RGPD : Durée de conservation et purge
Dans un contexte actuel de collecte et de transmission soutenues de l’information, une actualisation de la directive européenne 95/46/CE du 24 octobre 1995 sur la protection des données personnelles va s’effectuer le 25 mai prochain, avec l’entrée en vigueur du RGPD.
Le règlement européen va imposer des obligations en matière de traitement des données personnelles en vue de sauvegarder les droits et libertés des personnes concernées. Elles touchent notamment la durée de conservation et la purge des données.
Les obligations liées à la durée de conservation des données personnelles
Afin de veiller à la sécurité des systèmes d’information au sein d’un établissement public ou privé, le RGPD rend obligatoire la mise en œuvre d’une politique relative à la durée de conservation des données personnelles.
Tous les acteurs sont mobilisés afin de veiller à ne pas enfreindre les règles établies, qu’il s’agisse du responsable du traitement ou des sous-traitants. Plusieurs actions sont alors envisageables. Des contrats et mentions obligatoires peuvent préciser au client les modalités de conservation et de suppression des données. En outre, une analyse d’impact définit les modalités de l’évaluation du procédé de traitement choisi par le donneur d’ordre et doit comporter les indications de durée de conservation des données.
Actuellement, les responsables de traitement doivent déclarer auprès de la CNIL tout processus de traitement de données à caractère personnel. Avec le RGPD, ils seront tenus de mettre en place des registres, consultables par la CNIL. En sus d’établir une cartographie des modalités de ce traitement, tout registre devra contenir les délais envisagés pour la suppression de chaque catégorie de données.
Dès lors, lorsque l’objectif déterminé en amont sera atteint, une purge sera réalisée afin de supprimer les données utilisées.
Les modalités de suppression et conservation des données
Dans un souci de protection des droits et libertés des personnes, le RGPD a précisé les modalités de conservation et de suppression des données personnelles.
Selon l’objet de ces données ou le format sur lequel elles sont enregistrées, la durée de conservation est variable. En effet la conservation doit être limitée uniquement au temps nécessaire pour effectuer le traitement des données.
À titre d’exemple, dans le cadre d’une vidéosurveillance, les images collectées devront être supprimées au bout d’un mois.
Toutefois, dans certains cas prévus par le règlement européen, le responsable du traitement peut opter pour un archivage de ces données, afin de poursuivre une finalité strictement définie.
L’on distingue la base active, qui concerne les informations récentes, les archives intermédiaires, pour lesquelles seul un accès limité est autorisé, et les archives définitives, destinées à être préservées pour une durée indéfinie.
Ainsi, la mise en conformité avec le nouveau règlement européen devra être effectuée au plus vite dans un souci de sécurité et gestion des failles pour éviter tout risque de sanction.
Votre numéro de téléphone est uniquement utilisé pour nous permettre de vous rappeler. Pour en savoir plus sur la gestion de vos données dans le cadre de la gestion du suivi de notre relation précontractuelle et contractuelle, ainsi que sur vos droits, vous pouvez consulter notre politique de confidentialité.
Notre service client est à votre écoute via notre formulaire ou par téléphone :
