logo-dld-320x160-c-default
logo-dld-320x160-c-default
  • Solutions
    • Solutions
    • DLD RGPD
      • Gérer
        Registre des traitements Analyses d’impact Droits des personnes concernées Incidents et violations de données Référentiels applicatifs & matériels Référentiels de tiers (ST, RTC...) Documentation & accountability
      • Piloter
        Diagnostic de conformité Cartographie des données et des traitements
      • Automatiser
        Analyse des projets & Privacy by Design Questionnaires, évaluations & audits Workflow & interaction avec les métiers
      • Accompagner
        Elearning, sensibilisation & formation RGPD Ressources juridiques, modèles & veille Tutoriels & guides interactifs
    • DLD Sapin II
    • DLD par secteur
      • Banques / Assurances
      • Droit
      • Santé
      • Education
      • Immobilier
      • Secteur Public et Collectivités
      • Recrutement
      • Tourisme / Loisirs
      • PME / TPE
    • Gérer
      Registre des traitements Analyses d’impact Droits des personnes concernées Incidents et violations de données Référentiels applicatifs & matériels Référentiels de tiers (ST, RTC...) Documentation & accountability
    • Piloter
      Diagnostic de conformité Cartographie des données et des traitements
    • Automatiser
      Analyse des projets & Privacy by Design Questionnaires, évaluations & audits Workflow & interaction avec les métiers
    • Accompagner
      Elearning, sensibilisation & formation RGPD Ressources juridiques, modèles & veille Tutoriels & guides interactifs
    • Banques / Assurances
    • Droit
    • Santé
    • Education
    • Immobilier
    • Secteur Public et Collectivités
    • Recrutement
    • Tourisme / Loisirs
    • PME / TPE
  • Clients
  • Partenaires
    • Partenaires
    • Trouver un partenaire
    • Devenir partenaire
  • Ressources
    • Ressources
    • AgendaNouveau
    • InfographiesNouveau
    • Livres blancs
    • Espace presse
    • Dossiers
      • Qu’est-ce que le RGPD ?
      • Définition et missions du DPO
    • Outils
      • Carte des sanctions RGPD
      • Diagnostic RGPDGratuit
      • Baromètre RGPD 5ème éditionNouveau
      • FAQ
    • Qu’est-ce que le RGPD ?
    • Définition et missions du DPO
    • Carte des sanctions RGPD
    • Diagnostic RGPDGratuit
    • Baromètre RGPD 5ème éditionNouveau
    • FAQ
  • Blog
  • L'entreprise
    • L'entreprise
    • A propos
    • Notre équipe
    • Rejoignez-nous !
    • Nos engagements
      • Charte RSE
      • Charte Numérique Responsable
      • Charte Éthique
      • Index égalité femmes/hommes
      • Pro Bono
    • Charte RSE
    • Charte Numérique Responsable
    • Charte Éthique
    • Index égalité femmes/hommes
    • Pro Bono
  • Fr
Demande de démo
    • Connectez-vous à votre espace
    • Avant de vous connecter, partagez votre avis en cliquant ici ! ⭐
  • Fr
Demande de démo

Le cycle de vie d’une donnée personnelle

6 octobre 2022

Accueil //Blog //RGPD //DPO //Le cycle de vie d’une donnée personnelle

Toute donnée à caractère personnel passe par plusieurs étapes, depuis sa collecte jusqu’à sa suppression. On parle du cycle de vie de la donnée qui représente la succession des phases que connaît une donnée ou un ensemble de données. Une donnée relative à une personne ne peut en effet être conservée indéfiniment et une durée de vie doit en principe être définie lors de sa création.

Les étapes du cycle de vie d’une donnée peuvent être interprétées de plusieurs manières. Les obligations qu’impose le RGPD permettent une représentation générale en 4 étapes principales. Toutes les données traitées ne sont pas forcément concernées par toutes ces étapes et cela dépend de plusieurs paramètres liés tant aux traitements concernés qu’aux obligations légales. La conservation des données en base active concerne toutefois tout type de donnée, indépendamment du contexte de son exploitation.

