Le RGPD : une mise en conformité nécessaire qui implique une prise de conscience sérieuse
Après l’entrée en vigueur du RGPD, la CNIL a tout d’abord ciblé ses sanctions sur les aspects sécuritaires.
Après une sorte de « tolérance », la durée de conservation des données personnelles prend aujourd’hui beaucoup plus d’importance.
En effet, on ne peut plus conserver ces données indéfiniment.
Le RGPD stipule que les données doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».
Cela signifie que vous ne pouvez pas conserver les données sans limitation et en tout état de cause, sans justification légitime.
Ainsi, conserver des adresses mails d’anciens clients avec qui vous n’avez plus de relations commerciales est parfaitement illégitime !
La question est : savez-vous si vous avez de telles données dans votre système d’information, et si oui, savez-vous les identifier facilement pour les supprimer ?
En juin 2019, la CNIL a rendu publique sa décision concernant la société SERGIC (délibération 2019-005 du 28 mai 2019).
SERGIC est une agence immobilière qui exerce également le métier de syndic, et qui avait créé un portail afin de permettant aux locataires d’uploader les pièces justificatives associées à leur dossier.
Plusieurs manquements au RGPD ont amené la CNIL à condamner SERGIC à une amende de 400 000€.
1- Un problème de sécurité : l’accès aux pièces justificatives des candidats pouvaient être accessibles par n’importe quelle personne suite à de légères modifications de l’URL du portail.
2- Une conservation sans limitation de durée des pièces justificatives transmises qui étaient conservées après l’attribution des logements et au-delà des délais prévus par la loi.
La justification des durées de conservation
Le RGPD et cette sanction ne signifient pas que vous ne pouvez pas conserver les documents contenant des données personnelles ni que vous devez les détruire automatiquement après réception.
En effet, des durées de conservation sont établies par la loi s’agissant de documents juridiques contenant parfois (souvent) des données personnelles, notamment pour apporter les preuves en cas de contentieux ou tout simplement pour faire face à un contrôle administratif du document : le droit fiscal impose par exemple de conserver une facture 6 ans, et le droit commercial 10 ans.
Il ne s’agit donc pas de procéder à une destruction automatique des documents contenant des données personnelles, mais plutôt de pouvoir justifier de la nécessité de cette conservation.
Le RGPD s’intéresse en fait à la collecte, au traitement des données et à la finalité de l’information (le pourquoi).
Archivage électronique et logiciel d’identification des données personnelles : 2 solutions au service du RGPD.
Lors de la mise en place d’un système d’archivage électronique (SAE), vous allez définir une durée de conservation associée à un type de documents.
Vous serez ainsi en mesure de justifier da la durée de conservation des données et de les retrouver très facilement.
Le fait d’externaliser votre SAE auprès d’un prestataire spécialisé et réputé fiable (conformité RGPD garantie), vous permettra également de déléguer la gestion de pus en plus complexe de la sécurité des données.
S’agissant des autres données, nous sommes à même de vous proposer des solutions vous permettant d’identifier rapidement des données personnelles, leur lieu de stockage, et vous offrir la possibilité de les supprimer facilement si nécessaire.
Cela vous permet de renforcer la confiance vis à vis de vos clients et partenaires, et d’optimiser l’espace disque et l’organisation de votre stockage (arborescence).
Certains documents identifiés pour l’archivage contiennent des données personnelles.
Le RGPD vous impose de les maitriser.