Sommaire
Quelle durée de conservation des données personnelles ?
Combien de temps puis-je conserver les données des clients/prospects qui ont résilié ?
Combien de temps pour des données personnelles d’un employé, notamment après son départ ?
Durée de conservation des données personnelles : de quoiil s’agit ?
📌 Les données personnelles ne peuvent être conservées que pour une durée limitée qui est fixée soit légalement (ex: lois, décrets, règlements), soit directement par l’autorité française de contrôle, la CNIL, via des recommandations, normes simplifiées, etc.
Il s’agit certainement du chantier le plus périlleux et le plus complexe à mettre en œuvre puisqu’il implique une sensibilisation et une formation en interne des services concernés.
✅ Fort heureusement, de plus en plus de “logiciels métiers”, notamment dans le secteur des ressources humaines, commencent enfin à proposer des outils permettant de respecter la durée de conservation des données personnelles de manière automatique.
😯 Néanmoins, non seulement cela n’est pas toujours le cas mais, de plus, de nombreux doutes peuvent subsister au quotidien de manière opérationnelle sur la durée de conservation des données personnelles applicable.
📜 Dans cette page vous allez pouvoir consulter la durée de conservation des données personnelles qui s’appliquent dans les domaines des Ressources Humaines, de la Prospection Commerciale et du Marketing, de la Comptabilité et des documents sociaux.
Toutes les dernières réformes et prises de position de la CNIL du 1er janvier 2020 ont été prises en considération.
Identifier la durée de conservation des donées personnelles
Pour définir la durée de conservation des données personnelles que vous traitez, il est nécessaire de mener une analyse de conformité de vos traitements. Il faut, cependant, noter que la réglementation a prévu une durée de conservation de données à caractère personnel pour quelques traitements. Autrement dit, dans certains cas, la durée de conservation des données personnelles est fixée par des articles. A titre d’exemple, l’article L3243-4 du Code de Travail impose de conserver un bulletin de paie du salarié (considéré ici comme étant une donnée personnelle) pendant 5 ans.
En revanche, pour la majeure partie des traitements de données personnelles, la durée de conservation n’est imposée par aucune réglementation ou texte. C’est au responsable de traitement de définir et de déterminer la durée de conservation des données personnelles qu’il traite et ce, en fonction de la finalité du traitement.
Faites du RGPD
un atout business !
Quels sont les outils pour définir la durée de conservation des données personnelles ?
Ayant comme mission l’accompagnement des professionnels dans leur mise en conformité RGPD, la CNIL a mis en place des outils qui permettent de faciliter la définition de la durée de conservation des données personnelles applicable. De plus, le régulateur des données personnelles a prévu un guide pour la facilitation de mise en œuvre de ce principe qui est le respect des durées de conservation.
Ce guide est destiné à répondre à toutes les questions que peuvent se poser les professionnels et ce, que ce soit par rapport au principe de limitation de la durée de traitement des données personnelles, ou par rapport à sa mise en pratique. Il contient également un « référentiel durées de conservation » du point de vue contenu et utilisation.
Ce genre de référentiels de durée de conservation de données a pour principal objectif la facilitation de la recherche de la durée pertinente, qu’un responsable de traitement peut effectuer.
Pour chaque traitement dans un secteur donné, ces référentiels présentent, sous forme d’un tableau, le processus de vie des données à suivre (base active ou archivage intermédiaire). Les durées mentionnées peuvent donc soit être obligatoires ou recommandées. Dans le premier cas, les durées sont imposées par la réglementation, sous forme d’un texte législatif ou réglementaire. En revanche, si celles-ci sont recommandées, les durées constituent un point de repère pour les responsables de traitement.
