Juridique
Quelques liens utiles
Textes légaux
-
Le RGPD (Règlement européen 2016/679):
https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679&from=FR -
La Loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés:
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460 -
La Loi no 2018-493 du 20 juin 2018 relative à la protection des données personnelles modifiant la Loi no 78-17
Modification de la loi permettant la mise en œuvre concrète du RGPD dans le cadre légal français
https://www.legifrance.gouv.fr/eli/loi/2018/6/20/JUSC1732261L/jo/texte -
La Loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, version consolidée au 20 août 2018:
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460&dateTexte=20180820 -
La Loi fédérale suisse sur la protection des données
Actuellement en cours de révision, le texte de la nouvelles loi à venir devrait intégrer de nombreuses notions issues du RGPD
https://www.admin.ch/opc/fr/classified-compilation/19920153/index.html
Les entités liées au RGPD
- CEPD
https://europa.eu/european-union/about-eu/institutions-bodies/european-data-protection-supervisor_frLe Comité européen de la protection des données (CEPD) est un organe de l’Union ayant remplacé le Groupe de Travail «Article 29» à l’entrée en vigueur du RGPD. Cet organe se compose du chef d’une autorité de contrôle de chaque Etat membre, ainsi que du Contrôleur européen de la protection des données.
Le CEPD a pour mission principale de veiller à une application stricte et cohérente du RGPD. Il exerce ainsi notamment des missions de contrôle des activités de traitements de données personnelles par l’administration européennes. Il conseille également la Commission européenne et les diverses institutions et organes de l’Union quant à l’application du RGPD. Le CEPD publie à ce titre des lignes directrice, des recommandations et des conseils de bonnes pratiques et collabore en ce sens avec les autorités nationales des pays membres de l’Union concernant tous les aspects du traitement de données à caractère personnel.
- La CNIL
https://www.cnil.fr/professionnelCrée en 1978, la Commission nationale de l’informatique et des libertés (CNIL) est une autorité administrative indépendante française composée de 18 membres élus et instituée conformément à la Loi informatique et liberté du 6 juin 1978, aujourd’hui modifiée par le texte du 20 juin 2018.
Sa mission première est d’informer et d’éduquer professionnels et particuliers sur les droits et obligations institués par la Loi informatique et liberté et le RGPD.
Elle fournit également assistance et protection au personnes physiques dont les données personnelles font l’objet d’un traitement irréguliers. Elle veille en ce sens notamment à faciliter à ces personnes l’accès à leurs données contenues dans des traitements les concernant.
La CNIL conseille également les autorités et pouvoirs publics dans tout projet gouvernemental concernant la protection des données personnelles.
Suite à l’entrée en vigueur du RGDP, la CNIL fournit un travail important d’accompagnement et d’aide à la mise en conformité des différents acteurs tant privés que public concernés par le Règlement.
Conséquemment, la CNIL contrôle et vérifie la correcte application du Règlement. A l’issu de processus de contrôle ou suite à une plainte, elle peut avertir voir sanctionner les responsable de traitement ou sous-traitants méconnaissant la Loi et le RGPD. Elle dispose pour ce faire d’un panel de mesures allant du simple avertissement à l’amende administrative telle que prévue par le RGPD.
- Le Préposé fédéral suisse à la protection des données et à la transparence
https://www.edoeb.admin.ch/edoeb/fr/home.htmlBien que le RGPD ne soit pas directement applicable aux entreprises suisse, certains cas de traitement de données à caractère personnelles peuvent être concernés par le Règlement de sorte que les dispositions pertinentes s'appliquent. Les entreprises suisses peuvent donc être directement concernées.
Le Préposé fédéral à la protection des données déploie une activité de surveillance et de conseil, tant à destination des organes fédéraux que des personnes privées. Il se prononce également sur les différents projets législatif concernant le traitement de données personnelles, comme la révision en cours de la Loi fédérale sur la protection des données.
Agissant avant tout en tant que Conseil, le préposé peut toutefois engager, sur demande et en cas de litige, un processus de médiation et rendre ses conclusions dans une recommandation.
- Le Groupe de travail «Article 29»
Le Groupe de travail «Article 29» (GT29) est le groupe de travail européen indépendant qui traitait les questions relatives à la protection de la vie privée et aux données à caractère personnel jusqu’au 25 mai 2018. Il a été remplacé, à l’entrée en vigueur du RGPD, par le Comité européen à la protection des données.
En parallèle du processus législatif ayant conduit à l’adoption du RGPD, le GT29 a publié des lignes directrices clarifiant et illustrant d’exemples concrets le nouveau cadre juridique issu du règlement européen sur la protection des données.
