• GUIDE : LE RGPD EXPLIQUÉ
  • LE BLOG
  • CONTACT
www.audit-dpo.com
  • Accueil
  • Audit à blanc RGPD
  • Respecter le RGPD
  • Pourquoi s’inscrire ?
  • Demander un audit
Etat des lieux de la « protection de l’archivage (durée de préservation des données) ; » dans le cadre du RGPD

Accueil » Etat des lieux de la « protection de l’archivage (durée de préservation des données) ; » dans le cadre du RGPD

Etat des lieux de la « protection de l’archivage (durée de préservation des données) ; » dans le cadre du RGPD

par Audit Pia | 27/Juil/2020 | Actu, Etats des lieux |

La protection de l’archivage dans le cadre du RGPD

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018. L’objectif de ce règlement est de permettre aux citoyens de contrôler les données les concernant. L’Article 5 du Règlement général sur la protection des données réglemente la conservation des données.
La limitation du délai de conservation des données personnelles est au cœur de la protection des données et du RGPD. On ne peut pas conserver indéfiniment des données dans les systèmes informatiques. La durée d’archivage légale des données dépend du temps de réalisation de leur objectif. Une fois atteint, les données doivent être archivées, anonymisées ou supprimées.

Le RGPD, pour la protection des données

Comment déterminer la durée d’utilisation des données ?

En principe, la limitation de la durée de conservation des données doit être limitée au minimum nécessaire. Une fois l’objectif de traitement atteint, la conservation n’est plus justifiée. Il existe des exceptions à ce principe : la durée de conservation peut être fixée par un texte légal ou réglementaire ou une recommandation de la CNIL. En l’absence de telle disposition, le principe s’applique.
La loi prévoit la possibilité ou l’obligation de conserver les données dans les cas suivants :

  • La conservation des données est justifiée par l’intérêt public, scientifique, historique ou statistique à des fins archivistiques ;
  • La personne concernée a donné son consentement pour le traitement des données la concernant ;
  • Une obligation légale impose la prolongation de la durée de conservation des données.

Le responsable du traitement des fichiers doit donc vérifier les points ci-dessus avant de définir une durée de conservation.
Les données concernant la paie des salariés doivent par exemple être conservées pendant 5 ans. Pour un achat sur le web, les coordonnées bancaires ne peuvent être conservées que pendant l’opération de paiement.

Quels sont les différents niveaux d’archivage des données ?

Les données personnelles obéissent à un cycle de vie bien défini, avec trois niveaux d’archivage :

– La base active est la durée d’utilisation nécessaire à la réalisation de l’objectif du traitement de la donnée ;

– L’archivage intermédiaire correspond à la conservation des données après la réalisation de leur objectif, pour les raisons suivantes :

  • Obligation légale de conservation des données pendant une durée définie ;
  • Prévention d’un éventuel contentieux, le temps de la prescription, en matière civile, fiscale et commerciale ;
  • Si les droits et libertés des personnes sont garanties, les données peuvent être conservées dans l’intérêt public, scientifique, historique ou statistique

– L’archivage définitif concerne les données d’intérêt public qui ne peuvent être détruites (Livre 2 du Code du Patrimoine).

Lorsque l’objectif est atteint, en fonction du cycle de vie précité, les données doivent donc être supprimées, archivées ou anonymisées. Les données anonymes correspondent aux informations ne concernant pas une personne identifiée ou aux données ayant été anonymisées. L’anonymisation consiste à utiliser des techniques afin de rendre impossible toute identification de la personne, et ce, de manière irréversible. Elle permet d’exploiter des données sans porter atteinte à la vie personnelle des personnes. Les données peuvent ainsi être préservées au-delà leur durée initiale de conservation.
Trois critères prouvent l’anonymisation des données :

– L’individualisation : il ne doit pas être possible d’isoler un individu dans une base de données ;
– La corrélation : il ne doit pas être possible de relier entre elles des informations concernant un même individu ;
– L’inférence : il ne doit pas être possible de déduire des données sur un individu en reliant des informations anonymisées.

