DASTRA
Français
Français
  • Introduction à Dastra
  • 🇪🇺Rappels utiles
    • Introduction au RGPD
    • Notions clefs du RGPD
      • Donnée personnelle
      • Registre des traitements
      • Analyse d'impact
      • Durées de conservation
      • Droits des personnes
      • Confidentialité dès la conception et par défaut
      • Mesures de sécurité
      • Violations de données
    • Gestion des risques
      • Définition des risques
      • Evaluation d'un risque
      • Risques sous-traitants
  • 👨‍💻Bien commencer
    • Mise en place
      • Les notions importantes
      • Créer et paramétrer un espace de travail
      • Créer et paramétrer les unités organisationnelles
      • Désigner un DPO
      • Ajouter une autorité chef de file
      • Inviter des utilisateurs
      • Gérer les rôles et permissions
      • Créer puis affecter des équipes
      • Questions fréquentes
    • Tutoriel
      • Etape 1 : La mise en place
      • Etape 2 : Cartographier vos traitements de données à caractère personnel et établir le registre
      • Etape 3 : Gérer les risques
      • Etape 4 : Prioriser les actions à mener
      • Etape 5 : Implémenter les processus internes
      • Etape 6 : Documenter la conformité
    • Support
      • L'assistant dastronaute
      • L'aide en ligne
      • Demande de support
      • Le processus de support client
  • ⚙️Les fonctionnalités
    • Tableau de bord
    • Généralités
      • Filtres avancés
      • Importer vos données (Excel, Csv)
      • Gestion des tags
      • Champs personnalisés
      • Assistant IA
      • Modèles email
      • 😇Foire aux questions
      • Discussions internes
    • Cartographie des données
      • Référentiels
    • Registre des traitements
      • Registre "Responsable de traitement"
      • Registre "Sous-traitant"
      • Etablissez votre registre
      • Exporter / importer le registre
      • Utiliser un modèle de traitement
      • Déclarer un traitement
      • Compléter un traitement
        • Général
        • Parties prenantes
        • Finalités
        • Actifs
        • Données et conservation
        • Personnes concernées
        • Droits des personnes
        • Destinataires
          • Transferts de données hors UE
        • Mesures de sécurité
        • Analyse d'impact
        • Documents
        • Récapitulatif
      • Créer des relations entre les traitements
      • Fraicheur des traitements
      • Partager le registre
      • Visualisation des données
        • Visualiser l'arborescence des traitements
        • Visualiser la cartographie des données du registre
        • Visualiser la carte des transferts
      • Questions fréquentes
    • Gestion de documents (GED)
      • Modèles de documents
    • Questionnaires et PIA
      • Créer ou modifier un modèle de questionnaire ou un PIA
        • Créer ou modifier un modèle de PIA
      • Planifier un questionnaire ou un PIA
      • Partager un rapport d'audit ou PIA
      • Supprimer un audit ou un modèle d'audit
      • Questions fréquentes
    • Privacy hubs
      • Créer un Privacy hub
      • Paramétrer votre Privacy hub
        • Page d'accueil et configuration générale
        • Questionnaires
        • Exercice des droits
        • Registre des traitements
        • Documents
        • Organigramme
        • Contacts
        • Sécurité
        • Apparence et design
      • Prévisualiser et partager votre Privacy hub
      • Collecter des projets de traitements, d'incidents, d'actifs ou de contrats
    • Contrats
      • Déclarer un contrat
      • Structure d'un contrat
      • Les documents
      • Les actifs
      • Les signataires
      • Utilisateurs associés
      • Signer le contrat
      • Intégration avec Docusign
      • Versionner le contrat
      • Revue régulière du contrat
      • Modèles de contrats dynamiques
    • Gestion des risques
      • Glossaire
      • Le processus de gestion des risques
        • 1. Identifier
        • 2. Evaluer
        • 3. Maîtriser
        • 4. Contrôler
        • Récapitulons
      • Comparaison Dastra / eBios RM
      • Associer un risque à un traitement
      • Questions fréquentes
    • Planification
      • Créez ou modifier une tâche
      • Créer ou modifier un projet ou une itération
      • Suivre, filtrer ou exporter les tâches
      • Personnaliser le workflow des tâches
      • Synchroniser avec d'autres calendriers
      • Questions fréquentes
    • Exercices des droits
      • Gestion des demandes d'exercices de droits
      • Formulaire de collecte de demandes
      • Intégration technique
      • Intégration de l'API
    • Violations de données
      • Documenter une nouvelle violation de données
      • Exportez vos violations de données
    • Cookies
      • Mise en place de la bannière
        • Etude préliminaire
        • Scannez les cookies déposés sur votre site Web
        • Classifiez les cookies par catégories de consentement
        • Les finalités des cookies
        • Configurez un widget de consentement aux cookies
        • Collectez les preuves de consentement cookies
        • Allez plus loin sur le consentement des cookies
        • En cas d'indisponibilité
      • Intégration technique
        • Fonctionnement de la bannière
        • Démarrage rapide
          • Wordpress
        • Gestion de la langue
        • Tester l'intégration d'un widget
        • Blocage des cookies
          • Blocage des iframes (twitter/youtube...)
          • Google Tag Manager
        • Design avancé
        • Gérer le consentement programmatiquement
        • Identification des utilisateurs
        • Applications mobiles
          • Applications hybrides
          • Applications natives
        • TCF 1.1/2.0
      • Conformité RGAA
      • Dépannage
    • Revue régulière (fraicheur)
    • Rapports personnalisés
      • Intégration dans les outils d'analyse de données (BI)
    • Systèmes d'IA
      • Etablir un registre des Systèmes d'IA
      • Analyse de risque et valeur ajoutée
      • Notice de transparence
      • Le référentiel des modèles d'IA
    • Configuration avancée
      • Rôles et permissions
      • Single Sign On (SSO)
        • SAML 2
        • OpenId
        • ADFS
        • Active Directory (MS Entra)
        • Okta
        • Problèmes connus
      • SCIM
      • Gestion des clés d'API
      • Notifications
      • Adresses emails de collecte
      • Intégrations OneDrive/Google Drive
      • Etapes de processus
      • Webhooks
      • Configuration du SMTP
      • Règles de workflows
      • Modèles de messages
      • Domaines emails
  • PARTENAIRES
    • Portail partenaire
  • 📄La documentation API
    • Liste des endpoints d'API
    • Cas d'usage de l'API
    • Configuration API
    • Authentification
    • API References
    • Intégrations via Zapier
      • Questions fréquentes
  • 🛡️La sécurité
    • Sécurité chez Dastra
    • Authentification forte
    • Qualité de nos services
  • Certifications
  • 🤖DIVERS
    • Foire aux questions
    • Problèmes connus
    • Notes de version
    • Webinaires
Propulsé par GitBook
Sur cette page
  • Définition des durées de conservation
  • Le cycle de vie de la donnée
  • Comment les déterminer ?
  • Où trouver les références ?
  • Qui est impliqué ?
  • Comment contrôler ?
  • Pour aller plus loin

Cet article vous a-t-il été utile ?

  1. Rappels utiles
  2. Notions clefs du RGPD

Durées de conservation

Apprenez ce que sont les durées de conservation.

Dernière mise à jour il y a 3 ans

Cet article vous a-t-il été utile ?

Définition des durées de conservation

Les durées de conservation font partie des principes fondamentaux de la protection des données personnelles.

Le principe de durée limitée de conservation consacre le droit à l’oubli des personnes.

Une obligation issue de l’article 5 du RGPD :

  • Une forme permettant l'identification

    • Les données personnelles peuvent être conservées dans une certaine limite, sous une forme directement ou indirectement identifiante et de façon indéfinie par les organismes.

  • Nécessaire au regard des finalités

    • Les données doivent être traitées pendant une durée limitée, de façon cohérente avec l’objectif poursuivi (autrement dit de la finalité).

Une obligation de documentation dans le registre des activités de traitement prévu à l’article 30 du RPGD

Une obligation d’information destinée aux personnes concernées prévue aux articles 13 et 14 du RGPD

Il est ainsi nécessaire de déterminer :

  • Une durée fixe de conservation, selon le cycle de vie de la vie de la donnée.

  • Un critère objectif utilisé pour déterminer cette durée.

Le cycle de vie de la donnée

Le cycle de vie de la donnée peut se décliner en trois étapes :

Le guide de la CNIL sur les durées de conservation apporte des éclaircissements sur la documentation à apporter sur les durées de conservation :

  • Le registre dans lequel doivent figurer les activités de traitements et les durées de conservation afférentes ;

  • Un document de référence centralisant, par exemple sous forme de tableau, les durées des différentes phases de vie des données pour chaque traitement (les préconisations du SIAF peuvent être reprises le cas échéant dans les tableaux de gestion des archives internes à la structure) ;

  • Les différentes actions entreprises, y compris si ces actions sont toujours en cours ;

  • Les instructions écrites transmises au sous-traitant en matière de durées.

  • Les éventuelles procédures pour l’archivage des données, et notamment en cas de versement obligatoire pour l’archivage définitif des archives publiques (bordereau de versement, etc.) ;

  • La procédure de destruction des données, le cas échéant (par exemple : bordereau d’élimination, etc.) ;

  • La politique de gestion des habilitations et la matrice d’habilitation en cas d’archivage, etc.

Avec Dastra, renseignez les différents cycles de vie de la donnée et adaptez les durées de conservation à chaque jeu de données créé.

Comment les déterminer ?

En appliquant le principe de protection des données dès la conception :

  • Définir avec précision la finalité poursuivie, c’est-à-dire ce à quoi les données personnelles vont servir ;

  • Les différents cycles de la vie de ces données, les durées applicables, ainsi que les données concernées ;

  • Identifier les personnes qui auront besoin de traiter les données lors de l’utilisation courante, et celles en cas d’archivage intermédiaire ; assurer la traçabilité des accès aux données archivées ;

  • Prévoir une procédure de purge automatique et sélective des données (pour les archives publiques, cette purge est soumise à l’autorisation d’élimination du responsable du contrôle scientifique et technique) ;

  • Si un processus d’anonymisation est envisagé, vérifier que les données ne permettront pas de « réidentifier » les personnes concernées à l’issue du processus.

Où trouver les références ?

  • S’appuyer sur les dispositions légales ou réglementaires

  • Les délibérations de la CNIL

  • Pour les archives publiques, les préconisations des archives de France

  • Les références sectorielles

Si aucun texte ou norme n’apporte de solutions, il est nécessaire de déterminer la durée la plus adaptée à la réalisation de la finalité du traitement conformément au principe de responsabilité.

Qui est impliqué ?

  • Le service chargé de la mise en œuvre du traitement (qui peut être un sous-traitant) apportera tous les éléments permettant de comprendre ses besoins et, ainsi, de déterminer la durée d’utilisation courante des données visées ;

  • Le délégué à la protection des données (DPO) est l’interlocuteur privilégié lorsqu’il a été désigné ; il est en effet chargé de veiller à la conformité des traitements mis en œuvre au sein de la structure, ainsi que de conseiller le responsable de traitement ;

  • Le service interne d’archives à la structure ou à la collectivité, le cas échéant, peut éclairer les pratiques en matière de conservation des données pour le traitement concerné (gestion du cycle de vie de la donnée, etc.) ;

  • Un conseil, qu’il soit interne à la structure (par exemple : direction juridique d’une entreprise), ou externe (ex : avocat, entreprise de services du numérique, etc.). Ce dernier peut, en particulier, aider à cibler les éventuelles dispositions législatives ou réglementaires applicables ;

  • La fédération professionnelle à laquelle le responsable de traitement est adhérent, peut fournir un support à son réseau dans la détermination des durées de conservation.

Dans le secteur public (pour les structures publiques et pour les organismes privés chargés d’une mission de service public), les interlocuteurs à privilégier sont le service d’archives départemental territorialement compétent (pour les services déconcentrés et les collectivités territoriales et leurs groupements), ou la mission des archives du ministère de tutelle (pour les services de l’administration centrale). Ces interlocuteurs pourront renseigner la structure sur les obligations qui lui sont applicables, et la guider dans leur mise en œuvre (détermination de la DUA et du sort final).

Comment contrôler ?

L’implémentation pratique des durées de conservation doit être régulièrement vérifiée. Il y a donc nécessité de réaliser des audits réguliers. Le DPO dispose de cette mission de contrôle des traitements incluant les durées de conservation.

Pour cela, la fonctionnalité Audit de Dastra est idéale :

Pour aller plus loin

🇪🇺
Questionnaires et PIA
Données et conservation
Questionnaires et PIA
Planification
Webinar "Durées de conservation : comment les déterminer ?"
Extrait de l'article 5 du RGPD
Extrait de l'article 30 du RGPD
Extrait des articles 13 et 14 du RGPD
Le cycle de vie de la donnée