La team Digiposte | 05/05/2020

Quelles sont les bonnes pratiques en termes de RGPD et d’archivage de données ?

img-rgpd-archivage-donnees

On ne plaisante pas avec les données en entreprise. Le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur dans l’Union européenne.  

Son but ? Protéger la vie privée des citoyens et encadrer le traitement et l’utilisation des données personnelles par les organismes publics et privés.  

Pour s’adapter à cette nouvelle mesure et être conformes aux nouvelles normes RGPD, les entreprises ont dû repenser leur système d’archivage de données. Deux ans après l’entrée en vigueur de ce règlement,  nous vous livrons les bonnes pratiques en termes de recueil et d’utilisation des données personnelles récoltées. 

 


RGPD, entreprises et données personnelles : petit rappel 

 

D’après la CNIL, une donnée personnelle est une information qui permet d’identifier une personne physique, de façon directe ou indirecte. Une personne peut être identifiée à partir d’une donnée spécifique ou d’un croisement de données : nom, numéro de téléphone, e-mail, adresse postale, date de naissance, numéro de sécurité sociale…  

Entreprises, sous-traitants, administrations, tous détiennent des données sur leurs clients ou collaborateurs, et sont ainsi soumises au respect du RGPD. Le règlement s’applique à tout traitement de données personnelles, sensibles ou non.  

Ces traitements concernent l’enregistrement, la collecte, la conservation, la modification, la consultation, mais aussi l’archivage et la destruction de données. 

 

 

Entreprises : de la collecte à l’archivage, comment être conforme au RGPD ? 

 

Une entreprise peut collecter des données personnelles seulement si l’utilité à l’activité de l’entreprise est prouvée.  

Ces données ne sont accessibles que le temps nécessaire à l’atteinte d’un objectif.  

N’oubliez pas : pendant toute la durée du traitement, le propriétaire des données a un droit d’accès (Article 15 du RGPD) l’autorisant à demander à tout organisme s'il détient des données sur lui (site web, magasin, banque...) et à en vérifier le contenu.  

Une fois la finalité atteinte, les données doivent être effacées, ou anonymisées, ou archivées. 

La CNIL différencie à ce sujet 3 catégories d’archives :  

  • La base active : ce sont les archives courantes, nécessaires à l’activité de l’entreprise.  

  • Les archives intermédiaires : ce sont les données conservées pour une durée plus longue, avec un accès restreint avant leur suppression.  

  • Les archives définitives : ce sont les données qui doivent être archivées dans le temps, sans destruction prévue. Les raisons peuvent relever de l’intérêt scientifique, historique ou statistique. Ces archives sont conservées sur des supports indépendants, par des services d’archives territoriaux.

 

 

Archivage de données et RGPD : 3 points clés à respecter

 

D’après la CNIL, l’archivage des données collectées doit être : 

  • Sélectif : seules les données nécessaires à l’activité de l’entreprise doivent être conservées.  

  • Limité dans le temps : pour être conforme au RGPD, il est essentiel de respecter les durées de conservation des données. Celle-ci dépend de la nature des données et des obligations légales en vigueur. Par exemple, les données relatives à la gestion de la paie doivent être conservées durant 5 ans maximum (d’après la CNIL) ! 

  • Sécurisé : lorsque les archives sont conservées au format papier, l’entreprise doit pouvoir protéger leur accès, tracer la consultation et faciliter la destruction en temps et en heure. Pour les archives numériques, la règle est la même ! Des mesures de sécurité informatique renforcées doivent être mises en place.  

Pour garantir la sécurité, la confidentialité et l’intégrité des documents dématérialisés transmis à vos salariés, avez-vous pensé au coffre-fort numérique ?  

Le CFN n’est autre que l’évolution de l’archivage numérique. Par exemple, pour archiver et partager les fiches de paie des collaborateurs, un coffre-fort numérique peut être utile. Il garantit un espace d’archivage à valeur probante, un accès restreint et une gestion des documents automatisée.  

 

 

Archives et droit à l’effacement : comment agir ? 

 

Vous connaissez désormais les bonnes pratiques pour être conforme au RGPD en matière de collecte et d’archivage de données. Mais comment agir lorsque le cycle de vie des archives touche à sa fin ?  

Ce cycle de vie prend fin lors de la destruction des archives. Pour être en conformité avec le règlement général de protection des données à caractère personnel, des exigences sont à respecter.  

L’article 17 du RGPD stipule que « la personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais ».  C’est ce que l’on appelle, le droit à l’oubli. Il a aussi un droit à la portabilité des données (Article 20 du RGPD), lui permettant de récupérer facilement ses données personnelles dans un format lisible par machine, afin de les exploiter lui-même ou de les transmettre à un autre responsable de traitement de données.  

La destruction des documents peut donc avoir lieu soit sur demande de la personne concernée, soit lorsque la limite de la durée de conservation a été atteinte.  

Voici deux conseils à suivre lors de cette étape :  

  • Attention à ne pas vous précipiter ! Vous disposez d’un délai d’un mois, qui peut être prolongé à deux mois si la demande est complexe ou concerne de nombreuses données. 

  • Le respect du RGPD doit aussi tenir compte des exigences de la Loi informatique et libertés et du Code du travail : par exemple, toute entreprise doit stocker les bulletins de paie pendant 5 ans. Vos salariés doivent pouvoir accéder à leurs fiches de paie pendant 50 ans.   

Que ce soit pour la collecte, l’archivage et la destruction des données personnelles : en entreprise, le respect du RGPD est un véritable devoir de transparence.  
 

Chez Digiposte, les documents et données de vos salariés sont conservés dans un espace numérique personnel, sécurisé et en conformité avec le Règlement Général de Protection des Données. Ils peuvent également récupérer à tout moment les documents présents dans leur coffre pour les stocker dans une autre solution.  Vous voulez en savoir plus ?