Après un premier article consacré à la désignation d’un délégué à la protection des données (DPD / DPO) et au recueil du consentement des destinataires de vos campagnes marketing, nous nous penchons aujourd’hui sur l’enjeu de la gestion et du stockage des données personnelles dans le cadre de l’entrée en vigueur, à partir du 25 mai 2018, du Règlement général sur la protection des données (RGPD / GPDR).
Découvrez nos deux autres articles sur le RGPD :
- Campagnes marketing et Data protection officer (DPO).
- Anonymisation et pseudonymisation des données personnelles.
La protection des données personnelles
L’application du RGPD impose aux entreprises de repenser leur système de stockage des informations sur leurs clients comme sur leurs collaborateurs. Pour vous mettre en conformité, vous devez avant toute chose instaurer des dispositifs de sécurité technique et organisationnelle adaptés à la nature des données conservées et documenter cette mise en conformité.
D’après l’article 2 de la loi « Informatique et libertés » : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».
Pour la CNIL (Commission nationale de l’informatique et des libertés), les données sont ainsi « à caractère personnel » dans la mesure où elles permettent d’identifier une personnes physique directement ou indirectement – nom, numéro de téléphone, adresses e-mail et postale, date de naissance, informations de santé mais aussi photographie, adresse IP, coordonnées GPS, informations de santé peuvent être considérées comme données personnelles si elles permettent, par recoupement, d’identifier une personne.
Si le stockage ou le traitement de vos données est sous-traité, il est notamment de votre responsabilité de vérifier que votre prestataire répond aux exigences du RGPD en termes de sécurité et de confidentialité des données et fournit des garanties suffisantes contre leur perte, leur destruction, leur altération, ou encore leur accès et leur diffusion sans autorisation.
Vous êtes sous-traitant ? Téléchargez le Guide du sous-traitant RGPD de la CNIL.
À noter : le transfert de données personnelles hors UE est interdit par le RGPD, sauf si le pays ou prestataire destinataire garantit un niveau de protection suffisant. La CNIL a produit une carte de la protection des données dans le monde : l’Argentine, le Canada et les États-Unis sont considérés comme adéquats par l’UE.
L’archivage des données
La CNIL distingue 3 types d’archives :
- la base active (ou archives courantes) ;
- les archives intermédiaires (accès restreint avant suppression) ;
- les archives définitives (pas de destruction prévue en raison d’un intérêt scientifique, historique ou statistique – cette base doit être conservée sur un support indépendant, dans l’idéal).
L’archivage des données doit être à la fois sélectif, limité dans le temps et d’accès restreint. Seules les informations nécessaires doivent être conservées et un système de gestion des droits d’accès doit donc être mis en place. Vous devez également définir pour chaque type de données une durée de conservation cohérente avec l’objectif poursuivi lors de la collecte initiale d’informations, et les supprimer une fois cet objectif atteint.
La durée de conservation des données est relative à leur nature, mais dépend également des obligations légales s’appliquant pour certaines d’entre elles. Dans un article sur la limitation de la conservation des données, la CNIL donne plusieurs exemples :
- « Dans le cas d'un dispositif de vidéosurveillance, la conservation des images ne peut excéder 1 mois.
- Les données relatives à la gestion de la paie ou au contrôle des horaires des salariés peuvent être conservés 5 ans.
- Lors d’un achat sur internet, les coordonnées de la carte bancaire du client ne peuvent être conservées que le temps de réalisation de l’opération de paiement.
- Les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans doivent être supprimées.
- Les données figurant dans un dossier médical doivent être conservées 10 ans. »
Certaines de vos données sont archivées au format papier ? Elles sont évidemment concernées par la nouvelle législation : protégez leur accès et détruisez-les en temps et en heure ! Vous devez également être en mesure de tracer la consultation de l’ensemble des données personnelles archivées.
RGPD – Les 6 étapes à suivre pour se mettre en conformité.
Le droit à l’effacement / droit à l’oubli
L’article 17 du RGPD stipule que « la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant ». Le droit d’accès aux données, quant à lui, permet à un individu d’obtenir l’ensemble des données le concernant (base active et archives).
Votre entreprise doit donc établir des procédures claires pour être en mesure de répondre à une demande d’accès, de modification ou de suppression de données personnelles. Bien sûr, cette suppression n’est possible qu’à condition que la conservation des données ne soit pas imposée par la loi.
Astuce : ne vous précipitez pas à tout automatiser ! À compter de la réception de la demande d'effacement, vous aurez un mois pour répondre, délai qui peut être prolongé à deux mois si la complexité ou le nombre de demandes le justifie. Prévoyez un traitement manuel et, si les demandes affluent, automatisez le traitement. Qui va piano va sano.
Consultez le document de la CNIL sur les droits liés aux données à caractère personnel.
Il est crucial que l’information circule de façon optimale au sein de l’entreprise parmi les collaborateur·trices ayant accès à des informations à caractère personnel lors d’une demande de modification ou de suppression. Le responsable du traitement doit informer les équipes pour éviter les copies et exports égarés.
Pour résumer : après avoir réalisé un audit de l’utilisation et du stockage des données à caractère personnel au sein de votre entreprise, documentez avec précision les efforts de mise en conformité réalisés (processus, limitations des accès, gestion des consentements, désignation d’un DPO, fiabilité des prestataires, finalités explicites de la collecte de données, etc.). Découvrez notre dernier article consacré au sujet, qui revient les mesures d’anonymisation et de pseudonymisation des données !
À propos de l'auteur :
Par Jean-baptiste Sachot
Ambassadeur et conférencier chez Akuiteo SAS
