Entré en vigueur le 25 mai 2018, le RGPD impose de nouvelles règles en matière de gestion des données personnelles.

Vous gérez des bases de données comprenant des données personnelles de vos clients, prospects ou contacts. Dans ces bases, vous avez des contacts qui n’ont pas interagi avec vous depuis quelques mois. Que ce soit un achat dans votre boutique, le clic dans un e-mail ou l’ouverture d’un sms, vous n'enregistrez plus d’action de la part de ces contacts.

Rgpd delai et reactivation contacts 670 1

Combien de temps conserver les données personnelles ?

Voici les principaux chiffres à retenir dans le cadre des obligations du Règlement Européen sur la gestion des données personnelles "RGPD" :

  • 36 mois (3 ans) : Vous devez supprimer de votre base de données les données personnelles des personnes inactives depuis 36 mois. C'est le droit à l'oubli. Vous devez de préférence placer ces données dans une base d'exclusion pour pouvoir justifier de vos traitements. Vous pouvez aussi anonymiser ces données et ainsi les utiliser à des fins purement statistiques. 
  • 13 mois : tous les 13 mois, vous devez redemander le consentement des visiteurs de votre site Internet pour le traitement des cookies.
  • 1 mois : Un contact dont vous possédez des données personnelles peut à tout moment vous demander de rectifier, de supprimer ou de lui restituer ses données personnelles. Vous disposez d'un délai d'un mois pour traiter sa demande.
    Vous devez conserver les contacts supprimés dans une base ou liste d'opposition pour ne plus les solliciter dans le futur et pour pouvoir justifier de vos traitements et de votre conformité avec la réglementation. 

Net Hélium a créé un module de gestion des droits personnes permettant de simplifier la gestion de ces demandes et de respecter le délai légal associé.

Ce module propose :
- un formulaire structuré, accessible à partir de votre site Internet,
- l'affectation automatique des demandes aux interlocuteurs désignés chez vous,
- une gestion de chrono pour le délai de traitement
- une base d'opposition pour garder une traçabilité de l'ensemble

Pour en savoir plus sur cette offre, contactez-nous !

Autres exemples de durées légales de conservation des données imposées par la loi :

Le RGPD ne se limite pas à l'univers commercial, à vos clients et prospects. La conservation des données à caractère personnel concerne également les candidats et les collaborateurs de votre entreprise : vous devez veiller à la protection et la confidentialité de leurs données personnelles.

  • 2 ans : Les données sur les candidats non retenus à l'embauche et leur CV doivent être effacés 2 ans après le dernier contact.
  • 5 ans : La conservation des données personnelles des salariés de l'entreprise est limitée à 5 ans après la fin de la relation contractuelle (bulletins de paie, documents relatifs au contrôle des horaires...).

La conservation de données personnelles à but comptable fait elle aussi l'objet d'un durée définie par la loi.

  • 10 ans : La conservation des documents comptables est de 10 ans à compter de la clôture de l'exercice. Il s'agit notamment des livres et registres comptables (livre journal, grand livre, livre d'inventaire...) ainsi que de pièces justificatives (bon de commande, de livraison ou de réception, facture client et fournisseur...).

Des durées de conservation limitées et définies en fonction de la finalité de leur traitement :

Comme vous ne pouvez pas conserver indéfiniment les données personnelles dans vos fichiers et sauf si elle est précisée par un texte, une durée de conservation doit être définie en fonction de l'objectif poursuivi lors de la collecte de ces données. Une fois l'objectif atteint, ces informations doivent être archivées, supprimées ou anonymisées. C'est à vous de définir, selon la nature des données, de leur utilité et du but recherché, la durée de conservation des données. Prenez garde à ce qu'elle ne soit pas excessive par rapport aux raisons pour lesquelles vous les collecter.

Le RGPD impose en effet la tenue d'un registre des traitements afin de pouvoir présenter, sur demande des autorités compétentes, un document intégrant les catégories de données personnelles que vous traitez, des différents traitements de données personnelles que vous réalisez, leurs finalités et objectifs, les acteurs (internes et externes) participant au traitement de ces données et, si ces données sont amenées à quitter l’Union Européenne, les origines et destinations des flux de données.

D'autres ressources sur le sujet

 

Vous souhaitez en savoir plus ?

Discutons du RGPD dans votre entreprise

    Prenez

contact

Restons connectés

Recevez les derniers articles publiés et les bonnes pratiques liées au RGPD.