tous vos supports de stockage. Pour le site Web, il s’agit bien sûr de la base de données, le webmail, mais cela peut aussi concerner des sauvegardes d’entrées dans un dossier de votre extension WordPress, voire sur le serveur de cette extension.

En cas de restauration du site Web

Veillez à répercuter l’effacement des données en cas de restauration du site sur une version antérieure à cette action.

Une personne souhaite tendre à l’exercice de ses droits et demande l’effacement de ses données personnelles ?

Si vous aviez procédé à leur effacement mais que vous devez restaurer le site sur une version antérieure au retrait, pensez à retirer manuellement ses données.

Où indiquer la durée de conservation des données ?

Sur un site Web, la durée de conservation des données sera précisée sur les mentions d’information lors de la collecte de données, ainsi que dans la politique de confidentialité.

Concernant les documents de la conformité, la durée de conservation des données doit figurer sur le registre des traitements du responsable de traitement, et sur le registre des catégories de traitements si vous êtes sous-traitant.

Pour aller plus loin

Je vous recommande la lecture du Guide pratique des durées de conservation édité par la CNIL.

Vous avez défini la durée de conservation des données collectées via votre site Web ?

Bravo ! Je vous propose de vérifier que vous respectez votre obligation de transparence du RGPD.

Vous ne trouvez pas la réponse à votre question dans cet article ?

Contactez-moi