Comprendre le RGPD: focus sur le principe de limitation de la conservation des données

Daf-mag.fr Le site des Directeurs Administratifs et Financiers

- Finance durable
- Fonction finance
- RH
- Trésorerie
- Réglementation
- Risques
- BI
- Start-up
- Actualités
- Dossiers
- Daf TV
- Podcasts
- Glossaire
- Méthodo
- Fiches pratiques
- Événements
- Webinars
- Livres blancs

Accueil / Dossiers / Comprendre le RGPD: focus sur le principe de limitation de la conservation des données

Publié par Romain Maillard le 8 févr. 2018 | Mis à jour le 28 mai 2018 à 11:00

Lecture
3 min

Imprimer

2 - Implications opérationnelles

On pourra se poser quatre bonnes questions pour déterminer la durée de conservation pour un traitement donné:

Jusqu'à quand mon organisation a-t-elle vraiment besoin des données pour atteindre l'objectif fixé?
Mon organisation a-t-elle des obligations légales de conserver les données pendant un certain temps?
Mon organisation doit-elle conserver certaines données en vue d'être protégée contre un éventuel contentieux?
Jusqu'à quand puis-je faire valoir ce recours en justice ?

Le mieux est de mener cette réflexion au moment de l'élaboration du registre des traitements. D'abord puisque l'article 30 du RGPD exige que les durées de conservation soient mentionnées au registre. Ensuite, car les "métiers" (qui doivent être impérativement rencontrés lors de cet exercice) sont les mieux placés pour appréhender la durée de vie utile propre à la finalité de chaque traitement.

L'autre question qu'il conviendra de traiter sera plus opérationnelle: quelles sont les règles de suppression des données au sein de mon organisation? En d'autres termes, comment est géré l'effacement des données à l'issue de la durée de vie utile déterminée?

Dans l'idéal, on formalisera une politique de conservation et d'archivage des données pragmatique et exhaustive. Ce document indiquera les personnes impliquées, les fréquences d'effacement, les logiciels utilisés (audités ou certifiés par l'ANSSI tant qu'à faire), etc.

Là encore, il conviendra d'impliquer les opérationnels concernés (exemple: DRH, administration des ventes, etc.) dans l'élaboration de ce document, voire dans le process lui-même (exemple: déclenchement du process de suppression à partir d'un e-mail).

Si chaque traitement a été correctement identifié et qualifié, vous devriez être en capacité de repérer aisément le(s) support(s) sur lesquels les données sont stockées. Cette cartographie facilitera l'application du processus de suppression défini.

L'auteur

Romain Maillard, senior manager au sein du département de BDO France dédié aux activités de conseil. Depuis 2009, il accompagne ses clients dans leur projet de cartographie des risques, dans l'évaluation de leurs procédures de contrôle interne, et intervient sur de nombreux sujets liés à la compliance. Romain apporte également son expertise dans le cadre de la structuration de dispositifs de lutte anti-fraude et conduit des missions d'investigations en exploitant les données comptables et financières. Romain est Certified Fraud Examiner et diplômé de Neoma (ESC Rouen).

Pour aller plus loin:

Comprendre le RGPD : focus sur le principe de coresponsabilité entre le responsable de traitement et le sous-traitant

[Dossier] RGPD: tout savoir sur le règlement européen qui chamboule vos traitements de données

Inscrivez-vous à la Newsletter pour recevoir les dernières actualités

Abonnez-vous à Daf Magazine et accédez à notre contenu Premium !

Soyez les premiers informés des évolutions de votre métier pour mettre en place des stratégies plus efficaces en matière de financements.

Annuel Mensuel