Attention à vos délais de conservation de données personnelles!

Attention à vos délais de conservation de données personnelles!



La formation restreinte de la CNIL vient de prononcer une sanction à l'encontre d'une grande société française d'assurance mutuelle le 20.07.2021. L'amende prononcée est de 1,75 million d'euros et la décision restera publique pendant deux années. Petite piqûre de rappel sur la durée de conservation des données.
Vous collectez des données et vous les conservez : fort bien! Mais surveillez-vous les délais de conservation? C'est un point parfois complexe du RGPD : combien de temps puis-je conserver une donnée collectée?

Il y a en la matière trois règles à retenir (lien vers la fiche de la CNIL) :

  • Les durées de conservation "légales" : elles sont définies par la loi ou le règlement. Par exemple le code de commerce vous impose de conserver une facture pendant 10 ans à compter de son émission. Les données personnelles qui y figurent pourront donc être conservées 10 ans. Là c'est facile...

  • Les durées de conservation "recommandées" : ici c'est encore relativement aisé : il existe nombre de référentiels de conservation des données fournies notamment par la CNIL. Axeptio vous a compilé tout ça en 2018 ici. Ces référentiels ne sont pas contraignants, mais il est utile (et pratique...) de les respecter. Surtout en cas de contrôle... :0) L'autorité de contrôle française le rappelle dans cette décision : "Si depuis l’entrée en application du RGPD le 25 mai 2018, les normes simplifiées n’ont plus de valeur juridique, elles constituent toujours un point de repère pour les responsables de traitement, leur permettant de s’assurer de leur conformité."

Les "durées pertinentes", c'est pas forcément simple...

  • Les durées pertinentes : là ça se corse... et la société se fait taper sur les doigts à se titre : "La société a ainsi conservé les données à caractère personnel de ses prospects pendant des durées excessives, en l’absence de justification particulière, et alors que ceux-ci n’avaient montré aucun intérêt pour les produits et services proposés par la société durant plus de trois, voire de cinq ans.". La règle à respecter? Ne pas conserver de données pour des "durées excédant la nécessité des finalités pour lesquelles elles sont traitées" : retenez juste cette règle : quand on en a plus besoin, on ne garde pas la donnée... Reste que l'analyse peut parfois être complexe et pour être sûr de son coup... et bien il faut penser à sortir la carte bleue et à appeler son avocat! Il faut bien qu'on mange après tout non?


Et vous de votre côté, en base active, vous en avez combien des données de ce genre? Hum?...

La CNIL a relevé dans le cas présent : " la présence, en base active, des données à caractère personnel de 1917 prospects n’ayant pas eu de contact avec la société depuis plus de trois ans, dont 1405 prospects n’ayant pas eu de contact avec la société depuis plus de cinq ans, sans que la société soit en mesure de justifier de la nécessité d’appliquer des durées de conservation supérieures à la durée maximale de trois ans qu’elle avait elle-même fixée. "

Autrement dit : oups... Et vous de votre côté, en base active, vous en avez combien des données de ce genre? Hum?...


Enfin, gaffe aux sous-traitants!

Autre point intéressant dans cette décision, la défaillance des entreprises qui sous-traitaient le démarchage commercial pour l'assureur : elles ne respectaient pas les règles en matière d'information de droits des personnes démarchées.


Ce que l'on appelle le "sous-traitant" en language RGPD est source de biens des risques : il est donc fondamental de traiter la relation contractuelle comme il faut en signant des accords de sous-traitance et en n'hésitant pas à exiger l'ensemble des documents de compliance requis pour s'assurer que le sous-traitant restera dans les clous...

Ben oui encore un travail d'avocat... On le sait que vous ne pouvez pas vous passez de nous. C'est ça l'amour...

La décision de la CNIL pour les plus courageux c'est par là.