Conservation des données personnelles : non-respect dans les entreprises
Plus de deux ans après l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), de nombreuses questions subsistent quant au principe de limitation de la durée de conservation établi à l’article 5.1.e) du RGPD, car de nombreuses entreprises hésitent à définir des protocoles de suppression des données personnelles des clients et/ou des employés.
De même que de nombreuses entreprises ont opté pour la suppression immédiate des données une fois la relation avec l’intéressé terminée par crainte des lourdes sanctions imposées par la nouvelle réglementation, beaucoup d’autres, soit par ignorance, soit par peur de se retrouver sans l’un de leurs actifs les plus importants comme, aujourd’hui, données personnelles, choisissez de conserver ces informations pour une durée indéterminée.
Cependant, aucun des deux extrêmes n’est correct. Les deux Le RGPD comme le Loi Organique sur la Protection des Données et la Garantie des Droits Numériques (LOPDGDD) établir que les données à caractère personnel doivent être conservées de manière à ce que les personnes concernées ne puissent pas s’identifier plus longtemps que nécessaire, c’est-à-dire que les données ne peuvent être conservées qu’aussi longtemps qu’elles sont nécessaires à la finalité indiquée et, à la fin de cette période, pendant les délais de prescription légaux, c’est-à-dire les délais fixés par la loi pendant lesquels la personne concernée peut intenter une action en justice ; Ils doivent également avoir informé l’intéressé de la durée de conservation que l’entreprise a fixée pour le traitement en question dans la mesure du possible.
Les données ne peuvent être conservées qu’aussi longtemps qu’elles sont nécessaires à la finalité indiquée.
Par conséquent, la suppression immédiate des données peut signifier le non-respect d’autres obligations fiscales ou d’entreprise, puisque, en cas d’exigence ou d’inspection par l’autorité, les entreprises doivent disposer des informations demandées.
En outre, le fait de conserver indéfiniment des données personnelles constitue également une violation du RGPD. À titre d’exemple, l’Agence danoise de protection des données a infligé une amende de 1,5 million de couronnes danoises (200 000 euros) à une entreprise de meubles pour ne pas avoir supprimé les données de ses anciens clients, qu’elle n’avait plus besoin de conserver dans ses systèmes.
Lors d’une inspection de la société susmentionnée, l’une des questions était de savoir si la société avait établi des protocoles de conservation des données qui déterminent quand procéder à la suppression des données des clients et s’ils étaient effectivement respectés. Cependant, il a été détecté que ces données étaient toujours conservées sur l’ancien serveur et que l’entreprise ne disposait pas non plus d’un protocole de suppression des données.
De même, il y a également eu la première sanction en Allemagne à l’encontre d’une société immobilière pour avoir conservé de la documentation contenant des données personnelles « pour toujours » parce que la société concernée a conservé les informations et la documentation sans aucune limite de temps. L’amende infligée s’élève à un montant de 14,5 millions d’euros, car des données personnelles ont été détectées dans la société immobilière qui a cessé d’être pertinente il y a des années et qui fournissait des informations sur des aspects tels que les salaires, les extraits de contrats de travail, les données fiscales, les relevés de compte bancaire, l’assurance maladie, la sécurité sociale, etc.
En fondant ce principe sur un cas spécifique, on retrouve par exemple la détermination de la durée de conservation des CV. Certaines entreprises ne sont pas conscientes des obligations décrites ci-dessus et choisissent soit de supprimer les données du CV à la fin du processus de sélection, soit de les conserver pendant un grand nombre d’années, en gardant au final une quantité infinie d’informations personnelles qui deviennent obsolètes à court terme. Bien qu’il n’y ait pas de délai de prescription légal lors de l’établissement de la durée de conservation des données curriculaires, il est recommandé de conserver ces informations pendant une durée maximale de 2 ans à compter de la réception du CV.
La solution qui découle des dispositions du Règlement Général est le blocage et/ou l’anonymisation des données personnelles.
Si le blocage est choisi, la conséquence est que personne ne pourra accéder au traitement de ces données, tandis que si l’anonymisation des données est optée, cela signifie qu’elles ne sont plus considérées comme des données personnelles, car à travers l’anonymisation, il s’agit d’éliminer les possibilités d’identifier une personne. De même, une autre solution possible est la pseudonymisation. L’objectif est de traiter les données à caractère personnel sans les données permettant d’identifier la personne concernée, mais sans supprimer le lien entre les données, c’est-à-dire en inversant le processus. Un exemple de pseudonymisation serait le remplacement du prénom et du nom d’un client par des chiffres ou des codes.
En conclusion, les entreprises peuvent conserver les données personnelles des clients et des employés après la fin de la relation commerciale ou d’emploi, à condition que la confidentialité des données personnelles soit garantie par les mesures de sécurité nécessaires, et jusqu’à ce que l’obligation légale dont une responsabilité peut découler prenne fin.
Chez GlobalSuite Solutions, nous avons plus de 15 ans d’expérience dans la protection des données personnelles et la sécurité de l’information. Nos équipes de conseil spécialisées offrent les conseils et l’accompagnement nécessaires pour aider les entreprises à définir des protocoles de conservation des données personnelles corrects et ainsi être en mesure de se conformer aux exigences du RGPD et de la LOPDGDD
