Actualité rentabilite-gestion

Archivage des données : quelle durée ?

Publié le 11/12/2016 - Modifié le 13/12/2016

Archivage des données : quelle durée ?

De nouvelles règles européennes imposent de fixer, dès l’origine, la date de fin de vie des données personnelles : une nouvelle zone de risque pour les entreprises.

Quel est le contexte de cette nouvelle obligation ?

 
Il s’agit du GDPR (General Data Protection Regulation), un règlement général sur la protection des données au sein de l’UE. Adoptée en avril de cette année, cette directive doit entrer en application en mai 2018.
Ce nouveau règlement repose sur le droit fondamental, pour chaque citoyen, à la protection de sa vie privée. 
Il s’appliquera à toute entreprise qui collecte, traite et stocke des données dont l’utilisation peut, directement ou indirectement, permettre d’identifier une personne.
La notion d’identification indirecte n’est pas à négliger. Elle induit que si une entreprise ne peut directement déterminer l’identité d’un individu à partir de données collectées, un tiers est potentiellement capable de le faire.
 

A qui s’appliquera-t-elle ?

 
Comme toujours, une disposition prise à l’échelle européenne dans le but de simplifier, harmoniser ou renforcer des protections essentielles pour les individus, est génératrice de nouvelles contraintes pour les entreprises.
Et dans le cas du GDPR, ces obligations vaudront aussi pour les associations, les collectivités, les administrations et même les syndicats professionnels et syndicats de salariés.
Car les données personnelles ne concernent pas seulement les usagers, clients, prospects, visiteurs de sites … d’une entreprise ou d’un organisme mais aussi les salariés, les agents, les adhérents, les partenaires, les fournisseurs, …
Autrement dit, à l’ère du numérique, où les données sont stockées sur des terminaux, des serveurs, ou tracées dans des échanges électroniques de courriels ou toute autre forme, même non personnalisée, aucune organisation ni entreprise ne pourra échapper à cette nouvelle réglementation.
 

Quelles sont les obligations pour les entreprises ?

 
A ce jour, toute entreprise est tenue de pouvoir prouver qu’elle a préalablement informé les individus quant à la collecte et à l’usage de leurs données, et a obtenu leur consentement formel (ce principe est généralement connu sous l’appellation « opt in » par opposition à l’« opt out »).
La mise en place du GDPR viendra préciser un certain nombre d’obligations, déjà existantes partiellement en France, et y ajoutera en particulier une obligation nouvelle.
En effet, l’article 23 du texte prévoit que les durées de conservation de tout type d’informations (des e-mails aux messages instantanés via les réseaux sociaux et aux propositions commerciales et contrats ou candidatures à un emploi), soient déterminées à compter de leur date de création.
En conséquence, toute entreprise, quelle que soit sa taille, doit à partir de 2018 pouvoir prouver que chaque information collectée ou créée est assortie d’une date de fin de vie.
C’est dire le travail d’inventaire que les entreprises vont devoir mener pour faire le point sur les données qu’elles détiennent, sur l’endroit où ces informations sont stockées et accessibles et sur quelle durée elles sont autorisées à les conserver.
 

Où en sont les PME aujourd’hui ?

 
En France comme ailleurs au sein de l’UE, les PME appliquent un stockage précautionneux des informations, sans forcément de lien avec une durée d’archivage.
Que ce soit pour un usage éventuel futur ou pour être certaines de pouvoir répondre à une sollicitation administrative ou judiciaire, les entreprises conservent « sagement » et indifféremment leurs archives.
Il en résulte, selon une étude réalisée récemment par un spécialiste du « big data », que 41% des PME interrogées sont en situation de risque par rapport à la future réglementation en application du GDPR.
Précisons que l’étude en question n’a porté que sur les PME de 250 à 2 500 salariés. 
Dès lors qui peut dire où en sont les plus petites entreprises sur le sujet ?
Par ailleurs, ce que l’étude ne révèle pas, c’est  le niveau de partage sur le sujet dans les entreprises.
En effet, dans une organisation d’importance moyenne, ce sont différents métiers qui sont impactés car susceptibles de collecter ou traiter des données personnelles : RH, fonction commerciale et marketing, communication, SAV, services techniques, … Cette nouvelle gestion des données dépasse très largement le strict cadre du dirigeant ou du responsable des systèmes d’information.
 
Pour vous aider à approfondir le sujet, en attendant que les nouvelles directives soient précisées au plan national pour 2018, l’organe compétent en France, en l’occurrence la CNIL (Commission nationale de l’informatique et des libertés), vous propose sur son site un certain nombre d’informations utiles pour limiter la conservation des données.
 


Vous avez une question ? N'hésitez-pas à nous contacter.
Nos conseillers sont à votre disposition pour répondre à vos demandes.

Cliquez ici