La loi sur la protection des données au Royaume-Uni a changé à la suite du Brexit. Vous pouvez trouver les derniers conseils ici.
En vertu du Règlement Général sur la Protection des Données (RGPD), les organisations doivent créer une politique de conservation des données pour les aider à gérer la manière dont elles traitent les informations personnelles.
Si vous conservez des données sensibles trop longtemps – même si elles sont conservées en toute sécurité et ne sont pas utilisées à mauvais escient – vous risquez toujours de violer les exigences du Règlement.
Cela peut sembler trop strict, mais il y a une bonne raison à cela. Dans ce blog, nous expliquons pourquoi c’est le cas, comment fonctionnent les politiques de conservation des données et comment vous pouvez en créer une conformément aux exigences du RGPD.
- Qu’est-ce qu’une politique de conservation des données ?
- Buts et objectifs
- Combien de temps les données personnelles peuvent-elles être conservées ?
- Que faire des données après la période de conservation
- Comment créer une politique de conservation des données
- Essayez notre modèle de politique de conservation des données
Qu’est-ce qu’une politique de conservation des données ?
Une politique de conservation des données est un ensemble de lignes directrices qui aident les organisations à savoir combien de temps les informations doivent être conservées et comment les éliminer lorsqu’elles ne sont plus nécessaires.
La politique doit également indiquer la finalité du traitement des données à caractère personnel. Cela garantit que vous disposez d’une preuve documentée justifiant les périodes de conservation et de suppression de vos données.
Buts et objectifs
Si vous revenez à la panique qui a précédé l’entrée en vigueur du RGPD, vous comprendrez parfaitement pourquoi les périodes de conservation des données sont essentielles.
Les organisations qui n’avaient pas interagi avec nous depuis des années sont sorties des bois pour demander notre consentement pour conserver nos données.
Il a montré à quelle fréquence nos enregistrements se trouvent dans les bases de données de l’organisation longtemps après que nous ayons fini d’utiliser leurs services.
L’organisation ne veut pas se débarrasser des informations, car il ne coûte pratiquement rien de stocker les informations des clients, mais les conserver l’expose inutilement à des menaces de sécurité.
Il suffit d’un seul coup de malchance pour que les systèmes d’une organisation soient violés, qu’il s’agisse d’une cyberattaque ou d’une erreur interne.
Ainsi, pour limiter les dommages que peuvent causer les violations de données, les régulateurs ont exigé que les organisations basées dans l’UE ne conservent les données personnelles que s’il existe une raison légitime de les conserver.
Combien de temps les données personnelles peuvent-elles être conservées ?
Malgré la rigueur apparente des périodes de conservation des données du RGPD, il n’existe aucune règle sur la limitation de la conservation.
Les organisations peuvent plutôt fixer leurs propres délais en fonction des motifs qu’elles jugent appropriés. La seule exigence est que l’organisation documente et justifie les raisons pour lesquelles elle a fixé le délai dont elle dispose.
La décision doit reposer sur deux facteurs clés : la finalité du traitement des données et les éventuelles exigences réglementaires ou légales pour les conserver.
Les données ne doivent pas être conservées plus longtemps que nécessaire et ne doivent pas être conservées « au cas où » vous en auriez besoin à l’avenir.
Tant que l’une de vos finalités s’applique toujours, vous pouvez continuer à stocker les données.
Vous devez également tenir compte de vos exigences légales et réglementaires en matière de conservation des données. Par exemple, lorsque les données sont soumises à des impôts et à des audits, ou pour se conformer à des normes définies, il y aura des directives de conservation des données que vous devez suivre.
Vous pouvez planifier la façon dont vos données seront utilisées et si elles seront nécessaires pour une utilisation future en créant une carte de flux de données. Ce processus est également utile pour localiser les données et les supprimer une fois votre période de conservation expirée.
Il existe deux façons d’éviter les délais de conservation des données. La première consiste à anonymiser les données; cela signifie que les informations ne peuvent pas être connectées à une personne concernée identifiable.
