Combien de temps une entreprise conserve-t-elle des données personnelles ?

Combien de temps une entreprise conserve-t-elle des données personnelles ?

Les données à caractère personnel peuvent être conservées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées et traitées. Plusieurs déclarations du Garant de la protection de la vie privée, en considération de cette hypothèse, ont considéré comme illégal le comportement des entreprises et des sociétés qui ont prolongé la conservation des données personnelles de tiers sans un besoin justifiable.

Découvrez GoPrivacy : le logiciel pour la gestion des nouvelles réalisations de GDPR >>.

Le respect des règles relatives au stockage des données à caractère personnel est un aspect délicat de la gestion d’une entreprise, qui peut exposer son propriétaire à de lourdes amendes en cas de traitement illicite de données à caractère personnel.

Analysons les principales caractéristiques, en s’inspirant d’une situation à laquelle sont confrontés nos juristes, qui concerne le traitement des données de ceux qui, après un premier contact avec les représentants commerciaux d’une entreprise, n’ont pas, dans la pratique, fait l’achat du produit proposé.

Le problème
Chaque année, une entreprise spécialisée dans la vente de logiciels antivirus, présente des mises à jour de produits lors d’une foire nationale, au cours de laquelle – en plus de vendre des produits à un prix réduit – recueille des données des parties prenantes potentielles. Combien de temps ces données peuvent-elles être conservées sans encourir de pénalités ? Surtout, y a-t-il une différence dans le traitement ultérieur des données de qui achète le produit (et sera donc suivi pendant un certain nombre d’années jusqu’à la fin de la garantie offerte) et qui ne l’achète pas ? Pendant combien de temps peuvent être traitées, à des fins de télémarketing, les données de ceux qui n’ont pas acheté le produit ?

Qu’est-ce qu’une donnée personnelle et en quoi consiste son traitement ?
Pour répondre à ces questions, il convient de résumer brièvement les concepts clés de ce sujet, tout d’abord en clarifiant ce qu’est, techniquement, une “donnée personnelle”. Selon le Code de protection de la vie privée, les données personnelles sont des informations qui identifient ou permettent d’identifier une personne physique et qui peuvent fournir des détails sur ses caractéristiques, habitudes, style de vie, relations personnelles, état de santé, situation économique, etc.

La loi parle donc non seulement d’identification, mais aussi d’identifiabilité, circonstance qui se produit dans tous les cas où, à partir des informations contenues dans une donnée apparemment anonyme, il est possible de détecter, directement ou indirectement, un lien quasi univoque entre celle-ci et le sujet auquel elle fait référence, par une utilisation raisonnable des moyens de recherche ou des efforts de déduction.

Dans le sens de la notion de données à caractère personnel, il convient maintenant de préciser en quoi consiste leur traitement. Ce terme désigne toute opération, ou ensemble d’opérations, effectuée sur des données à caractère personnel, telles que leur collecte, enregistrement, modification, traitement, consultation, stockage, destruction, suppression, diffusion, communication, sélection, comparaison, utilisation, etc. En résumé, la notion de traitement des données à caractère personnel englobe toute opération éventuelle effectuée par une entreprise, une entité ou même un autre type d’organisation, qui détient des données à caractère personnel relatives, par exemple, à ses clients ou à des tiers.

Le temps nécessaire au stockage des données personnelles
Cela étant dit clairement, il est possible de répondre aux questions soulevées dans le problème ci-dessus. Conformément à l’article 11, paragraphe 1, lettre e), du code de la vie privée, les données à caractère personnel traitées doivent être conservées sous une forme permettant l’identification de la personne concernée pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles ont été collectées ou traitées ultérieurement.

Par conséquent, toute entreprise, société ou autre type d’entité doit se conformer à cette disposition, en prévoyant sans délai l’annulation ou l’anonymisation des données lorsque le stockage des données personnelles n’est plus justifié.

Dans l’exemple que nous examinons, les données de ceux qui n’ont pas acheté le produit, même s’ils ont eu un contact préalable avec des représentants de l’entreprise, doivent être immédiatement effacées ou traitées de manière anonyme, si leur conservation n’est pas justifiée, sauf si le consentement informé des personnes concernées a été valablement obtenu en rapport avec une activité ultérieure de promotion commerciale ou de recherche marketing.

Dans ce dernier cas, et en ce qui concerne le stockage des données personnelles collectées à des fins de marketing, le Garant s’est exprimé dans certaines déclarations, invitant les entreprises, dans le cadre de leur autonomie organisationnelle, à prévoir une durée prédéterminée. Cette orientation découle de l’intention de concilier le droit à la protection des données personnelles et le droit à la vie privée.