Mettre en place une politique de gestion de la durée de conservation de vos données. C'est une obligation légale de limiter le stockage et l'utilisation au strict nécessaire. Choucroute le fait. Ceci est notre actualité produit.
Pourquoi définir le cycle de vie des données et appliquer des durées de conservation ?
C'est la fête dans les locaux de l'entreprise Choucroute. Ils célèbrent la mise en place d'un méga data lake qui regroupera toutes les données clients et prospects collectées par chaque service interne :
- Profils clients, coordonnées, noms, prénoms, formulaires de prospection ou de réclamation ;
- Devis, factures, contrats, bons de commande ;
- Données de navigation en ligne, suivi en temps réel par les données de navigation GPS.
DMP, CDP, CRM… tous les outils du groupe seront branchés sur cette base de données. Chaque département l'utilisera pour ses besoins.
Si vous demandez à un salarié si des délais de conservation sont appliqués, il vous dira qu'à Choucroute, tout va bien. Rien n'est jamais jeté...
Ayant appris qu'ils devaient se conformer au RGPD , l'entreprise a embauché un délégué à la protection des données . Dès son embauche, il a annoncé à son auditoire horrifié qu'ils allaient purger les données :
- Parce que c'est la loi, les données personnelles ne sont pas stockées pour le plaisir ou parce qu'elles pourraient être utiles un jour. Une finalité précise est définie, les données sont utilisées pendant la durée nécessaire puis supprimées.
- Parce que si jamais la base de données est piratée, il y aura moins de données capturées pour le pirate. Non pas que notre DPO ne fasse pas confiance à la politique de cybersécurité de son entreprise… mais mieux vaut limiter les risques.
- Étant donné que la durée de conservation des données (qui implique qu'elles seront ensuite supprimées) est une information « publique », elle doit être annoncée dans la politique de confidentialité et le registre interne des activités de traitement . Et tant que le DPO est vivant, ce que nous disons, nous le ferons.
- Parce qu'il évite les plaintes si un client demande la suppression de ses données, ce n'est pas pour découvrir quelques mois plus tard qu'elles étaient toujours conservées.
- Car rien ne sert de prospecter quelqu'un qui n'aime pas ou n'aime plus Choucroute.
- Parce que c'est bon pour la planète, chaque donnée stockée nécessite de la consommation d'énergie, de la bande passante et des serveurs. Il vaut mieux ne conserver que les données les plus précieuses dans Choucroute.
Comment mettre en place des durées de conservation ?
À Choucroute, ils avaient une image simple d'un lac de données. Un vaste pool, des tuyaux qui amènent des flux de données. Et chacun vient y puiser ce dont il a besoin.
Muni d'un exemplaire du guide CNIL de juillet 2020 sur les durées de conservation, notre DPO a souhaité mettre en place un cycle de vie des données. Il est nécessaire de se conformer au RGPD.
- Les développeurs ont expliqué au DPO que ce lac de données était un peu comme une piscine sans le bouchon de vidange au fond qui servait à vider l'eau. Il leur a donc demandé de planifier des routines de purge automatique des données. Il reviendra la semaine prochaine pour s'assurer qu'ils ont bien compris la demande...
- Il demande à chaque service interne et à chaque prestataire de tout documenter : quels sont les services utilisateurs ? Quels sont les principaux objectifs d'utilisation des données ? Quelles données sont utilisées ?
- Il a interrogé les employés de chaque département. Il voulait savoir : Est-ce que ces données sont utilisées ? Pourquoi? Combien de temps est-il conservé ?
Chacun devait négocier le droit de conserver chaque donnée pendant une certaine période. Naturellement, cela a mis fin à certains rêves :
- Certains s'imaginaient déjà déambuler dans les couloirs avec une valise pleine de copies de cartes d'identité. Mais désormais, les documents seront supprimés une fois l'identité du client vérifiée…
- Au service marketing, ils sont fiers de leur base de données de 10 000 prospects. Cela fait cinq ans que personne n'a lu les newsletters, mais quand même… Après la purge, 200 contacts ne sont plus aussi sexy.
- Personne ne ressentira le frisson d'accéder à un tableau de données contenant les coordonnées bancaires des clients. Ainsi, Choucroute Online sera un site e-commerce qui sécurise les données de ses clients.
- « Chacun n'aura que sa part de Choucroute » ! Désormais, l'accès aux données sera réservé aux services et prestataires autorisés et uniquement dans la mesure de leurs besoins. Les données utilisées à des fins commerciales seront conservées pendant une durée déterminée.
"Pas de Choucroute sans avocats", se sont exclamés les avocats indignés. Les données ne seront pas supprimées à l'issue de la durée de conservation, mais les équipes métiers n'y auront plus accès. Il sera archivé dans une base d'archives intermédiaire. En cas de litige, les avocats pourront obtenir les données nécessaires auprès des administrateurs :
- qui ont conservé ces données dans la même base de données mais sont désormais les seuls à y accéder ;
- ou qui ont déplacé ces données vers un serveur distinct de la base de données active et sont les seuls à avoir des droits d'accès.
- Passé les durées de conservation correspondant aux besoins de l'entreprise et la durée d'archivage des données pour une durée légale, les données seront supprimées ou anonymisées.
Quelles durées de conservation appliquer ?
Construire une politique de période de conservation signifie maintenir un référentiel à jour.
Pour déterminer les périodes pertinentes, vous pouvez vous baser sur les éléments suivants :
- Les référentiels développés par la CNIL. Il en existe déjà plusieurs : gestion des ressources humaines, secteur santé, relation client , cookie gestion , etc...
- Vos obligations légales (par exemple, concernant la gestion des ressources humaines ou le paiement des cotisations sociales).
