Le Règlement Général sur la Protection des Données (RGPD) établit des principes fondamentaux régissant le traitement des données personnelles, parmi lesquels les délais de conservation suscitent fréquemment des interrogations.
Les durées de conservation des données peuvent être définies par des exigences légales ou réglementaires, telles que la conservation des factures pendant 10 ans (Article L123-22 du Code du commerce) ou du registre unique du personnel pendant 5 ans après le départ du collaborateur (Article R1221-26 du Code du travail).
La CNIL intervient également en fixant des durées spécifiques, par exemple, les cookies statistiques peuvent être conservés pendant 13 mois selon la Délibération n°2020-092 du 17 septembre 2020 de la CNIL. De même, les données des prospects collectées directement peuvent être conservées pendant 3 ans à compter du dernier contact avec le prospect, conformément à la Norme simplifiée n°48 de la CNIL.
📋 Les durées de conservation varient en fonction de la qualification de l’entité, qu’il s’agisse d’un responsable de traitement ou d’un sous-traitant. Un responsable de traitement respecte les délais de conservation des données qu’il traite pour son propre compte. En revanche, un sous-traitant, conformément à l’article 28 du RGPD, est tenu de supprimer toutes les données de son client à la fin de la relation contractuelle. Cette obligation, bien que claire en apparence, nécessite une analyse approfondie à la lumière d’autres obligations contraignantes pesant sur l’entreprise.
📌 Toute demande de suppression des données est soumise à des limites déterminées par les droits et obligations de l’entreprise, notamment les délais de prescription, les obligations légales ou réglementaires, ainsi que les motifs d’intérêt public.
La suppression des données en vertu de l’article 17 du RGPD doit être exercée avec précaution, en tenant compte de ces diverses contraintes. Pour illustrer cela concrètement, prenons quelques exemples concrets :
La gestion des demandes de suppression doit être adaptée aux spécificités de chaque situation, en tenant compte des multiples facettes légales et réglementaires qui encadrent ces processus.
🔥 Souvent, dans les contrats et textes de lois, on parle simplement de supprimer les données. Cela souligne l’importance de rappeler la définition d’un sous-traitant, qui peut être une personne physique ou morale traitant des données à caractère personnel pour le compte du responsable du traitement.
En réalité, la démarche de suppression n’est immédiate que dans certains cas. De nombreuses données doivent suivre des phases d’archivage avant d’être définitivement supprimées. Comprendre ces nuances est essentiel pour assurer une conformité totale avec les exigences du RGPD en matière de gestion des durées de conservation des données personnelles.
✅ En résumé, la gestion adéquate de ces durées de conservation constitue un défi complexe, nécessitant une compréhension approfondie des obligations légales, réglementaires et contractuelles. Idéalement, pour une évaluation au cas par cas, il est recommandé de se référer à son DPO (Délégué à la Protection des Données), qui pourra apporter une expertise spécifique adaptée à chaque situation.
Un questionnaire de 40 min pour alimenter votre DPO dédié.
Une mise en œuvre rapide, pour une conformité totale.
Un interlocuteur officiel pour votre entreprise, référent pour la CNIL.
Dipeeo prend la responsabilité de votre conformité RGPD.
Dipeeo réalise tous les livrables nécessaires à votre conformité.
Forfait mensuel tout inclus. Aucun devis complémentaire.
Une offre DPO externe dédié « tout inclus » qui s’adapte à vos évolutions futures sans aucun frais complémentaire.
Ou appelez nous directement au
+33 01 59 06 81 85
Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.
01 59 06 81 85
contact@dipeeo.com
4 boulevard de Montmartre –
75009 Paris
Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.