Ressources Humaines
| Activités de traitement | Détails du traitement | Durées d’utilisation | Durée de prescription | Références légales |
|---|---|---|---|---|
| Absences | NA | Pendant la durée du contrat de travail ou de mission | 5 ans à compter du départ du collaborateur | Norme simplifiée n°42 de la CNIL |
| Accidents du travail | NA | Pendant la durée de la gestion de l’accident | 5 ans à compter du départ du collaborateur | Article D4711-3 du Code du travail |
| Annuaire | NA | Durée du contrat de travail ou de prestation de service du personnel mis à disposition | NA | Norme simplifiée n°46 de la CNIL |
| Charges sociales | URSSAF, retraite, prévoyance, etc. | Pendant le traitement des charges sociales | 3 ans à compter de la fin de l’année civile au titre de laquelle les charges sont dues | Article L244-3 du Code de la sécurité sociale |
| Demandes RGPD | NA | Pendant la durée de la prise en compte de la demande | 5 ans à compter de la réponse à la demande | Article 2224 du Code civil |
| Frais | Transports, voyages, etc. | Pendant la durée de traitement du paiement des frais | 5 ans | Article 2224 du Code civil |
Marketing et prospection commerciale
| Activités de traitement | Détails du traitement | Durées d’utilisation | Durée de prescription | Références légales |
|---|---|---|---|---|
| Chatbots | NA | 3 ans à compter du dernier contact | NA | Norme simplifiée n°48 de la CNIL |
| Contrat conclu par voie électronique | Pour les contrats de plus de 120 euros uniquement | Pendant toute la durée de la relation commerciale | 10 ans | Article L213-1 du Code de la consommation et article D213-2 du Code de la consommation |
| Contrat conclu par voie papier | NA | Pendant toute la durée de la relation commerciale | 5 ans | Article L110-4 du Code de commerce |
| Cookies | Mesures d’audience | 13 mois maximum à compter de l’installation des “cookies” sur le terminal | NA | Délibération n°2020-092 du 17 septembre 2020 de la CNIL |
| CRM | Fiches clients | Pendant la durée de la relation commerciale | 5 ans | Article L110-4 du Code du commerce |
| Cryptogamme des cartes bancaires (CVV2) | NA | Interdiction de conservation de ces données | NA | Article 5 du RGPD et délibération n° 03- 034 du 19 juin 2003 de la CNIL |
Comptabilité et facturation
| Activités de traitement | Détails du traitement | Durées d’utilisation | Durée de prescription | Références légales |
|---|---|---|---|---|
| Correspondances commerciales | Bons de commande, bons de livraison, etc. | Pendant toute la durée de traitement de la demande | 10 ans à compter de la clôture de l’exercice comptable | Article L123-22 du Code du commerce et Norme simplifiée n°48 de la CNIL |
| Facturation des clients | Factures, devis, etc. | Pendant toute la durée de traitement de la demande | 10 ans à compter de la clôture de l’exercice comptable | Article L123-22 du Code du commerce et Norme simplifiée n°48 de la CNIL |
| Livres et registres comptables | NA | Pendant toute la durée de traitement de la comptabilité | 10 ans à compter de la clôture du livre ou du registre | Article L123-22 du Code du commerce |
Vie de l’entreprise
| Activités de traitement | Détails du traitement | Durées d’utilisation | Durée de prescription | Références légales |
|---|---|---|---|---|
| Convocations, feuilles de présence et pouvoirs | NA | 3 ans | NA |
“Article L235-9 du Code de commerce” |
| Ordres et registres de mouvements de titres | NA | 5 ans | NA | Article 2224 du Code civil |
| Procès-verbaux | NA | 5 ans à compter du dernier procès-verbal enregistré | NA | Article 2224 du Code civil |
| Rapport de la Direction | NA | 3 ans | NA |
“Article L235-9 du Code de commerce” |
| Rapport des commissaires au compte | NA | 3 ans | NA |
“Article L235-9 du Code de commerce” |
| Statuts | NA | 5 ans à compter de la radiation | NA | Article 2224 du Code civil |
Sécurité et services généraux
| Activités de traitement | Détails du traitement | Durées d’utilisation | Durée de prescription | Références légales |
|---|---|---|---|---|
| Accès aux locaux | NA | Période d’accès aux locaux | 3 mois à compter de l’accès | Norme simplifiée n°42 de la CNIL |
| Appels téléphoniques | NA | 6 mois concernant l’historique des appels | NA | https://www.cnil.fr/sites/default/files/atoms/files/travail-vie_privee.pdf |
| Données de connexion à internet | (ex : adresse IP, logs, etc.) | 1 an | NA | Décret n°2011-219 du 25 février 2011r |
| Messagerie électronique | NA | 6 mois concernant l’historique de connexion | NA | https://www.cnil.fr/sites/default/files/atoms/files/travail-vie_privee.pdf |
| Relevés téléphoniques | NA | 1 an | NA | L34-2 du Code des postes et des communications électroniques |
| Utilisation d’internet | NA | 6 mois concernant l’historique de connexion | NA | https://www.cnil.fr/sites/default/files/atoms/files/travail-vie_privee.pdf |
| Vidéoprotection | NA | Pendant la durée de l’enregistrement et de la visualisation | 1 mois à compter de l’enregistrement | Loi 95-73 du 21-01-1995 |
Nous traitons le sujet RGPD pour vous !
Audit conformité en 48h
Un questionnaire de 40 min pour alimenter votre DPO dédié.
Une mise en œuvre rapide, pour une conformité totale.
DPO externe dédié, nommé à la CNIL
Un interlocuteur officiel pour votre entreprise, référent pour la CNIL.
Dipeeo prend la responsabilité de votre conformité RGPD.
Coût fixe, 100% maîtrisé
Dipeeo réalise tous les livrables nécessaires à votre conformité.
Forfait mensuel tout inclus. Aucun devis complémentaire.
Conformité CNIL totale garantie, dans la durée…
Une offre DPO externe dédié « tout inclus » qui s’adapte à vos évolutions futures sans aucun frais complémentaire.
- Documents juridiques : contrats, CGV, conventions…
- Registre des activités des traitements
- Sous-traitants : validation de 100% des partenaires
- Politique de confidentialité
- Conformité et suivi des évolutions de vos outils digitaux
- Conformité de votre prospection
- Conformité des ressources humaines
-
DPO externe au quotidien : questions, audits, mises à jour des documents dans la durée, développement web, etc.
Ou appelez nous directement au
+33 01 59 06 81 85
Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.