Création

Le cycle de vie d’une donnée prend naissance au moment de sa collecte. Lors de cette étape, plusieurs obligations doivent être respectées, qui conditionnent par la suite la licéité du traitement. Ces obligations dépendent des objectifs de la collecte et des traitements qui seront mis en place. Elles varient également selon la modalité de la collecte.

Il existe en effet deux types de collecte : directe et indirecte. Les exigences à respecter ne sont pas identiques dans ces deux cas. Lorsque les données sont recueillies auprès de la personne concernée, un certain nombre d’informations doivent lui être fournies au moment de l’obtention des données. Ces informations ne sont pas tout à fait identiques lorsque les données sont récupérées auprès d’un tiers. Dans ce cas, la personne concernée doit en plus avoir connaissance des catégories des données et de la source des données. Le moment de fourniture de cette information n’est pas le même dans ces deux cas. Il peut correspondre à un délai raisonnable et au plus tard à un mois après l’obtention des données, au moment de la première communication avec la personne concernée ou encore dans le cas où il est envisagé de transmettre les données à un autre destinataire, concerner le moment où elles sont communiquées pour la première fois.

Traitement

Cette phase correspond à toute opération effectuée sur des données. Il peut s’agir d’une simple utilisation, de leur organisation, ou encore porter sur la transmission à des tiers. Quoi qu’il en soit, un traitement de données doit être licite. Les principes de licéité de l’article 6 du RGPD doivent dès lors être respectées et les mesures permettant de s’y conformer doivent être identifiées et mises en place. Ainsi, les données personnelles ne peuvent être traitées que si l’organisme a le droit de le faire et qu’une base légale a bien été définie pour le traitement concerné. Les autres obligations relatives à la protection des données doivent également être prises en compte à cette étape, dont notamment celles portant sur la transparence, les finalités, les droits des personnes, les mesures techniques et organisationnelles, etc…

Suppression / Anonymisation

Toute donnée personnelle doit avoir une durée de conservation au-delà de laquelle elle doit être, selon le cas, supprimée, anonymisée ou encore archivée. La détermination de cette durée dépend des raisons pour lesquelles la collecte a eu lieu. Cette durée de conservation doit être communiquée à la personne concernée. Ainsi, afin de se conformer au principe de transparence, la personne doit être informée de cette durée lui permettant de choisir en connaissance de cause si elle accepte ou pas de révéler ses données. Dans le cas où cette durée ne peut être déterminée au moment de la collecte, les informations portant sur les éléments pouvant la définir doivent, a minima, être mis à disposition des personnes concernées. Cette durée de conservation doit être respectée et les données ne peuvent être conservées de manière indéfinie. Certains textes de lois fixent une durée de conservation. Mais en l’absence d’une durée légale, le responsable de traitement est tenu de fixer une durée proportionnée au regard de l’objectif et du but poursuivi.

Une fois ce délai passé, le responsable de traitement doit obligatoirement supprimer ou anonymiser les données personnelles. La suppression des données doit se faire manuellement ou de manière automatique. L’anonymisation des données peut être privilégiée dans le cas où le responsable de traitement souhaite réutiliser les données à d’autres fins telles que la recherche. Un véritable processus doit donc être mis en place au sein de l’organisme afin de garantir le respect de ces durées.

Archivage

L’archivage des données intervient une fois la durée de conservation atteinte et que les données présentent un intérêt pour l’organisme. On distingue deux types d’archivage : l’archivage en base intermédiaire et l’archivage définitif.

