September 5, 2023
Les données clients sont le nouvel or noir des entreprises. Néanmoins, la collecte et l’analyse des informations personnelles de vos clients et de vos prospects ne sont pas sans contraintes. Toute entreprise traitant des données personnelles de ses clients doit inclure dans sa stratégie de collecte de data la durée de conservation de ces données.
"Les données personnelles ne peuvent être conservées indéfiniment : une durée de conservation doit être déterminée par le responsable de traitement en fonction de l’objectif ayant conduit à la collecte de ces données.” Ce principe de conservation limitée des données personnelles est prévu par le RGPD et la loi Informatique et Libertés.
Au sein du RGPD, la gestion des durées de conservation des données clients est un sujet incontournable de la protection des informations personnelles.
Décryptons ensemble l’équilibre à trouver entre respect de la vie privée et conformité légale.
Spoiler : le règlement général sur la protection des données (RGPD) ne fixe pas de durée de conservation spécifique pour les données personnelles. La durée de conservation des données personnelles dépend de la finalité du traitement des informations et des obligations légales applicables.
Avant tout chose, il est important de comprendre le cycle de vie des données personnelles afin de démarrer au bon moment le compte-à-rebours de la conservation des données.
Pour un même traitement d’information, les données personnelles suivent trois phases non obligatoirement successives. On parle du “cycle de vie” de la donnée personnelle.
La base de données active concerne la base de données clients qui sont accessibles facilement pour une exploitation immédiate par les différents services opérationnels qui supervisent ce traitement. La relation avec le client est active.
Il s’agit de l’ensemble des données personnelles qui ne sont plus utilisées pour atteindre l’objectif fixé initialement. Néanmoins, ces données sont conservées, car elles présentent encore un intérêt administratif pour l’entreprise. Ces données peuvent être consultées de manière ponctuelle et par les personnes accréditées.
L’archivage définitif regroupe les données archivées sans limitation de durée. Cette conservation conserve uniquement le traitement pour l’intérêt public. Ces données sont archivées et conservées de manière définitive et pérenne seulement en raison de leur “valeur” et intérêt public.
Les deux dernières phases du cycle de vie des données ne sont pas systématiques, voire peu fréquentes. Leur nécessité doit être évaluée pour chaque traitement et toutes les données ne peuvent pas être conservées d’un seul bloc sans avoir effectué un tri au préalable.
Une fois le cycle de vie des données personnelles compris, il faut donc appréhender la conservation des données dans le prisme de leur finalité, base légale et durée.
La base légale correspond à la raison juridique que l’entreprise retient pour faire le traitement de données. La finalité est l’objectif en traitant ces données et la durée de conservation représente la durée de conservation nécessaire pour réaliser cette finalité.
Si l’un des trois critères — base légale, finalité ou durée – n'est plus valable, il faut redéfinir les critères du traitement des données.
Ce prisme est fortement contrôlé par les gardiens des données clients à caractère personnelles. La CNIL et le RGPD veillent à ce que ces données personnelles soient traitées dans le respect de la vie privée du client et sous son consentement.
La CNIL recommande que la durée de conservation des données personnelles des clients et des prospects ne dépasse pas trois ans. Cette durée est issue de la norme simplifiée NS-056, qui n’est certes plus valable depuis l’entrée en vigueur du RGPD, mais dont les durées de conservation des données restent recommandées aux yeux de la CNIL.
Le RGPD quant à lui n’offre certes pas de réponse claire de durée de conservation et de traitement des données, mais offre des recommandations selon les situations.
L’article 5 du RGPD impose à chaque responsable de traitement de données de déterminer une durée de conservation des données personnelles cohérente et justifiée au regard des finalités et de l’objectif de leur traitement.
D’autres textes légaux peuvent permettre de définir cette durée :
Si aucune de ces sources ne permet de définir clairement une durée de conservation des données, il appartient au responsable du traitement de la donnée client à caractère personnel de définir précisément cette durée et son objectif. La finalité doit fonder les besoins opérationnels et la durée de conservation.
Il en va donc de la responsabilité de l’entreprise de se porter garante de la bonne conservation des données personnelles. Elle peut notamment faire appel à un DPO sur des plateformes comme Dipeeo. Le délégué à la protection des données conseille et accompagne les organismes dans la protection des données. Les entreprises et les responsables doivent prouver qu’ils respectent le RGPD. Le responsable de traitement doit constituer un ensemble de documents qui regroupent les différentes actions menées et analyses réalisées pour sa mise en conformité et la sécurité des données.
Les données personnelles conservées en archivage doivent répondre aux exigences :
Les durées de conservation de la donnée des clients et des prospects à caractère personnel commencent à partir du moment où la relation entre l’entreprise et la personne n’est plus active. Il s’agit du point de départ de la conservation des données. Elle ne se déclenche pas tant que l’entreprise fait encore des traitements de données avec un objectif défini et que la relation client est active.
L’ouverture d’un e-mail en utilisant des « pixels espions » n’est pas considérée comme une action volontaire de la personne et ne peut donc pas être utilisée pour conserver les données des clients et prospects.
La donnée client sort alors de la base de données active. Concrètement, cela peut être caractérisé par le fait que le client n’achète plus chez l’entreprise, arrête son abonnement ou que le prospect ne clique plus sur votre newsletter. À partir de cette date, la durée de conservation est enclenchée.
Voici des exemples de conservation des données dans le cadre de la gestion des activités commerciales :
Une fois que la conservation légale des données arrive à expiration, vous devez mettre à terme au cycle de vie de la donnée.
Pour la gestion des données arrivant à la fin de la durée de conservation, vous pouvez supprimer ou anonymiser les données personnelles de vos clients.
L’archivage des données est restreint à certaines activités d’entreprises et reste très anecdotique.
Si le responsable du traitement décide de supprimer les données, l’entreprise et le responsable doivent s’assurer que les données ont été effectivement effacées. Aucune copie de données personnelles ne doit subsister au sein de l’entreprise et auprès de ses éventuels sous-traitants.
Le responsable ne pourra pas supprimer directement les données une fois les finalités du traitement atteintes. La CNIL distingue les archives intermédiaire et définitive. L’AFCDP recommande que le DPO documente la durée de conservation en archives intermédiaires.
Le responsable du traitement des données doit choisir de conserver les données dans une base d’archive spécifique et distincte de la base active afin d’en limiter l’accès. Le DPO doit travailler avec l’archiviste pour assurer le niveau de sécurité.
Lorsque la durée de conservation des données clients à caractère personnel a expié, le responsable du traitement peut procéder à leur anonymisation. Ce procédé permet de rendre l’identification des personnes impossibles.
Les données ne sont plus considérées comme des données à caractère personnel.
Ce processus doit être encadré et supervisé, car il revêt une technicité importante. Les principales recommandations proviennent principalement du groupe de travail de l’article 29 sur la protection des données (Avis du G29 no 5/2014, 10 avr. 2014) endossé par le CEPD.
Trois méthodes sont mises en avant :
Si vous avez le moindre doute, appuyez-vous sur des DPO externes pour assurer votre conformité en termes de durée de conservation des données clients à caractère personnel. En effet, attention, la détermination et l’exercice de durées de conservation des données personnelles sont des raisons principales de sanctions financières émises par la CNIL.