RGPD et dénonciation : rétention des données

RGPD et dénonciation

Les personnes qui laissent un signalement par le biais d’un système de dénonciation peuvent inclure des données personnelles dans leur message. Les organisations souhaitant mettre en place un système de dénonciation pour leurs employés, fournisseurs ou tierces parties doivent tenir compte des aspects relatifs à la confidentialité qui entrent en jeu. Par exemple : comment gérer les périodes de rétention des données dans les systèmes d’alerte pour se conformer au RGPD ?

Les données doivent être stockées le plus rapidement possible.  Ou, conformément à l’article 5 (1) (e) du règlement (UE) 2016/679 (Règlement Général sur la Protection des Données ou RGPD) : « les données à caractère personnel doivent être conservées (…) pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».

Vous devez donc réfléchir à la durée pendant laquelle vous pouvez conserver les données personnelles, et à quelle fin vous les conservez.

Le Groupe de travail Article 29 sur la protection des données apporte davantage de précisions dans son avis 1/2006 : « Les données à caractère personnel traitées par un système de dénonciation doivent être supprimées rapidement et généralement dans les deux mois suivant la fin de l’enquête sur les faits énoncés dans le signalement ».

Mais dans le contexte de la dénonciation, vous devez prendre un peu de recul avant de pouvoir dire « nous supprimons et/ou anonymisons toutes les données au bout de deux mois ».

Comment imposer des règles de rétention des données conformes au RGPD en matière de dénonciation ?

Vous devez d’abord décider à quel moment une enquête peut être clôturée. Ce moment diffère selon les cas. Les « non-cas » peuvent être clôturés immédiatement, tandis que les enquêtes sur les fautes graves peuvent prendre des années. Certaines enquêtes débouchent sur des poursuites judiciaires. Parfois, des exceptions existent, telles que les obligations liées aux RH qui vous forcent à conserver certaines données plus longtemps (pour les dossiers disciplinaires, par exemple).

Il est important de tenir compte de ces facteurs lorsque vous établissez vos politiques de traitement et de clôture des dossiers. Rien n’est jamais tout noir ou tout blanc. Lorsqu’un cas arrive, le suivi approprié sera différent selon chaque cas. Cela a un impact sur la période de rétention des données et sur le moment où celle-ci démarre.

L’objectif principal de toutes ces règles de rétention des données est de faire en sorte que les organisations réfléchissent de manière critique à la façon dont elles stockent les données et à ce que le personnel soit correctement informé. Dans vos politiques, vous devez fournir des informations transparentes aux personnes concernées et donner des instructions unifiées aux gestionnaires de cas.

Et bien sûr, n’oubliez pas de vérifier que le personnel suit bien votre politique de clôture des dossiers.