Back to Blog

Comment appliquer des durées de conservation à vos données personnelles ?

Maxime JAILLET

Mettez en place une politique de gestion des durées de conservation de vos données personnelles. Obligation légale de limiter le stockage et l’utilisation au strict nécessaire, c’est aussi un bon moyen de maîtriser votre risque en n’exploitant que des données pertinentes. Nous faisons un saut chez la société Choucroute pour voir comment procéder. C’est notre product news du jour.

Pourquoi définir le cycle de vie des données et appliquer des durées de conservation ?

C’est la fête dans les locaux de la société Choucroute. On y célèbre la mise en production d’un méga data lake qui agrégera toutes les données clients et prospects collectées par chaque service en interne :

  • Profils clients, coordonnées, noms, prénoms, formulaires de lead ou de réclamations ;
  • devis, factures, contrats, bons de commande ;
  • Données de navigation en ligne, suivi en temps réel par la donnée de navigation GPS.

DMP,CDP, CRM…tous les outils du groupe viendront se plugguer sur cette base. Chaque service s’en servira pour ses besoins.

Si vous demandez à un collaborateur si on applique des durées de conservation, on vous répondra que dans la choucroute, tout est bon. On ne jette jamais rien...

Ayant appris qu’il fallait désormais respecter une réglementation RGPD, la société s’est dotée d’un Data Protection Officer. A peine recruté, celui-ci a annoncé, sous les yeux horrifiés de son assistance, qu’on allait purger les données :

  • Parce que c’est la loi. On ne stocke pas des données personnelles pour le plaisir ni parce que ça pourrait un jour servir. On définit un but précis, on utilise les données pendant la période nécessaire puis on les supprime.
  • Parce que si la base de données est un jour hackée, ce sera toujours des données en moins de capturées pour le pirate. Non que notre DPO n’ait pas confiance dans la politique de cybersécurité de son entreprise… mais il vaut mieux limiter les risques.
  • Parce que la durée de conservation des données (qui implique qu’elles sont ensuite supprimées) est une information « publique ». Il faut l’annoncer dans la politique de confidentialité, dans son registre interne des traitements. Et du vivant du DPO, ce qu’on dit, on le fera.
  • Parce que ça évite des réclamations. Si un client demande à faire supprimer ses données, ce n’est pas pour découvrir quelques mois après qu’on les conservait encore.
  • Parce qu’il ne sert à rien de prospecter quelqu’un qui n’aime pas ou plus la choucroute.
  • Parce que c’est bon pour la planète. Chaque donnée stockée entraîne de la consommation d’énergie, de bande passante et des serveurs. Autant conserver le plus utile dans la choucroute.

Comment mettre en œuvre des durées de conservation ?

Chez Choucroute, on avait une image simple d’un data lake. Une vaste piscine, des tuyaux qui amènent des flux de data. Et chacun vient s’y servir.

Muni d’un exemplaire du guide de la CNIL de juillet 2020 sur les durées de conservation, notre DPO a quant à lui souhaité mettre en place un cycle de vie de la donnée. C’est nécessaire pour être en conformité RGPD.

  • Les développeurs ont expliqué au DPO que ce data lake-là était un peu comme une piscine sans le bouchon au fond qui sert à vider l’eau. Il leur a donc demandé de prévoir des routines automatiques de purge des données. Il reviendra la semaine prochaine pour s’assurer qu’ils ont compris la demande...
  • Il a demandé à chaque service interne et chaque prestataire de tout documenter : quels sont les services utilisateurs ? Quelles sont les grandes finalités d’utilisation des données ? Quelles données sont utilisées ?
  • Puis il a pris chaque donnée dans le détail et interrogé les collaborateurs de chaque service. Il voulait tout savoir : telle donnée est-elle utilisée ? Pourquoi ? En quoi est-elle nécessaire ? Combien de temps est-elle conservée ?

Chacun a dû négocier pied à pied le droit de conserver pendant une certaine durée chaque donnée. Forcément, ça a mis un terme à quelques rêves :

  • Certains se voyaient déjà se promener dans les couloirs avec une valise remplie de copies de carte d’identité. Sauf qu’on supprimera désormais les copies une fois l’identité du client vérifiée...
  • Au service marketing, on est fier de notre base de 10 000 prospects. Ca fait 5 ans que personne ne lit les newsletters mais enfin… Forcément, après la purge, 200 contacts, c’est tout de suite moins sexy.
  • Personne ne connaîtra le frisson d’accéder à une table de données comprenant les coordonnées bancaires des clients. Choucroute Online sera donc un site de e-commerce qui sécurise vraiment les données de ses clients.
  • « Chacun n’aura que sa part de choucroute » ! Désormais, l’accès aux données sera réservé à des services et prestataires habilités et uniquement dans la mesure de ce dont ils ont besoin. Les données servant aux finalités métiers seront stockées pour cela dans une base dite « active » pendant une durée déterminée.

« Pas de choucroute sans avocats », s’exclamèrent les juristes outrés. Au terme de la durée de conservation, les données ne seront donc pas supprimées mais les équipes métiers n’y ont plus accès. Elles seront archivées dans une base d’archivage intermédiaire. En cas de contentieux, les juristes pourront donc se faire communiquer les données nécessaires par les administrateurs :

  • qui ont conservé ces données dans la même base mais sont désormais les seuls à y accéder ;
  • ou qui ont déplacé ces données dans un serveur distinct de la base active et dont ils sont les seuls à avoir des droits d’accès.
  • Une fois passée les durées de conservation correspondant aux besoins métiers et la période d’archivage des données pendant un délai légal, les données seront supprimées ou anonymisées.

Quelles durées de conservation appliquer ?

Construire une politique de durée de conservation signifie tenir à jour un référentiel.

Pour déterminer des durées pertinentes, vous pourrez vous appuyer notamment sur :

En matière commerciale, votre référentiel inclura les durées suivantes :

Share on social media: 

Ne partez pas si vite ... 

US – Qu’est-ce que le CCPA et le CPRA et comment s’y conformer grâce à Axeptio ?

Le module d’Axeptio vous permet de déployer une gestion des cookies conforme au CCPA et au CPRA. L’État Californien s’est en effet doté de normes reposant sur l’information du user et un droit à l’opt-out. Pourquoi s’intéresser à nous ? Parce que notre module étant RGPD-friendly, il passe haut la main le stress-test du CCPA. Pour vous, c’est une occasion de rendre fun vos cookies.

Lire la suite

Consentement, bandeau et cookies – La temporisation est la clé

Temporiser le dépôt de vos cookies ? A l’heure de la course aux opt-in perdus, il s’agit de se concentrer sur l’essentiel. En effet, déposer trop tôt vos traceurs signifie collecter de la donnée personnelle sur une audience non pertinente. La temporisation est donc un moyen appréciable de vous recentrer sur les users véritablement engagés...

Lire la suite

Romain Batigne, Aka Roro, rejoint Axeptio

Si les factures reviennent enfin dans le back-office, c'est grâce à lui : Romain Batigne, Aka RORO ! ALors, on s'est dit que c'était une chouette opportunité pour vous le présenter en quelques questions / réponses.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.