RGPD : Quelle durée de conservation des données personnelles ?

Combien de temps conserver les données personnelles ?

Les chiffres à retenir dans le cadre des obligations du Règlement Général sur la Protection des Données "RGPD" sont :

• 36 mois (3 ans) : Vous devez supprimer les données personnelles des personnes inactives depuis 3 ans de votre base de données. Il s'agit ici du droit à l'oubli. Idéalement, vous devez placer ces données dans une base d'exclusion vous permettant de justifier de vos traitements. Vous pouvez également anonymiser ces données afin de les conserver pour leur valeur statistique. 
• 13 mois : vous devez tous les 13 mois redemander le consentement des visiteurs de votre site web pour le traitement des cookies.
• 1 mois : Un contact dont vous détenez des données personnelles peut vous demander à tout moment de rectifier, d'effacer ou de lui restituer ses données personnelles. Vous disposez d’un délai d’un mois pour traiter une demande simple, de trois mois pour une demande complexe (par exemple en cas de demande de l’intégralité de ses données) et de huit jours pour des données de santé.
  Vous devez conserver les contacts supprimés dans une base/liste d'opposition afin de ne plus les solliciter dans le futur et de pouvoir justifier de vos traitements et de votre conformité avec la réglementation. 

> TÉLÉCHARGEZ CE DOSSIER

Autres exemples de durées légales de conservation des données imposées par la loi :

Le RGPD ne s'applique pas qu'à la sphère commerciale, à vos clients et prospects. La conservation des données à caractère personnel concerne aussi les candidats et les collaborateurs de votre entreprise : vous devez assurer la protection et la confidentialité de leurs données personnelles.

• 2 ans : Les informations sur les candidats non retenus à l'embauche et leur CV doivent être supprimés 2 ans après le dernier contact.
• 5 ans : La conservation des données personnelles des salariés de l'entreprise est limitée à 5 ans après la fin de la relation contractuelle (bulletins de paie, documents relatifs au contrôle des horaires...).

La conservation de données personnelles à but comptable fait elle aussi l'objet d'une durée définie par la loi.

• 10 ans : La conservation des documents comptables est de 10 ans à compter de la clôture de l'exercice. Cela concerne par exemple les livres et registres comptables (livre journal, grand livre, livre d'inventaire...) ainsi que les pièces justificatives (bon de commande, de livraison ou de réception, facture client et fournisseur...).

Des durées de conservation limitées et définies en fonction de la finalité de leur traitement :

Comme vous ne pouvez pas conserver indéfiniment les données personnelles dans vos fichiers et sauf si elle est précisée par un texte, une durée de conservation doit être définie en fonction de l'objectif poursuivi lors de la collecte de ces données. Une fois le but atteint, ces données doivent être archivées, supprimées ou anonymisées. C'est à vous de définir, selon la nature des données, de leur utilité et du but recherché, la durée de conservation des données. Attention à ce qu'elle ne soit pas excessive par rapport aux raisons pour lesquelles vous les collectez.

Le RGPD impose en effet la tenue d'un registre des traitements afin de pouvoir fournir, sur demande des autorités compétentes, un document intégrant les catégories de données personnelles que vous traitez, des différents traitements de données personnelles que vous réalisez, leurs finalités et objectifs, les acteurs (internes et externes) participant au traitement de ces données et, si ces données sont amenées à quitter l’Union Européenne, les origines, les destinations des flux de données, la base légale de traitement et les outils de traitement.

> LE RGPD, OÙ EN ÊTES-VOUS ?

Faites le test en 3 minutes chrono !
 

D'autres ressources sur le sujet