Entré en vigueur le 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données) a pour but de responsabiliser tous les organismes qui utilisent les données personnelles d’une personne résidant dans l’UE. Cette loi s’applique à toutes les sociétés, qu’il s’agisse des PME ou des TPE. Sont considérées comme des données personnelles le nom, la date de naissance, le numéro de sécurité sociale et le RIB des personnes concernées. La non-conformité à cette loi peut engendrer une amende pouvant aller jusqu’à 4 % du chiffre d’affaires d’une société. Si vous collectez les données personnelles de vos visiteurs, vos consommateurs, vos prospects ou de vos salariés, vous devez vous conformer au RGPD. Elles doivent uniquement être utilisées à des fins professionnelles. Ainsi, quelle est la durée légale de leur conservation selon le RGPD ?
Selon l’article 13 RGPD : quelles sont les données sensibles ?
Les données personnelles sont l’ensemble des renseignements recueillis par l’entreprise qui permettent d’identifier une personne physique. Il peut s’agir d’une information directe ou indirecte :
- information directe : c’est un élément qui caractérise spécifiquement un individu comme son nom, son prénom, son numéro CNI, sa date de naissance, son numéro de sécurité sociale, etc ;
- information indirecte : c’est une information moins importante, mais qui permet également d’identifier une personne. On peut citer, par exemple, un numéro de téléphone, un numéro d’identification, etc.
Il faut noter que les clients et les visiteurs doivent être informés des raisons pour lesquelles vous collectez leurs données personnelles. On vous invite à lire cet article pour en savoir plus sur l’article 13 RGPD qui régit l’utilisation des données sensibles.
Comment protéger les données personnelles ?
Le RGPD est une loi rattachée à la responsabilité. Il s’agit d’une obligation de protection des données pour les entreprises. En effet, elles doivent mettre en place des actions, des procédures ainsi que des formalités à respecter par chaque employé. Voici quelques conseils pour que la base de données de votre société soit inaccessible :
- utilisez des antivirus ainsi que des logiciels efficaces et à jour ;
- choisissez des mots de passe complexes, comportant, par exemple, 10 caractères avec des majuscules et des caractères spéciaux. Assurez-vous de les changer régulièrement ;
- mettez en place une mesure de sécurité qui protège les données sensibles comme le cloud ;
- dans le cas où vous achetez un produit ou un service sur un site, choisissez ce dernier minutieusement ;
- tout téléchargement doit être effectué sur des sites sécurisés ;
- utilisez un cloud pour mieux gérer vos données. Il vous permettra d’accéder aux mêmes fichiers et applications depuis n’importe quel appareil.
Combien de temps pouvez-vous conserver les données personnelles ?
Les données recueillies doivent être supprimées quand elles ne sont plus utiles (par exemple, quand un salarié part en retraite, ses informations personnelles peuvent être supprimées de la base de données de l’entreprise). La durée de conservation des données dépend des critères suivants :
Le droit à l’oubli
Si vous n’utilisez pas les données personnelles d’un client depuis plus de 3 ans, vous devez les supprimer de votre base de données. Néanmoins, gardez les informations dans un document d’exclusion, car elles peuvent servir de pièces justificatives pour vos traitements. De plus, comme vous pourrez avoir besoin de ces données pour les statistiques de votre société, les documents de chaque client doivent rester confidentiels.
La demande de consentement
Tous les 13 mois, il est de votre devoir de demander l’approbation des visiteurs de votre site Web pour les traitements de leurs données.
Le droit à la rectification
Vos clients peuvent vous demander de rectifier ou d’effacer leurs données.
Le droit à la restitution
Dans le cas où un client souhaite une restitution de ses données personnelles, la société dispose d’un délai d’un mois pour une demande simple (demande de quelques éléments) et de trois mois pour une demande complexe (demande de l’intégralité des données). Pour les données de santé, les hôpitaux et les médecins disposent de huit jours pour restituer ou supprimer les dossiers. Il est toujours plus judicieux de conserver les documents supprimés sur une base d’opposition pour servir de preuves en cas de contrôle par la CNIL.
D’autres chiffres sont à retenir concernant la conservation des données personnelles
Lorsqu’un candidat n’est pas retenu lors de son entretien d’embauche, la société peut garder ses dossiers pendant deux ans avant de les supprimer. Dans le cas d’un salarié, les données personnelles peuvent être conservées pendant cinq ans, après la rupture du contrat de travail. Ensuite, tous les documents lui appartenant devront être effacés, à savoir son bulletin de paie, ses contrôles horaires et ses autres dossiers. Pour conclure, les données personnelles d’un individu sont confidentielles. Pour ne pas enfreindre la loi RGPD, il est conseillé d’assurer la confidentialité de chaque document. Ainsi, les personnes concernées se sentiront plus en sécurité, ce qui permettra à l’image de soigner son image.