Modèle d'auditGrille d'analyse des durées de conservation
CNILRGPD
Grille d’analyse pour identifier les durées applicables au traitement des données, conformément au guide sur les durées de conservation établi par la CNIL.
Version 1.0
1. Contexte
1.1. Le document, le dossier ou l’applicatif contient-il des données personnelles ?
1.2. Quel est le traitement concerné ?
1.3. Quel est l’objectif (finalité) de ce traitement ?
1.4. Quels sont les éléments qui peuvent être utiles à la détermination de la durée ?
P. ex : présence de données sensibles, environnement juridique ou réglementaire applicable, etc
1.5. Les données relèvent-elles du régime des archives publiques ?
C’est-à-dire des archives produites par une structure publique ou une structure privée chargée d’une mission de service public ?
2. Utilisation courante
2.1. Un texte (législatif ou réglementaire) impose-t-il une durée pour ce traitement ?
2.2. Quel est le périmètre de cette obligation ?
2.3. Quelles sont les données personnelles concernées par cette obligation ?
2.4. Pendant combien de temps doivent-elles être conservées en base active ?
2.5. Est-ce une durée minimale ou maximale ?
2.6. S’agit-il d’une obligation d’effacement ou de
conservation ?
2.7. Jusqu’à quand les données sont-elles nécessaires pour atteindre l’objectif (finalité) fixé ?
2.8. Existe-t-il des préconisations de la CNIL (voir les référentiels de durées) ou des recommandations sectorielles pour ce traitement ?
3. Archivage intermédiaire
3.1. À l’issue de la période d’utilisation courante, un texte législatif ou réglementaire impose-t-il d’archiver ces données ?
3.2. Quelles sont les données personnelles ou catégories de données concernées par cette obligation d’archivage ?
3.3. Quelle est la durée prévue par le texte ?
3.4. Les données présentent-elles un intérêt administratif ou juridique ?
Par exemple : se prémunir d’un contentieux spécifique
3.5. Vous devez procéder à l’anonymisation ou à la destruction de manière sécurisée de toutes les données
Cependant, pour les archives publiques : après l’autorisation de la personne chargée du contrôle scientifique et technique sur les archives
3.6. Quelle est la durée à retenir en fonction de l’objectif de cet archivage et des modalités du traitement ?
3.7. Quelles sont les données pertinentes par rapport à l’objectif justifiant cet archivage ?
3.8. Pendant cette période, quelles seront les personnes spécifiquement habilitées à accéder aux données archivées en base intermédiaire ?
4. Archivage définitif
4.1. À l’issue de l’archivage intermédiaire, les données présentent-elles un intérêt justifiant qu’elles ne fassent l’objet d'aucune destruction conformément aux dispositions du code du patrimoine ?
4.2. Quelles sont les données concernées par cet archivage définitif ?
4.3. Vous devez vous rapprocher du service d’archives territorialement compétent pour le versement obligatoire
4.4. Il faut procéder à la destruction des données après l’obtention de l’autorisation de la personne chargée du contrôle scientifique et technique sur les archives publiques
Créé le:14/04/2021
Mis à jour le :29/07/2024
Licence : © Creative commons :
Attribution / Pas d'utilisation commerciale
CC-BY-NC
Attribution / Pas d'utilisation commerciale
CC-BY-NC
Auteur :