Back to Blog

Comment appliquer des durées de conservation à vos données personnelles ?

Maxime JAILLET

Mettez en place une politique de gestion des durées de conservation de vos données personnelles. Obligation légale de limiter le stockage et l’utilisation au strict nécessaire, c’est aussi un bon moyen de maîtriser votre risque en n’exploitant que des données pertinentes. Nous faisons un saut chez la société Choucroute pour voir comment procéder. C’est notre product news du jour.

Pourquoi définir le cycle de vie des données et appliquer des durées de conservation ?

C’est la fête dans les locaux de la société Choucroute. On y célèbre la mise en production d’un méga data lake qui agrégera toutes les données clients et prospects collectées par chaque service en interne :

  • Profils clients, coordonnées, noms, prénoms, formulaires de lead ou de réclamations ;
  • devis, factures, contrats, bons de commande ;
  • Données de navigation en ligne, suivi en temps réel par la donnée de navigation GPS.

DMP,CDP, CRM…tous les outils du groupe viendront se plugguer sur cette base. Chaque service s’en servira pour ses besoins.

Si vous demandez à un collaborateur si on applique des durées de conservation, on vous répondra que dans la choucroute, tout est bon. On ne jette jamais rien...

Ayant appris qu’il fallait désormais respecter une réglementation RGPD, la société s’est dotée d’un Data Protection Officer. A peine recruté, celui-ci a annoncé, sous les yeux horrifiés de son assistance, qu’on allait purger les données :

  • Parce que c’est la loi. On ne stocke pas des données personnelles pour le plaisir ni parce que ça pourrait un jour servir. On définit un but précis, on utilise les données pendant la période nécessaire puis on les supprime.
  • Parce que si la base de données est un jour hackée, ce sera toujours des données en moins de capturées pour le pirate. Non que notre DPO n’ait pas confiance dans la politique de cybersécurité de son entreprise… mais il vaut mieux limiter les risques.
  • Parce que la durée de conservation des données (qui implique qu’elles sont ensuite supprimées) est une information « publique ». Il faut l’annoncer dans la politique de confidentialité, dans son registre interne des traitements. Et du vivant du DPO, ce qu’on dit, on le fera.
  • Parce que ça évite des réclamations. Si un client demande à faire supprimer ses données, ce n’est pas pour découvrir quelques mois après qu’on les conservait encore.
  • Parce qu’il ne sert à rien de prospecter quelqu’un qui n’aime pas ou plus la choucroute.
  • Parce que c’est bon pour la planète. Chaque donnée stockée entraîne de la consommation d’énergie, de bande passante et des serveurs. Autant conserver le plus utile dans la choucroute.

Comment mettre en œuvre des durées de conservation ?

Chez Choucroute, on avait une image simple d’un data lake. Une vaste piscine, des tuyaux qui amènent des flux de data. Et chacun vient s’y servir.

Muni d’un exemplaire du guide de la CNIL de juillet2020 sur les durées de conservation, notre DPO a quant à lui souhaité mettre en place un cycle de vie de la donnée. C’est nécessaire pour être en conformité RGPD.

  • Les développeurs ont expliqué au DPO que ce data lake-là était un peu comme une piscine sans le bouchon au fond qui sert à vider l’eau. Il leur a donc demandé de prévoir des routines automatiques de purge des données. Il reviendra la semaine prochaine pour s’assurer qu’ils ont compris la demande...
  • Il a demandé à chaque service interne et chaque prestataire de tout documenter : quels sont les services utilisateurs ? Quelles sont les grandes finalités d’utilisation des données ? Quelles données sont utilisées ?
  • Puis il a pris chaque donnée dans le détail et interrogé les collaborateurs de chaque service. Il voulait tout savoir : telle donnée est-elle utilisée ? Pourquoi ? En quoi est-elle nécessaire ? Combien de temps est-elle conservée ?

Chacun a dû négocier pied à pied le droit de conserver pendant une certaine durée chaque donnée. Forcément, ça a mis un terme à quelques rêves :

  • Certains se voyaient déjà se promener dans les couloirs avec une valise remplie de copies de carte d’identité. Sauf qu’on supprimera désormais les copies une fois l’identité du client vérifiée...
  • Au service marketing, on est fier de notre base de 10 000 prospects. Ca fait 5 ans que personne ne lit les newsletters mais enfin… Forcément, après la purge, 200 contacts, c’est tout de suite moins sexy.
  • Personne ne connaîtra le frisson d’accéder à une table de données comprenant les coordonnées bancaires des clients. Choucroute Online sera donc un site de e-commerce qui sécurise vraiment les données de ses clients.
  • « Chacun n’aura que sa part de choucroute » ! Désormais, l’accès aux données sera réservé à des services et prestataires habilités et uniquement dans la mesure de ce dont ils ont besoin. Les données servant aux finalités métiers seront stockées pour cela dans une base dite « active » pendant une durée déterminée.

« Pas de choucroute sans avocats », s’exclamèrent les juristes outrés. Au terme de la durée de conservation, les données ne seront donc pas supprimées mais les équipes métiers n’y ont plus accès. Elles seront archivées dans une base d’archivage intermédiaire. En cas de contentieux, les juristes pourront donc se faire communiquer les données nécessaires par les administrateurs :

  • qui ont conservé ces données dans la même base mais sont désormais les seuls à y accéder ;
  • ou qui ont déplacé ces données dans un serveur distinct de la base active et dont ils sont les seuls à avoir des droits d’accès.
  • Une fois passée les durées de conservation correspondant aux besoins métiers et la période d’archivage des données pendant un délai légal, les données seront supprimées ou anonymisées.

Quelles durées de conservation appliquer ?

Construire une politique de durée de conservation signifie tenir à jour un référentiel.

Pour déterminer des durées pertinentes, vous pourrez vous appuyer notamment sur :

En matière commerciale, votre référentiel inclura les durées suivantes :

Share on social media: 

Ne partez pas si vite ... 

RTB et publicité programmatique - Le framework de l’IAB viole-t-il le RGPD ?

Le dernier rapport de l’Autorité de Protection des Données belge conclut que le framework TCF de l’IAB ne respecte pas le RGPD. Les constats effectués sont accablants. Mais ce n’est qu’un rapport, pas une décision. La procédure de l’APD poursuit donc son cours. Pour les éditeurs de sites web, c’est par contre peut-être le moment de passer au marketing choisi.

Lire la suite

Axeptio a parlé cookies au 28e congrès de l’ACE

Le 15 octobre dernier, Axeptio a participé à un atelier sur les cookies. Ca tombe bien, la CNIL a dernièrement publié ses nouvelles lignes directrices et recommandations. Pour Axeptio, c’était l’occasion de présenter notre philosophie autour de notre module de gestion de cookies.

Lire la suite

Les 5 points incontournables des nouvelles lignes directrices sur les cookies

La CNIL a publié ses nouvelles lignes directrices et recommandations. Le compte à rebours est lancé, vous avez 6 mois pour mettre vos sites web et applications en conformité RGPD. Pas de panique. Pour vous faciliter la tâche, on vous montre les principaux points et on vous fournit la liste des articles must-read de notre blog pour tout savoir et tout comprendre.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.