Les plus importantes de ces lignes directrices sont recensées sur le site de la CNIL et disponibles ci-dessous:
- Ligne directrice sur l’autorité chef de file:
https://www.cnil.fr/sites/default/files/atoms/files/wp244rev01_fr.pdf -
Ligne directrice concernant le Délégué à la protection des données
https://www.cnil.fr/sites/default/files/atoms/files/wp244rev01_fr.pdf -
Lignes directrices sur la portabilité des données
https://www.cnil.fr/sites/default/files/atoms/files/wp242rev01_fr.pdf -
Lignes directrices sur l’analyse d’impact relative à la protection des données – AIPD
https://www.cnil.fr/sites/default/files/atoms/files/wp248_rev.01_fr.pdf -
Lignes directrices sur le profilage
https://www.cnil.fr/sites/default/files/atoms/files/20171025_wp251_enpdf_profilage.pdf -
Lignes directrices sur la notification de violation
https://www.cnil.fr/sites/default/files/atoms/files/wp250rev01_en-data-breach.pdf -
Lignes directrices sur les techniques d’anonymisation
https://www.cnil.fr/sites/default/files/atoms/files/wp216_fr_0.pdf -
Lignes directrices sur le consentement
https://www.cnil.fr/sites/default/files/atoms/files/ldconsentement_wp259_rev_0.1_fr.pdf -
Lignes directrices sur la transparence
https://www.cnil.fr/sites/default/files/atoms/files/wp260_guidelines-transparence-fr.pdf
- Ligne directrice sur l’autorité chef de file:
Limitation de la conservation des données et durées légales de conservation
Le RGPD impose à tout responsable de traitement ou sous-traitant de déterminer une durée de conservation des données personnelles traitées, en fonction de l’objectif poursuivi par la collecte. Une fois cet objectif atteint, les données doivent être archivée, supprimée ou anonymisées.
Il appartient donc au responsable du traitement de définir une durée de conservation des données en fonction du but recherché.
Toutefois, dans bon nombre de situation, c’est la loi interne du pays où le traitement sera effectués qui impose et dicte les délais légaux de conservation de certains type de données.
Tour d’horizon des cas de durées légales de conservation les plus souvent imposés:
France
Documents commerciaux
Type de documents | Durée légale de conservation | Base légale |
---|---|---|
Tous documents contractuels, conventions conclus dans le cadre d’une relation ou correspondance commerciale | 5 ans | Article L.110-4 du code de commerce |
Déclarations en douane | 3 ans | Article 16 du règlement européen n°2913/92 du Conseil du 12 octobre 1992 |
Garanties pour les biens ou services fournis au consommateur | 2 ans | Article L.218-2 du code de la consommation |
Polices d’assurance | 2 ans à partir de la résiliation du contrat | Article L.114-1 du code des |
Documents comptables
Type de documents | Durée légale de conservation | Base légale |
---|---|---|
Pièces justificatives : bons de commande, de livraison ou de réception, factures clients et fournisseurs etc. | 10 ans à partir de la clôture de l’exercice | Article L.123-22 du code de commerce |
Livres et registres comptables : livre journal, grand livre, livre d’inventaire etc. | 10 ans à partir de la clôture de l’exercice | Article L.123-22 du code de commerce |
Documents fiscaux
Type de documents | Durée légale de conservation | Base légale |
---|---|---|
Impôts sur le revenu et impôts sur les sociétés | 6 ans | Article L.102 B du livre des procédures fiscales |
Bénéfices industriels et commerciaux, bénéfices non commerciaux et bénéfices agricoles en régime réel | 6 ans | Article L.102 B du livre des procédures fiscales |
Impôts sur les sociétés pour l’EIRL, des sociétés à responsabilité limitée (exploitations agricoles, sociétés d’exercice libéral) | 6 ans | Article L.102 B du livre des procédures fiscales |
Impôts directs locaux (taxes foncières, contribution à l’audiovisuel public) | 6 ans | Article L.102 B du livre des procédures fiscales |
Cotisations foncières des entreprises (CFE) et CVAE | 6 ans | Article L.102 B du livre des procédures fiscales |
Taxes sur le chiffre d’affaires (TVA et taxes assimilées, impôt sur les spectacles, taxe sur les conventions d’assurance…) | 6 ans | Article L.102 B du livre des procédures fiscales |
Documents sociaux
Type de documents | Durée légale de conservation | Base légale |
---|---|---|
Statuts d’une société, d’un GIE ou d’une association (le cas échéant, pièce modificative de statuts) | 5 ans à partir de la perte de personnalité morale (ou radiation du RCS) | Article 2224 du code civil |
Compte annuel (bilan, compte de résultat, annexes etc.) | 10 ans à partir de la clôture de l’exercice | Article L.123-22 du code de commerce |
Traité de fusion et autre acte lié au fonctionnement de la société (+ documents de la société absorbée) | 5 ans | Article 2224 du code civil |
