RGPD et les PME/TPE
Comprendre les obligations de conservation des données personnelles
L'importance des données dans l'ère numérique
Avec le développement du numérique, les données sont au cœur de la création de valeur. Toutefois, certaines de ces données, parce qu'elles sont qualifiées de données personnelles, peuvent mettre en péril l'entreprise si elles ne sont pas correctement gérées.
À partir du 28 mai 2018, le RGPD contraint les entreprises à organiser dès la conception de leurs bases de données de tenir compte de la nature des données personnelles qu'elles contiennent et de l'importance quantitative de celles-ci.
Points clés à retenir :
- Les données personnelles doivent être collectées avec un objectif précis
- La quantité de données conservées doit être proportionnée à la finalité
- La durée de conservation doit être limitée au strict nécessaire
Jurisprudence européenne sur la conservation des données
La quantité des données conservées et la finalité de leur conservation sont illustrées par l'arrêt de la Cour de justice du 8 avril 2014 qui a annulé la directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006.
Cet arrêt, connu sous le nom de Digital Rights Ireland Ltd, pose des questions fondamentales sur la compatibilité d'une conservation massive de données avec les droits fondamentaux des citoyens.
Question principale soulevée :
La directive 2006/24 est-elle compatible avec la Charte en ce qu'elle permet le stockage d'une masse de types de données à l'égard d'un nombre illimité de personnes pour une longue durée ?
Une précision importante de la Cour : "la conservation des données toucherait presque exclusivement des personnes dont le comportement ne justifie aucunement la conservation des données les concernant. Ces personnes seraient exposées à un risque accru de voir les autorités rechercher leurs données, prendre connaissance de leur contenu, s'informer de leur vie privée et utiliser ces données à de multiples fins..."
Catégories de données concernées par la réglementation
La directive 2006/24/CE (annulée) détaillait les types de données pouvant être conservées. Ces catégories restent pertinentes pour comprendre l'encadrement actuel du RGPD :
Données d'identification
- Numéros de téléphone
- Noms et adresses des abonnés
- Identifiants pour les services internet
- Adresses IP attribuées
Données de connexion
- Date et heure de début et fin de communication
- Date et heure d'ouverture/fermeture de sessions internet
- Informations sur les services utilisés
Données de localisation
- Identité de localisation cellulaire
- Données géographiques des cellules mobiles
- Points terminaux des communications
Données techniques
- Identifiants d'équipements (IMEI, IMSI)
- Informations sur le matériel de communication
- Types de services utilisés
Important
Aucune donnée révélant le contenu des communications ne peut être conservée selon la directive. Ce principe fondamental demeure applicable dans le cadre du RGPD.
Recommandations pratiques pour les PME et TPE
Évaluer la finalité
Chaque donnée collectée doit répondre à une finalité déterminée, explicite et légitime. Documentez précisément l'objectif de chaque collecte.
Limiter la quantité
Ne collectez que les données strictement nécessaires à la finalité poursuivie. Appliquez le principe de minimisation des données.
Définir la durée
Fixez des durées de conservation limitées et proportionnées à la finalité. Mettez en place des procédures d'effacement automatique.
Conséquences de l'arrêt Digital Rights Ireland
Cette jurisprudence établit clairement qu'une conservation massive et indifférenciée de données personnelles n'est pas compatible avec les droits fondamentaux protégés par la Charte européenne.
Pour les PME et TPE, cela signifie que la conservation des données doit être :
- Limitée dans sa portée (nombre de personnes concernées)
- Proportionnée dans son volume (quantité de données par personne)
- Justifiée par une finalité légitime
- Restreinte dans sa durée
Durées de conservation recommandées par type de données
| Type de données | Durée de conservation | Finalité |
|---|---|---|
| Données clients (contrat) | 5 ans après la fin du contrat | Gestion commerciale et preuves contractuelles |
| Données de connexion | 1 an maximum | Sécurité et détection des incidents |
| Données de localisation | 6 mois maximum | Analyse statistique anonymisée |
| Données de paiement | 13 mois + délais légaux | Preuves de transaction et obligations comptables |
| CV et candidatures | 2 ans après dernier contact | Recrutement et constitution de vivier |
Attention
Ces durées sont indicatives et peuvent varier selon les secteurs d'activité et les obligations légales spécifiques. Consultez la documentation de la CNIL ou un expert en protection des données pour adapter ces recommandations à votre situation particulière.