L’archivage intermédiaire concerne le cas où la conservation des données est pertinente dans le cadre d’un intérêt administratif pour l’organisme ou pour se conformer à une obligation légale. Il permet la conservation des données au-delà de la durée prévue initialement. A titre d’exemple, des données qui peuvent présenter un intérêt en cas de contentieux doivent être archivées. La CNIL recommande ainsi que les documents nécessaires au calcul de l’assiette soient conservés pendant un mois en base active. Un archivage intermédiaire de ces éléments est aussi nécessaire. L’article L243-16 du Code de la sécurité sociale prévoit une durée de conservation de 6 ans pour ces documents. De même, le bulletin de salaire en version papier peut être conservé un mois en base active et pendant 5 ans en archivage intermédiaire.

L’archivage définitif concerne, quant à lui, certaines données qui ne peuvent faire l’objet d’aucune destruction définitive. C’est notamment le cas des données d’intérêt public (historique, scientifique, statistique).

À lire aussi

cnil-vs-saf-logistics

[DÉLIBÉRATION COMMENTÉE] CNIL vs. SAF Logistics, 18 septembre 2023

29 septembre 2023
En savoir plus
rgpd-rediger-politique-cookies

Comment bien rédiger sa politique de cookies

28 septembre 2023
En savoir plus
dld-ia-rgpd-conformite

Data Legal Drive lance son assistante virtuelle IA Zoé

21 septembre 2023
En savoir plus
cnil-vs-saf-logistics

[DÉLIBÉRATION COMMENTÉE] CNIL vs. SAF Logistics, 18…

29 septembre 2023
En savoir plus
rgpd-rediger-politique-cookies

Comment bien rédiger sa politique de cookies

28 septembre 2023
En savoir plus
dld-ia-rgpd-conformite

Data Legal Drive lance son assistante virtuelle…

21 septembre 2023
En savoir plus

Des partenaires exceptionnels

partenaire-institutionnel-dld-afje
partenaire-institutionnel-dld-dalloz
partenaire-institutionnel-dld-afje
partenaire-institutionnel-dld-irc
partenaire-institutionnel-dld-afje
partenaire-institutionnel-dld-numeum
ds-avocats-logo-slide
partenaire-institutionnel-dld-ldpm

Nos trophées & distinctions

meilleure-legaltech-logo-slide
sommet-du-droit-2021-logo-slide
trophee-eurocloud
ey-logo-slide
macaron-trophée-conformité-rgpd-2022
palmarès-du-droit-2022-logo-slide
trophée-du-droi-2022-logo-slide
tech500-logo-slide
sommet-du-droit-2022-mention-spéciale-logo-slide
wavestone-logo-slide
sommet-du-droit-2023-meilleure-legaltech-editeur-logiciels-logo-slide
france-digitale-logo-slide
  • Notre expérience
  • Plus de 3 000 clients
  • 50 pays utilisateurs
  • À propos
  • Qui sommes-nous ?
  • Espace Presse
  • Pro Bono
  • On recrute !
  • Charte RSE
  • Charte éthique
  • Notre offre
  • Logiciel RGPD
  • Logiciel Sapin II
  • Elearning
  • Nos tarifs
  • Partenaires
  • Formation RGPD
  • Nos ressources
  • Le RGPD
  • Le DPO
  • Données personnelles
  • Blog
  • Carte des sanctions RGPD
  • FAQ
Un outil adapté à votre structure
Demander une démo
Des experts en RGPD
Faire le diagnostic

Abonnez-vous à notre newsletter

  • Data Legal Drive collecte et traite vos données personnelles aux fins de (i) répondre à vos demandes de démonstration de nos services, de mise en contact et/ou de (ii) vous faire parvenir des informations sur nos services, notre actualité et la protection des données personnelles. Veuillez prendre connaissance de notre Politique de confidentialité pour plus d'informations sur les traitements de données que nous réalisons et les droits dont vous disposez sur vos données personnelles.

  • Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.
  • Politique de cookies
  • Politique de confidentialité
  • Mentions légales
  • Demande d'exercice de droit