RGPD et conservation des données pour PME et TPE

RGPD et les PME/TPE

Comprendre les obligations de conservation des données personnelles

L'importance des données dans l'ère numérique

Avec le développement du numérique, les données sont au cœur de la création de valeur. Toutefois, certaines de ces données, parce qu'elles sont qualifiées de données personnelles, peuvent mettre en péril l'entreprise si elles ne sont pas correctement gérées.

À partir du 28 mai 2018, le RGPD contraint les entreprises à organiser dès la conception de leurs bases de données de tenir compte de la nature des données personnelles qu'elles contiennent et de l'importance quantitative de celles-ci.

Points clés à retenir :

  • Les données personnelles doivent être collectées avec un objectif précis
  • La quantité de données conservées doit être proportionnée à la finalité
  • La durée de conservation doit être limitée au strict nécessaire

Jurisprudence européenne sur la conservation des données

La quantité des données conservées et la finalité de leur conservation sont illustrées par l'arrêt de la Cour de justice du 8 avril 2014 qui a annulé la directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006.

Cet arrêt, connu sous le nom de Digital Rights Ireland Ltd, pose des questions fondamentales sur la compatibilité d'une conservation massive de données avec les droits fondamentaux des citoyens.

Question principale soulevée :

La directive 2006/24 est-elle compatible avec la Charte en ce qu'elle permet le stockage d'une masse de types de données à l'égard d'un nombre illimité de personnes pour une longue durée ?

Une précision importante de la Cour : "la conservation des données toucherait presque exclusivement des personnes dont le comportement ne justifie aucunement la conservation des données les concernant. Ces personnes seraient exposées à un risque accru de voir les autorités rechercher leurs données, prendre connaissance de leur contenu, s'informer de leur vie privée et utiliser ces données à de multiples fins..."

Catégories de données concernées par la réglementation

La directive 2006/24/CE (annulée) détaillait les types de données pouvant être conservées. Ces catégories restent pertinentes pour comprendre l'encadrement actuel du RGPD :

Données d'identification

  • Numéros de téléphone
  • Noms et adresses des abonnés
  • Identifiants pour les services internet
  • Adresses IP attribuées

Données de connexion

  • Date et heure de début et fin de communication
  • Date et heure d'ouverture/fermeture de sessions internet
  • Informations sur les services utilisés

Données de localisation

  • Identité de localisation cellulaire
  • Données géographiques des cellules mobiles
  • Points terminaux des communications

Données techniques

  • Identifiants d'équipements (IMEI, IMSI)
  • Informations sur le matériel de communication
  • Types de services utilisés

Important

Aucune donnée révélant le contenu des communications ne peut être conservée selon la directive. Ce principe fondamental demeure applicable dans le cadre du RGPD.

Recommandations pratiques pour les PME et TPE

Évaluer la finalité

Chaque donnée collectée doit répondre à une finalité déterminée, explicite et légitime. Documentez précisément l'objectif de chaque collecte.

Limiter la quantité

Ne collectez que les données strictement nécessaires à la finalité poursuivie. Appliquez le principe de minimisation des données.

Définir la durée

Fixez des durées de conservation limitées et proportionnées à la finalité. Mettez en place des procédures d'effacement automatique.

Conséquences de l'arrêt Digital Rights Ireland

Cette jurisprudence établit clairement qu'une conservation massive et indifférenciée de données personnelles n'est pas compatible avec les droits fondamentaux protégés par la Charte européenne.

Pour les PME et TPE, cela signifie que la conservation des données doit être :

  • Limitée dans sa portée (nombre de personnes concernées)
  • Proportionnée dans son volume (quantité de données par personne)
  • Justifiée par une finalité légitime
  • Restreinte dans sa durée

Durées de conservation recommandées par type de données

Type de données Durée de conservation Finalité
Données clients (contrat) 5 ans après la fin du contrat Gestion commerciale et preuves contractuelles
Données de connexion 1 an maximum Sécurité et détection des incidents
Données de localisation 6 mois maximum Analyse statistique anonymisée
Données de paiement 13 mois + délais légaux Preuves de transaction et obligations comptables
CV et candidatures 2 ans après dernier contact Recrutement et constitution de vivier

Attention

Ces durées sont indicatives et peuvent varier selon les secteurs d'activité et les obligations légales spécifiques. Consultez la documentation de la CNIL ou un expert en protection des données pour adapter ces recommandations à votre situation particulière.

2021. Avant toute mise en œuvre ce document doit être réactualisé