Juridique

Quelques liens utiles

Textes légaux

Les entités liées au RGPD

  • CEPD
    https://europa.eu/european-union/about-eu/institutions-bodies/european-data-protection-supervisor_fr

    Le Comité européen de la protection des données (CEPD) est un organe de l’Union ayant remplacé le Groupe de Travail «Article 29» à l’entrée en vigueur du RGPD. Cet organe se compose du chef d’une autorité de contrôle de chaque Etat membre, ainsi que du Contrôleur européen de la protection des données.

    Le CEPD a pour mission principale de veiller à une application stricte et cohérente du RGPD. Il exerce ainsi notamment des missions de contrôle des activités de traitements de données personnelles par l’administration européennes. Il conseille également la Commission européenne et les diverses institutions et organes de l’Union quant à l’application du RGPD. Le CEPD publie à ce titre des lignes directrice, des recommandations et des conseils de bonnes pratiques et collabore en ce sens avec les autorités nationales des pays membres de l’Union concernant tous les aspects du traitement de données à caractère personnel.

  • La CNIL
    https://www.cnil.fr/professionnel

    Crée en 1978, la Commission nationale de l’informatique et des libertés (CNIL) est une autorité administrative indépendante française composée de 18 membres élus et instituée conformément à la Loi informatique et liberté du 6 juin 1978, aujourd’hui modifiée par le texte du 20 juin 2018.

    Sa mission première est d’informer et d’éduquer professionnels et particuliers sur les droits et obligations institués par la Loi informatique et liberté et le RGPD.

    Elle fournit également assistance et protection au personnes physiques dont les données personnelles font l’objet d’un traitement irréguliers. Elle veille en ce sens notamment à faciliter à ces personnes l’accès à leurs données contenues dans des traitements les concernant.

    La CNIL conseille également les autorités et pouvoirs publics dans tout projet gouvernemental concernant la protection des données personnelles.

    Suite à l’entrée en vigueur du RGDP, la CNIL fournit un travail important d’accompagnement et d’aide à la mise en conformité des différents acteurs tant privés que public concernés par le Règlement.

    Conséquemment, la CNIL contrôle et vérifie la correcte application du Règlement. A l’issu de processus de contrôle ou suite à une plainte, elle peut avertir voir sanctionner les responsable de traitement ou sous-traitants méconnaissant la Loi et le RGPD. Elle dispose pour ce faire d’un panel de mesures allant du simple avertissement à l’amende administrative telle que prévue par le RGPD.

  • Le Préposé fédéral suisse à la protection des données et à la transparence
    https://www.edoeb.admin.ch/edoeb/fr/home.html

    Bien que le RGPD ne soit pas directement applicable aux entreprises suisse, certains cas de traitement de données à caractère personnelles peuvent être concernés par le Règlement de sorte que les dispositions pertinentes s'appliquent. Les entreprises suisses peuvent donc être directement concernées.

    Le Préposé fédéral à la protection des données déploie une activité de surveillance et de conseil, tant à destination des organes fédéraux que des personnes privées. Il se prononce également sur les différents projets législatif concernant le traitement de données personnelles, comme la révision en cours de la Loi fédérale sur la protection des données.

    Agissant avant tout en tant que Conseil, le préposé peut toutefois engager, sur demande et en cas de litige, un processus de médiation et rendre ses conclusions dans une recommandation.

  • Le Groupe de travail «Article 29»

    Le Groupe de travail «Article 29» (GT29) est le groupe de travail européen indépendant qui traitait les questions relatives à la protection de la vie privée et aux données à caractère personnel jusqu’au 25 mai 2018. Il a été remplacé, à l’entrée en vigueur du RGPD, par le Comité européen à la protection des données.

    En parallèle du processus législatif ayant conduit à l’adoption du RGPD, le GT29 a publié des lignes directrices clarifiant et illustrant d’exemples concrets le nouveau cadre juridique issu du règlement européen sur la protection des données.