Registre de titres nominatifs. Registre des mouvements de titres. Ordre de mouvement. Registre des procès-verbaux d’assemblées et de conseils d’administration. | 5 ans à partir de la fin de leur utilisation | Article 2224 du code civil |
Feuilles de présence et pouvoirs. Rapport du gérant ou du conseil d’administration. Rapport des commissaires aux comptes. | 3 derniers exercices | Article L.225-117 du code de commerce |
Documents de gestion du personnel
Type de documents | Durée légale de conservation | Base légale |
---|---|---|
Bulletins de paie (double papier ou sous forme électronique) | 5 ans | Article L.3243-4 du code du travail |
Registre unique du personnel | 5 ans à partir du départ du salarié | Article R.1221-26 du code du travail |
Documents concernant les contrats de travail, salaires, primes, indemnités, soldes de tout compte, régimes de retraite etc. | 5 ans | Article 2224 du code civil |
Déclarations d’accident du travail auprès de la caisse primaire d’assurance maladie | 5 ans | Article D.4711-3 du code du travail |
Observations ou mises en demeure de l’inspection du travail | 5 ans | Article D.4711-3 du code du travail |
Document relatifs aux charges sociales et à la taxe sur les salaires | 3 ans | Article L.244-3 du code de la sécurité sociale et Article L.169 A du livre des procédures fiscales |
Comptabilisation des jours de travail des salariés sous convention de forfait | 3 ans | Article D.3171-16 du code du travail |
Comptabilisation des horaires des salariés, des heures d’astreinte et de leur compensation | 1 an | Article D.3171-16 du code du travail |
Documents juridiques
Type de documents | Durée légale de conservation | Base légale |
---|---|---|
Contrats d’acquisition ou de cession de biens immobiliers et fonciers | 30 ans | Article 2227 du code civil |
Contrats conclus par voie électronique (uniquement à partir de 120 €) | 10 ans à partir de la livraison ou prestation | Article L.213-1 du code de la consommation |
Documents relatifs à la propriété intellectuelle (dépôt de brevet, marque, dessin et modèle) | 5 ans à partir de la fin de la protection | Article 2224 du code civil |
Dossiers d’un avocat | 5 ans à partir de la fin du mandat | Article 2225 du code civil |
Feuilles de présence et pouvoirs. Rapport du gérant ou du conseil d’administration. Rapports des commissaires aux comptes. | 3 ans | Article L.225-117 du code de commerce |
Documents bancaires
Type de documents | Durée légale de conservation | Base légale |
---|---|---|
Les document bancaire (talon de chèque, relevé bancaire…) | 5 ans | Article L.110-4 du code de commerce |
Documents immobiliers
Type de documents | Durée légale de conservation | Base légale |
---|---|---|
Contrat d’achat ou de cession d’un immeuble ou d’un terrain | 30 ans | |
Le contrat de bail commercial. Attention, ce délai ne débute qu’à la fin du bail | 5 ans |
Suisse
N.B. En l’absence de disposition légale spécifique, le délai de conservation conseillé par défaut est de 10 ans.Documents comptables et commerciaux
Type de documents | Durée légale de conservation | Base légale |
---|---|---|
Livres et registres comptables : livre journal, grand livre, livre d’inventaire etc. | 10 ans à partir de la clôture de l’exercice | Article 958f CO |
Pièces justificatives commerciales : bons de commande, de livraison ou de réception, factures clients et fournisseurs ou correspondance commerciale (Attention, concernant l’obligation de conserver la correspondance commerciale, elle n’existe que si celle-ci atteste d’une transaction à l’origine d’une écriture comptable et qu’aucune autre pièce comptable ne justifie de manière équivalente la même transaction. | 10 ans à partir de la clôture de l’exercice | Article 958f CO |
Documents contractuels, conventions conclus dans le cadre d’une relation d’affaire ou commerciale : contrats d’assurance, de prêt, de leasing, de fournisseur etc. | N/A Suggéré 10 ans à partir de la clôture de l’exercice |
Article 958f CO par analogie |
Documents bancaires
Type de documents | Durée légale de conservation | Base légale |
---|---|---|
Tout documents ou correspondance bancaire relatif à une relation commerciale | 10 ans | Article 958f CO par analogie |
Documents fiscaux
Type de documents | Durée légale de conservation | Base légale |
---|---|---|
TVA : Livres comptables de l’assujettis et tous documents fiscaux pertinents (correspondances, commandes, factures de fournisseurs, copies des factures de base, contrats de vente, justificatifs de paiement, bons de caisse, dispositions de taxation d’importation et d’exportation, de douane etc.) | 10 ans | Art. 70 LTVA |