Si vos données sont anonymisées, le RGPD vous permet de les conserver aussi longtemps que vous le souhaitez.
Vous devez cependant faire attention lorsque vous faites cela. Si les informations peuvent être utilisées avec d’autres informations que l’organisation détient pour identifier une personne, elles ne sont pas suffisamment anonymisées.
Vous pouvez également contourner les délais de conservation des données si les informations sont conservées à des fins d’archivage dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.
Que faire des données après la période de conservation
Lorsque le délai de conservation des données expire, deux options s’offrent à vous : les supprimer ou les anonymiser.
Si vous choisissez de supprimer les données, vous devez vous assurer que toutes les copies ont été supprimées. Pour ce faire, vous devrez savoir où les données sont stockées. S’agit-il d’un fichier numérique, d’une copie papier ou des deux ?
Il est facile d’effacer des données papier, mais les données numériques laissent souvent une trace et les copies peuvent résider dans des serveurs de fichiers et des bases de données oubliés.
Pour vous conformer au RGPD, vous devrez mettre les données » hors d’usage « . Toutes les copies des données doivent être supprimées des systèmes en direct et de sauvegarde.
Comment créer une politique de conservation des données
Votre politique de conservation des données doit faire partie de votre processus global de documentation sur la sécurité de l’information.
La première étape consiste à obtenir une image complète des données que vous traitez exactement, à quoi elles servent et à quelles réglementations s’appliquent à votre entreprise.
Ces réglementations incluent, sans nécessairement s’y limiter, le RGPD. Par exemple, si vous traitez les informations de carte de débit ou de crédit des individus, vous pouvez être soumis à la norme PCI DSS (Payment Card Industry Data Security Standard).
De même, si vous avez l’intention de vous conformer à la norme ISO 27001, la norme internationale qui décrit les meilleures pratiques en matière de sécurité de l’information, vous devez prendre note de ses exigences.
Ces exigences de conformité dicteront les informations à inclure dans votre politique et les règles à suivre.
Une politique de conservation des données simple traitera:
- Les types d’informations couverts par la politique
Différents types d’informations seront soumis à des règles différentes, vous devez donc conserver une trace des données que vous traitez – qu’il s’agisse de noms, d’adresses, de coordonnées, de dossiers financiers, etc.
- Combien de temps vous avez le droit de conserver les informations
Les clients sont parfois surpris lorsque nous leur disons que le RGPD ne fixe pas de délais spécifiques pour la conservation des données. La durée pendant laquelle vous détenez des données particulières est une décision subjective que vous devez prendre en fonction des raisons pour lesquelles vous traitez les données.
- Ce que vous devez faire avec les données lorsqu’elles ne sont plus nécessaires
La suppression régulière de données inutiles réduit également la quantité de données que vous devez passer au crible pour répondre aux demandes d’accès de la personne concernée. Il réduit également les coûts de stockage et de gestion des documents.
Passer régulièrement par votre politique de conservation des données vous permet de nettoyer et de supprimer les fichiers dupliqués et obsolètes pour éviter toute confusion et accélérer les recherches nécessaires.
Essayez notre modèle de politique de conservation des données
Créer une politique de conservation des données peut sembler une tâche ardue, mais avec notre boîte à outils GDPR, le processus est simple.
Il contient tout ce dont vous avez besoin pour vous conformer au Règlement, y compris un modèle de politique de conservation des données GDPR que les organisations britanniques peuvent utiliser pour formaliser votre approche de la conformité tout en économisant du temps et de l’argent.
Cette boîte à outils contient également:
- Un outil d’analyse des lacunes que vous pouvez utiliser pour mesurer vos pratiques globales de conformité ;
- Des conseils sur la façon de remplir vos exigences en matière de documentation, avec des modèles sur la pseudonymisation, la minimisation et le cryptage, pour n’en nommer que quelques-uns;
- Une matrice des rôles et responsabilités pour vous aider à comprendre qui supervise certaines tâches et fonctions.
Une version de ce blog a été initialement publiée le 12 novembre 2018.