    Les plus importantes de ces lignes directrices sont recensées sur le site de la CNIL et disponibles ci-dessous:

Limitation de la conservation des données et durées légales de conservation

Le RGPD impose à tout responsable de traitement ou sous-traitant de déterminer une durée de conservation des données personnelles traitées, en fonction de l’objectif poursuivi par la collecte. Une fois cet objectif atteint, les données doivent être archivée, supprimée ou anonymisées.

Il appartient donc au responsable du traitement de définir une durée de conservation des données en fonction du but recherché.

Toutefois, dans bon nombre de situation, c’est la loi interne du pays où le traitement sera effectués qui impose et dicte les délais légaux de conservation de certains type de données.

Tour d’horizon des cas de durées légales de conservation les plus souvent imposés:

France


Documents commerciaux
Type de documents Durée légale de conservation Base légale
Tous documents contractuels, conventions conclus dans le cadre d’une relation ou correspondance commerciale 5 ans Article L.110-4 du code de commerce
Déclarations en douane 3 ans Article 16 du règlement européen n°2913/92 du Conseil du 12 octobre 1992
Garanties pour les biens ou services fournis au consommateur 2 ans Article L.218-2 du code de la consommation
Polices d’assurance 2 ans à partir de la résiliation du contrat Article L.114-1 du code des


Documents comptables
Type de documents Durée légale de conservation Base légale
Pièces justificatives : bons de commande, de livraison ou de réception, factures clients et fournisseurs etc. 10 ans à partir de la clôture de l’exercice Article L.123-22 du code de commerce
Livres et registres comptables : livre journal, grand livre, livre d’inventaire etc. 10 ans à partir de la clôture de l’exercice Article L.123-22 du code de commerce


Documents fiscaux
Type de documents Durée légale de conservation Base légale
Impôts sur le revenu et impôts sur les sociétés 6 ans Article L.102 B du livre des procédures fiscales
Bénéfices industriels et commerciaux, bénéfices non commerciaux et bénéfices agricoles en régime réel 6 ans Article L.102 B du livre des procédures fiscales
Impôts sur les sociétés pour l’EIRL, des sociétés à responsabilité limitée (exploitations agricoles, sociétés d’exercice libéral) 6 ans Article L.102 B du livre des procédures fiscales
Impôts directs locaux (taxes foncières, contribution à l’audiovisuel public)  6 ans Article L.102 B du livre des procédures fiscales
Cotisations foncières des entreprises (CFE) et CVAE 6 ans Article L.102 B du livre des procédures fiscales
Taxes sur le chiffre d’affaires (TVA et taxes assimilées, impôt sur les spectacles, taxe sur les conventions d’assurance…)  6 ans  Article L.102 B du livre des procédures fiscales


Documents sociaux
Type de documents Durée légale de conservation Base légale
Statuts d’une société, d’un GIE ou d’une association (le cas échéant, pièce modificative de statuts) 5 ans à partir de la perte de personnalité morale (ou radiation du RCS) Article 2224 du code civil
Compte annuel (bilan, compte de résultat, annexes etc.) 10 ans à partir de la clôture de l’exercice Article L.123-22 du code de commerce
Traité de fusion et autre acte lié au fonctionnement de la société (+ documents de la société absorbée) 5 ans Article 2224 du code civil
Registre de titres nominatifs. Registre des mouvements de titres. Ordre de mouvement. Registre des procès-verbaux d’assemblées et de conseils d’administration. 5 ans à partir de la fin de leur utilisation Article 2224 du code civil
Feuilles de présence et pouvoirs. Rapport du gérant ou du conseil d’administration. Rapport des commissaires aux comptes. 3 derniers exercices Article L.225-117 du code de commerce