Comment archiver ses données et les sécuriser ?

L’archivage technique des données dépend de leur cycle de vie.
Les données faisant l’objet d’archives intermédiaires peuvent être conservées dans une base spécifique. Celle-ci est alors séparée de la base active, avec un accès restreint pour les personnes en ayant besoin (par exemple, le service du contentieux).
Elles peuvent aussi être archivées dans la base active si elles peuvent être accessibles uniquement aux personnes ayant un intérêt à les traiter. Cela nécessite donc une gestion spécifique des droits d’accès à ces données.
Les archives définitives doivent être conservées sur un support distinct et accessible uniquement à un service spécifique, comme la Direction des archives. L’accès doit être rigoureusement encadré et motivé.
Le responsable du fichier doit donc être vigilant quant au respect de la durée d’archivage légale des données. Lorsque le motif justifiant l’archivage disparaît, les données doivent être supprimées.
Il convient donc de prendre les mesures de sécurité nécessaires pour protégerles données personnelles. En effet, les risques de perte, d’altération, de diffusion ou d’accès non autorisés sont réels. Il faut également prévoir une sécurité physique pour les archives papiers. Il faut également veiller à la bonne traçabilité des données, au cas où une personne réclame l’intégralité des informations qui la concernent.
Pour pouvoir appliquer correctement ces mesures de sécurité, il faut se poser les questions suivantes :

  • Pendant combien de temps ai-je besoin des données pour atteindre l’objectif défini ?
  • Existe-t-il des obligations légales concernant la durée de conservation des données ?
  • Faut-il conserver certaines données afin de se prémunir contre un éventuel contentieux ? Si oui, pour combien de temps ?
  • Quelles données doivent être archivées et pour combien de temps ?
  • Quelles règles de suppression et d’archivage des données faut-il appliquer ?

L’archivage des données demande donc des compétences pointues. En effet, il convient d’avoir une expertise en la matière pour ne pas commettre d’erreur. Les sanctions sont dissuasives : le non-respect des règles de durée de conservation des données, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amendes (Articles 226-19 et 226-20 du Code Pénal). Ainsi, des entreprises ont été sanctionnées pour le non-respect du RGPD. Par exemple, une société immobilière avait laissé en libre accès des données utilisateurs au lieu de les archiver. Elle a dû s’acquitter d’une amende de 400 000 euros pour atteinte à la sécurité des données et non-respect des durées de conservation.
Pour être sûr de ne pas commettre d’erreur, le mieux est de recourir à un expert dans la durée de préservation des données. N’hésitez pas à nous contacter en remplissant le formulaire de contact, afin d’obtenir les informations sur nos prestations. Nous sommes à votre disposition pour vous accompagner dans l’archivage de vos données.

  • LinkedIn
  • Twitter
  • Google+
  • Facebook

Demander une étude personnalisée

Vous souhaitez une mise en conformité de votre entreprise au RGPD applicable le 25 mai 2018 ?
  • Usages des données / finalités de traitements : les données collectées seront utilisées pour vous envoyer un e-mail à l'ouverture du service ou pour la création d'un devis dans le cadre d'une demande de prestation.
  • Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Catégories

  • Actu
  • DPO
  • Etats des lieux
  • La protection des données
  • Le RGPD
  • Le RGPD article par article
  • tweets du jour

Articles récents

  • Checklist des éléments à vérifier en 2021 pour l’audit de sa compliance RGPD
  • Article 100 – Les obligations des contractants définies
  • Etat des lieux de la mise en place un PCA et PRA dans le cadre du RGPD
  • Article 97 – Rapports de la commission
  • Etat des lieux de la gestion de la sous-traitance dans le cadre du RGPD
2018 © Audit-Pia.com | Tous droits réservés |Plan du site | Données personnelles
Posting....
Share This
  • LinkedIn
  • Twitter
  • Google+
  • Facebook