Nous avions parlé dans notre article « La protection des données (RGPD) en pratique : Introduction » de l’importance de faire un listing de traitement des données, comme demandé par le RGPD. Cependant, cela ne suffit pas tout à fait pour être en règle.
La protection des données en pratique : 2e étape
Une fois ce listing créé, il vous faudra procéder au tri des données. Ce travail consiste à vérifier que toutes celles que vous détenez sont pertinentes et que vous avez bien le droit de les avoir. Pour effectuer cette analyse, la CNIL vous propose de réfléchir aux points suivants :
Les renseignements en votre possession sont-ils nécessaires à votre activité ?
Exemple : Vous avez l’adresse postale de tous vos clients. Toutefois, votre entreprise vend des contenus numériques sous forme de lien de téléchargement. L’acheteur paye en ligne et reçoit une confirmation de commande par e-mail. L’adresse n’est donc jamais utilisée. Dans ce cas, cette donnée n’est pas pertinente et doit être supprimée.
Traitement des données sensibles
Selon la CNIL, une donnée sensible se définit de la façon suivante :
Ce sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Concrètement, vous n’avez pas le droit de récolter dans votre formulaire de demande d’offre la couleur de peau simplement par curiosité.
Vous ne pouvez conserver ces informations que si la personne a volontairement et spécifiquement exprimé son consentement, si elle les a rendues publiques, si elles permettent de protéger la vie humaine, s’il y a une autorisation de la CNIL, ou si elles se rapportent aux membres d’une association ou organisation politique, religieuse, etc. Attention toutefois concernant le dernier point : une organisation politique aura nécessairement comme données sensibles l’orientation politique de ses adhérents. Ce n’est pas pour autant qu’elle peut enregistrer leur appartenance religieuse.
Accès aux données
Un point fondamental de ce tri des données est de vérifier qui y a accès. Exemple : Il ne serait pas pertinent que votre secrétaire, qui s’occupe de la partie commerciale de l’entreprise, ait accès aux coordonnées bancaires des employés. En revanche, c’est une information à laquelle le préposé aux salaires doit avoir accès. Il est donc important que seules les personnes ayant légitimement besoin d’une donnée puissent y accéder.
Le délai de conservation des données
Vous vous en doutez, on ne peut pas conserver indéfiniment les renseignements personnels de quelqu’un. Qu’elles sont donc les règles en la matière ?
Difficile ici de vous dire précisément combien de temps vous pouvez garder vos données. En effet, cela dépend de votre entreprise, des buts de leur collecte et des devoirs légaux. Par exemple, vous devrez sauvegarder les informations de facturation pendant 10 ans selon le code du commerce et cela même si une personne n’est plus cliente.
Ainsi, la CNIL définit les cycles de vie des données en trois points :
- La base active : C’est la durée nécessaire pour atteindre l’objectif de la récolte des données. Si l’on reprend la facturation, elles seront dans la base active tant que le sujet est client.
- L’archivage intermédiaire : Données dont l’objectif a été atteint, mais qui doivent être conservées notamment pour répondre à des exigences légales. Dans notre précédent exemple, la personne n’est plus cliente, mais vous garderez ses renseignements pendant 10 ans. Vous les transférerez alors en archivage intermédiaire.
- L’archivage définitif : Dans certains cas bien particuliers, vous pouvez archiver certaines informations sans limites de durée.
Les archivages ne sont pas forcément utilisés. De plus, dans le cas où ils existent seules des personnes spécialement habilitées ont le droit de les consulter.
S’il est difficile de vous fournir une durée précise de conservation, vous pouvez partir du principe que vous pouvez stocker chaque donnée jusqu’à ce que l’objectif de sa collecte soit atteint. Par exemple, vous ne garderez pas les informations récoltées dans le cadre d’une proposition commerciale au-delà de la réponse négative du prospect.
Pour plus de détail sur cette durée de conservation, vous pouvez consulter le guide pratique fourni par la CNIL.
Le tri des données : conclusion
Comme vous avez pu le constater, ce tri des données va beaucoup dépendre de votre entreprise et de vos spécificités. En revanche, si vous vous sentez perdu, nous avons la possibilité, grâce à notre partenaire, de vous aider dans vos démarches. Contactez-nous !
