RGPD et durée de conservation

RGPD et durée de conservation

 

Suite à l’entrée en vigueur du RGPD, les sanctions de la CNIL étaient tout d’abord concentrées sur les aspects sécuritaires.Après une période que l’on pourrait qualifier de « tolérance », un aspect prend aujourd’hui beaucoup d’importance, il s’agit de celui de la durée de conservation des données personnelles.

 

En effet, ces données ne peuvent plus être conservées de manière indéfinie.

Le RGPD stipule que les données doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées » (article 5 et suivants). Cela signifie que vous ne pouvez pas conserver les données sans limitation et en tout état de cause, sans justification légitime. 

 

En juin 2019, la formation restreinte de la CNIL a décidé de rendre publique sa décision concernant la société SERGIC (délibération 2019-005 du 28 mai 2019). SERGIC est une société immobilière, spécialisée dans le cadre de la location de biens qui avait créé un portail afin de permettre aux candidats locataires de déposer les pièces justificatives associées à leur dossier. 

 

Deux manquements au RGPD ont amené la formation restreinte à condamner SERGIC à une amende de 400 000€.

1- Un manquement de sécurité : L’accès au pièce justificatives des candidats pouvaient être accessibles par n’importe quelle personne suite à de légère modification de l’URL du portail.

2- Une conservation sans limitation des pièces justificatives. Les dossiers des candidats étaient conservés bien après l’attribution des logements et au-delà des délais prévus par la loi.

 

La justification des durées de conservation

 

Le RGPD et cette sanction ne signifient pas que vous ne pouvez pas conserver les documents contenant des données personnelles ni que vous devez les détruire automatiquement après réception.

 

En détruisant automatiquement les documents contenant des données personnelles, vous pouvez ne plus disposer de documents engageants que vous devez conserver ; soit pour faire valoir vos droits en cas de contentieux (délai de prescription), soit pour satisfaire à une exigence légale définie à des fins administratives (délai de conservation minimale imposée).

 

La question ne repose donc pas seulement sur la conservation des données mais surtout sur la justification de la nécessité de cette conservation. Le RGPD s’intéresse à la collecte, au traitement des données et à la finalité de l’information.

 

L’archivage est un levier pour le RGPD.

 

Dans le cadre d’un processus d’archivage, vous identifiez les documents qui doivent être archivés ou non et vous définissez les durées de conservation à appliquer, généralement encadrées par la loi.

Certains documents identifiés pour l’archivage contiennent des données personnelles. Le RGPD vous impose de maitriser les données personnelles.

 

Un SAE vous permet de justifier de la durée de conservation de vos documents et des données personnelles via un champs associé à chaque archive ou à l’espace au sein duquel ils sont conservés Afin d’être en conformité avec le RGPD, CDC Arkhineo prévoit, lors de la configuration des espaces de justifier les durées de conservation par un commentaire, par exemple l’article de Loi correspondant aux types de documents à conserver.