Documents de gestion du personnel
Type de documents Durée légale de conservation Base légale
Bulletins de paie (double papier ou sous forme électronique) 5 ans Article L.3243-4 du code du travail
 Registre unique du personnel 5 ans à partir du départ du salarié Article R.1221-26 du code du travail
Documents concernant les contrats de travail, salaires, primes, indemnités, soldes de tout compte, régimes de retraite etc. 5 ans Article 2224 du code civil
Déclarations d’accident du travail auprès de la caisse primaire d’assurance maladie 5 ans Article D.4711-3 du code du travail
Observations ou mises en demeure de l’inspection du travail 5 ans Article D.4711-3 du code du travail
Document relatifs aux charges sociales et à la taxe sur les salaires 3 ans Article L.244-3 du code de la sécurité sociale et Article L.169 A du livre des procédures fiscales
Comptabilisation des jours de travail des salariés sous convention de forfait 3 ans Article D.3171-16 du code du travail
 Comptabilisation des horaires des salariés, des heures d’astreinte et de leur compensation 1 an Article D.3171-16 du code du travail


Documents juridiques
Type de documents Durée légale de conservation Base légale
Contrats d’acquisition ou de cession de biens immobiliers et fonciers 30 ans Article 2227 du code civil
Contrats conclus par voie électronique (uniquement à partir de 120 €) 10 ans à partir de la livraison ou prestation Article L.213-1 du code de la consommation
Documents relatifs à la propriété intellectuelle (dépôt de brevet, marque, dessin et modèle) 5 ans à partir de la fin de la protection Article 2224 du code civil
Dossiers d’un avocat 5 ans à partir de la fin du mandat Article 2225 du code civil
Feuilles de présence et pouvoirs. Rapport du gérant ou du conseil d’administration. Rapports des commissaires aux comptes. 3 ans Article L.225-117 du code de commerce


Documents bancaires
Type de documents Durée légale de conservation Base légale
Les document bancaire (talon de chèque, relevé bancaire…) 5 ans Article L.110-4 du code de commerce


Documents immobiliers
Type de documents Durée légale de conservation Base légale
Contrat d’achat ou de cession d’un immeuble ou d’un terrain 30 ans
Le contrat de bail commercial. Attention, ce délai ne débute qu’à la fin du bail 5 ans

Suisse

N.B. En l’absence de disposition légale spécifique, le délai de conservation conseillé par défaut est de 10 ans.

Documents comptables et commerciaux
Type de documents Durée légale de conservation Base légale
Livres et registres comptables : livre journal, grand livre, livre d’inventaire etc. 10 ans à partir de la clôture de l’exercice Article 958f CO
Pièces justificatives commerciales : bons de commande, de livraison ou de réception, factures clients et fournisseurs ou correspondance commerciale (Attention, concernant l’obligation de conserver la correspondance commerciale, elle n’existe que si celle-ci atteste d’une transaction à l’origine d’une écriture comptable et qu’aucune autre pièce comptable ne justifie de manière équivalente la même transaction. 10 ans à partir de la clôture de l’exercice Article 958f CO
Documents contractuels, conventions conclus dans le cadre d’une relation d’affaire ou commerciale : contrats d’assurance, de prêt, de leasing, de fournisseur etc. N/A
Suggéré 10 ans à partir de la clôture de l’exercice
Article 958f CO par analogie


Documents bancaires
Type de documents Durée légale de conservation Base légale
Tout documents ou correspondance bancaire relatif à une relation commerciale 10 ans Article 958f CO par analogie


Documents fiscaux
Type de documents Durée légale de conservation Base légale
TVA : Livres comptables de l’assujettis et tous documents fiscaux pertinents (correspondances, commandes, factures de fournisseurs, copies des factures de base, contrats de vente, justificatifs de paiement, bons de caisse, dispositions de taxation d’importation et d’exportation, de douane etc.) 10 ans Art. 70 LTVA
Documents commerciaux nécessaires en matière de dégrèvement de l’impôt sur les biens immobiliers 20 ans Art. 70 LTVA