Documents commerciaux nécessaires en matière de dégrèvement de l’impôt sur les biens immobiliers | 20 ans | Art. 70 LTVA |
Documents de gestion du personnel
Type de documents | Durée légale de conservation | Base légale |
---|---|---|
Dossier du personnel : certificats de salaires, comptabilisation des horaires et jours de travail, contrats de travail, données de l’employé etc. (Attention si la loi ne prévoit pas de délai légal de conservation concernant les dossiers du personnel d’une entreprise, ceux-ci peuvent contenir des données particulièrement sensibles et doivent veiller à toujours respecter les principes de la Loi fédérale sur la protection des donnée). |
N/A A la fin des rapports de travail, seules les données indispensables peuvent être conservées, notamment en vertu d’une obligation légale. Il en va de même concernant les données dont la conservation est dans l’intérêt de l’employé (par exemple, les documents nécessaires à l’établissement d’un certificat de travail). Les données dont l’employeur a besoin en cas de litige avec l’employé peuvent également être conservées. La durée de conservation généralement suggérée est de 10. Lorsque leur conservation n’est plus requise, les données doivent être détruites. |
|
Documents d’institutions sociales du personnel : cotisation aux assurances accident, chômage, maternité, 2ème pilier, déclaration etc. | N/A Suggéré 10 ans |
Documents d’investissement
Type de documents | Durée légale de conservation | Base légale |
---|---|---|
Documents de fusion, d’acquisition ou de cession de biens, notamment immobiliers et fonciers | N/A Suggéré 30 ans |
Divers
Type de documents | Durée légale de conservation | Base légale |
---|---|---|
Dossiers avocats | N/A Suggéré 10 ans depuis le dernier acte du mandat |
Article 958f CO par analogie |
Dossiers médicaux | N/A Aussi longtemps que le requiert l’intérêt du patient mais suggéré au moins 10 ans |
Pas de norme fédérale, dépend du droit cantonal |
Le transfert de données hors UE
Le transfert de données à caractère personnelle en dehors de l’Union européenne est aujourd’hui essentiel au bon développement et à l’expansion du commerce et de la coopération internationale.
Le RGPD traite du transfert de données personnelles dans le chapitre V, articles 44 à 50.
Dans les grande lignes, une société ne peut réaliser un transfert de données à caractère personnel, vers l’extérieur de l’Union ou à destination d’une organisation internationale, que si certaines garanties concernant les droits et libertés des personnes concernées sont données.
Ces garanties sont les suivantes:
- Une décision d’adéquation de la Commission européenne (art. 45 RGPD): le transfert de données à caractère personnel peut en premier lieu avoir lieu si la Commission européenne a constaté par voie de décision que le pays tiers ou l’organisation internationale en question assure un niveau de protection adéquat. Cet examen du niveau de protection se fonde notamment sur la base de l’examen global de la législation en vigueur du pays en question ainsi que sur l’existence au sein de ce pays d’autorités de contrôle indépendantes. Dès lors que la Commission européenne a pris une telle décision d’adéquation, les transferts vers les pays concernés ne nécessitent pas d’autorisation spécifique préalables. Le traitement doit toutefois respecter toutes les autres dispositions et principes du RGPD.
- En l’absence d’une décision d’adéquation, le pays tiers où le transfert est effectué, doit être couvert par la fourniture de «garanties appropriées» (art. 46 RGPD).
Ces garanties peuvent prendre plusieurs formes:
- des clauses types de protection des données adoptées ou approuvées par la Commission européenne;
- un code de conduite ou une certification;
- des clauses contractuelles adaptées entre le responsable du traitement/sous-traitant et le destinataire des données à caractère personnel dans le pays tiers, ce sous réserve d’une autorisation par leur autorité de contrôle nationale;
- des règles d’entreprise contraignantes (par exemple les Binding Corporate Rule).
À ce titre, la Commission européenne a adopté des «Clauses contractuelles types» ayant pour but d'encadrer les transferts de données personnelles hors de l'Union européenne, facilitant ainsi la tâche des responsables de traitement dans la mise en œuvre de contrats de transfert;
En attendant leur mise à jour prochaine, les «Clauses contractuelles types» de 2004 couvrant le transfert entre deux responsables de traitement, ainsi que celles de 2010 couvrant le transfert entre un responsable de traitement et un sous-traitant peuvent toujours être utilisées.
Ces clauses sont disponibles sur le site de la CNIL:
https://www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne