Quelles données client a-t-on le droit de conserver ?

Le dossier client contient le nom du client, ses coordonnées complètes, son état civil, sa situation économique et financière et des informations sur ses moyens de paiement. Il peut être physique ou numérique. Il peut s'agir d'un fichier Excel, d'un dossier contenant des données clients, d'un logiciel ou d'un service en ligne qui stocke des données. Le RGPD réglemente l'utilisation des fichiers non seulement pour les clients mais aussi pour les employés et les fournisseurs.

Quand une entreprise est-elle considérée comme traitant des données à caractère personnel ?

Il y a traitement de données à caractère personnel lorsque des fichiers nominatifs et des données connexes sont collectés, stockés ou utilisés. Le RGPD aborde la notion de " périmètre " du traitement, sans toutefois en donner une définition précise : le périmètre est défini par le nombre de personnes et de zones géographiques, la quantité de données stockées par personne, la durée du traitement des variables qui doivent être conservées en proportion de la taille de l'entreprise qui les traite. À la notion de taille s'ajoute celle de la sensibilité : plus les données personnelles sont sensibles (données de santé, coordonnées bancaires, opinions politiques, orientation sexuelle, etc.), plus la protection que l'entreprise doit assurer est rigoureuse.

Le temps de conservation des données personnelles

Les données personnelles ne peuvent être conservées indéfiniment. Selon le règlement sur la protection des données, les données doivent être conservées pendant une période "proportionnée". Pour chaque fichier stocké, il faut se poser la question de savoir combien de temps il doit être conservé pour la finalité pour laquelle il est utilisé. Si les données ont été collectées pendant un jeu, la période proportionnelle peut être la fin du jeu ou la durée du contrat commercial avec le client plus le délai de prescription légal.

Les données passent par trois étapes, appelées "cycle de vie des données" :

  • La conservation active, qui correspond à la durée nécessaire pour atteindre l'objectif de la collecte de données. Par exemple, le service des ressources humaines d'une entreprise peut conserver les données d'un candidat pendant deux ans (sauf si le candidat demande que les données soient supprimées). Cela permettra de créer une base de données de candidats pour les futures campagnes de recrutement et les données resteront disponibles pendant cette période.
  • Archivage temporaire : lorsque les données ne sont plus utilisées mais qu'elles servent l'intérêt administratif de l'organisation ou doivent être conservées pour des obligations légales. Par exemple, les données de facturation doivent être conservées pendant 10 ans, même si la personne concernée n'est plus un client (selon le code du commerce). Pendant cette période, les personnes autorisées peuvent avoir un accès temporaire à ces données.
  • Archivage permanent : pas de limite de temps, cela ne s'applique qu'aux données collectées pour un intérêt public ou historique, c'est-à-dire les données collectées principalement dans le secteur public, qui sont couvertes par les dispositions de la loi sur la protection du patrimoine culturel.

Comment l'utilisateur donne-t-il son consentement à l'utilisation de ces données ?

Le RGPD exige que les utilisateurs donnent leur consentement explicite et révocable à l'utilisation des données qu'ils fournissent. Vous devez être en mesure de prouver que la personne dont vous utilisez les données a donné son consentement. Le consentement peut être donné, par exemple, en cochant une case sur le formulaire et en indiquant sur ce même formulaire comment retirer son consentement.

En outre, à partir d'octobre 2020, si vous collectez des données de navigation sur votre site web (par le biais de cookies), vous devrez obtenir le consentement de l'utilisateur. Avant d'accepter les cookies, il doit être clairement et explicitement informé de l'utilisation de ses données de navigation (publicité personnalisée, géolocalisation, personnalisation du contenu, etc.) Les utilisateurs doivent pouvoir les rejeter aussi facilement qu'ils peuvent accepter les cookies.