Documents de gestion du personnel
Type de documents Durée légale de conservation Base légale
Dossier du personnel : certificats de salaires, comptabilisation des horaires et jours de travail, contrats de travail, données de l’employé etc.
(Attention si la loi ne prévoit pas de délai légal de conservation concernant les dossiers du personnel d’une entreprise, ceux-ci peuvent contenir des données particulièrement sensibles et doivent veiller à toujours respecter les principes de la Loi fédérale sur la protection des donnée).
N/A
A la fin des rapports de travail, seules les données indispensables peuvent être conservées, notamment en vertu d’une obligation légale. Il en va de même concernant les données dont la conservation est dans l’intérêt de l’employé (par exemple, les documents nécessaires à l’établissement d’un certificat de travail). Les données dont l’employeur a besoin en cas de litige avec l’employé peuvent également être conservées. La durée de conservation généralement suggérée est de 10. Lorsque leur conservation n’est plus requise, les données doivent être détruites.
Documents d’institutions sociales du personnel : cotisation aux assurances accident, chômage, maternité, 2ème pilier, déclaration etc. N/A
Suggéré 10 ans


Documents d’investissement
Type de documents Durée légale de conservation Base légale
Documents de fusion, d’acquisition ou de cession de biens, notamment immobiliers et fonciers N/A
Suggéré 30 ans


Divers
Type de documents Durée légale de conservation Base légale
Dossiers avocats N/A
Suggéré 10 ans depuis le dernier acte du mandat
Article 958f CO par analogie
Dossiers médicaux N/A
Aussi longtemps que le requiert l’intérêt du patient mais suggéré au moins 10 ans
Pas de norme fédérale, dépend du droit cantonal

Le transfert de données hors UE

Le transfert de données à caractère personnelle en dehors de l’Union européenne est aujourd’hui essentiel au bon développement et à l’expansion du commerce et de la coopération internationale.

Le RGPD traite du transfert de données personnelles dans le chapitre V, articles 44 à 50.

Dans les grande lignes, une société ne peut réaliser un transfert de données à caractère personnel, vers l’extérieur de l’Union ou à destination d’une organisation internationale, que si certaines garanties concernant les droits et libertés des personnes concernées sont données.

Ces garanties sont les suivantes:

  1. Une décision d’adéquation de la Commission européenne (art. 45 RGPD): le transfert de données à caractère personnel peut en premier lieu avoir lieu si la Commission européenne a constaté par voie de décision que le pays tiers ou l’organisation internationale en question assure un niveau de protection adéquat. Cet examen du niveau de protection se fonde notamment sur la base de l’examen global de la législation en vigueur du pays en question ainsi que sur l’existence au sein de ce pays d’autorités de contrôle indépendantes. Dès lors que la Commission européenne a pris une telle décision d’adéquation, les transferts vers les pays concernés ne nécessitent pas d’autorisation spécifique préalables. Le traitement doit toutefois respecter toutes les autres dispositions et principes du RGPD.

  2. En l’absence d’une décision d’adéquation, le pays tiers où le transfert est effectué, doit être couvert par la fourniture de «garanties appropriées» (art. 46 RGPD). Ces garanties peuvent prendre plusieurs formes:
    1. des clauses types de protection des données adoptées ou approuvées par la Commission européenne;
    2. un code de conduite ou une certification;
    3. des clauses contractuelles adaptées entre le responsable du traitement/sous-traitant et le destinataire des données à caractère personnel dans le pays tiers, ce sous réserve d’une autorisation par leur autorité de contrôle nationale;
    4. des règles d’entreprise contraignantes (par exemple les Binding Corporate Rule).

À ce titre, la Commission européenne a adopté des «Clauses contractuelles types» ayant pour but d'encadrer les transferts de données personnelles hors de l'Union européenne, facilitant ainsi la tâche des responsables de traitement dans la mise en œuvre de contrats de transfert;

En attendant leur mise à jour prochaine, les «Clauses contractuelles types» de 2004 couvrant le transfert entre deux responsables de traitement, ainsi que celles de 2010 couvrant le transfert entre un responsable de traitement et un sous-traitant peuvent toujours être utilisées.

Ces clauses sont disponibles sur le site de la CNIL:
https://www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne