Procédure CONSERVATION DES DONNEES PERSONNELLE

Procédure CONSERVATION DES DONNEES PERSONNELLE

  1. Objet :
    2. Cette procédure a pour objet de décrire le processus de conservation des données personnelles : protection, sécurisation, stockage/ archivage et destruction.
  2. Domaine et Périmètre D’application :
    3. La procédure s’applique à l’ensemble de la structure.
  3. Documents de référence :
    4. Règlement RGPD
  4. Personnes Concernées :
    5. Cette procédure concerne le responsable de traitement.
  5. Description du Processus :
    6. 5.1. Protection des données personnelles
    La création et le traitement de données personnelles (Numéro d’identification, Nom, Adresse, Numéro de Téléphone, photo, Adresse IP, etc…) sont soumis à des obligations destinées à protéger la vie privée et les libertés individuelles.


    DEFINITIONS :
    Données personnelles : toute information identifiante directement ou indirectement une personne physique (ex. Nom, Numéro d’immatriculation, Numéro de téléphone, Photographie, Dat de Naissance, Commune de Résidence, Empreinte Digitale…).
    Sont considérées comme données personnelles sensibles, celles concernant l’originale raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle. En principe, les données sensibles ne peuvent être recueillies et exploitées qu’avec le consentement explicite des personnes.

    OBLIGATIONS DE L’ORGANISME EN TERMES DE PROTECTIONS DES DONNEES PERSONNELLES :

    Désignations de référents RGPD :
    Le délégué à la protection des données
    Un délégué à la protection des données a été mis en place. Il est chargé :
    *d’informer et conseiller le responsable de traitement (ou le sous-traitant) et ses employés
    *de contrôler le respect du règlement européen et du droit français en matière de protection de données
    *de contrôler l’organisme sur la réalisation d’une analyse d’impact et d’en vérifier l’exécution,
    *de coopérer avec l’autorité de contrôle et d’être son contact.
    Le responsable de traitement :
    Le responsable de traitement est la personne, l’entreprise ou un autre organisme qui détermine la finalité et les moyens du traitement des données à caractère personnel (Seul ou conjointement avec d’autres.)
    Son contact : AYLINE SERVICES
    * Mail : contact@ayline-services.fr
    * Téléphone : 09 52 55 53 70 – 07 69 38 15 18

    OBLIGATION GENERALE DE SECURITE DE CONFIDENTIALITE
    Dans le cadre de la protection des données, le responsable de traitement a mis en œuvre des mesures de sécurité :
    * Des locaux : les documents papiers sont classées et rangés dans des locaux sécurisés dont l’accès est limité et réservé uniquement aux personnes désignées ou à des tiers qui détiennent une autorisation spéciale (Services des impôts par exemple) (CF. Registre de données)
    * Des systèmes d’informations : les données personnelles numériques sont stockées sur un serveur sécurisé (CF. Registre des données).
    Chaque salarié ayant accès à des données personnelles sensibles doit signer une charte d’utilisation des données personnelles sensibles annexée au règlement intérieur.

    OBLIGATION D’INFORMATION
    AYLINE SERVICES informe les personnes concernées par divers canaux d’informations : * l’ensemble des personnes concernées : le registre des données qui permet de recenser les traitements de données et de disposer d’une vue d’ensemble de ce qui est fait avec les données personnelles.
    * les salaries : rédaction d’une note d’information affichée dans les locaux et intégration d’une clause sur la RGPD dans les contrats de travail.
    * les Clients / Usagers/ Résidents : rédaction d’une note d’information envoyées par mail et ou par courrier et ou sur le site internet et introduction d’une clause sur la RGPD dans les contrats de Prestation/ Séjour/ CGV
    * Les sous-traitants : Intégration d’une clause RGPD dans les contrats.
    ANALYSE D’IMPACT EN CAS DE RISQUE ELEVE POUR LES DROITS ET LIBERTES DES PERSONNES
    Pour les traitements de données présentant un risque élevé pour les droits et libertés des personnes, une analyse d’impact sur la vie privée a été menée par le responsable de traitement pour évaluer en particulier, l’origine, la nature, la particularité et la gravité de ce risque.
    Cette étude a été présentée à la CNIL si elle n’a pas permis de diminuer suffisamment le risque pour le rendre acceptable.
    Les données concernées doivent porter sur :
    * les informations sensibles (Origine, Opinions Politiques, Religieuses, Syndicales), biométriques ou génétiques,
    * l’évaluation des personnes (profilage, par exemple)
    * les fichiers ayant une finalité particulière (études statistiques de INSEE, traitements de recherche médicale, par exemple)
    * les transferts de données hors de l’Union Européenne.

    A NOTER : Les transferts de données hors UE ne sont plus interdits mais ils doivent respecter plusieurs conditions, notamment que le pays tiers présente un niveau de protection adapté, selon la commission européenne. Une autorisation de la CNIL est nécessaire si des clauses contractuelles sont différentes des clauses de commission Européenne. Les données transférées restent soumises au droit de l’UE non seulement pour leur transfert, mais aussi pour tout traitement/ transfert ultérieur.

    5.2. Sécurisation des données

    Le responsable du traitement et le sous-traitant doivent prendre des mesures afin de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne le traite pas, excepté sur instruction du responsable du traitement, à moins d’y être obligée par le droit de l’Union ou le droit d’un Etat membre.
    * Sensibiliser les utilisateurs,
    * Authentifier les utilisateurs,
    * Gérer les habitations,
    * Tracer les accès et gérer les incidents,
    * Sécuriser les postes de travail,
    * Sécuriser l’information mobile,
    * Protéger le réseau informatique interne,
    * Sécuriser les serveurs,
    * Sécuriser les sites Web,
    *Sauvegarder et prévoir la continuité d’activité
    * Archiver de manière sécurisée,
    * Encadrer la maintenance et la destruction des données,
    * Gérer la sous-traitance,
    * Sécuriser les échanges avec d’autres organismes,
    * Protéger les locaux,
    * Encadrer les développements Informatiques,
    * Chiffrer, garantir l’intégrité ou signer.

    5.3. Stockage et archivage des données

    Les données personnelles sont stockées dans des locaux sécurisés dont l’accès est limité et archivées selon les délais en vigueur.

    Documents civils et commerciales
    TYPE DE DOCUMENT DUREE DE CONSERVATION TEXTE DE REFERENCE
    Contrat ou convention conclue dans le cadre d’une relation commerciale, correspondance commerciale
    5 ans Article L 110-4 du code du commerce
    Garantie pour les biens ou services fournis au consommateur 2 ans
    Article L 218-2 du code de la consommation

    Contrat conclu par voie électronique (à partir de 120€) 10 ans à partir de la livraison ou de la prestation Article L.123 du code du commerce
    Contrat d’acquisition ou de cession de biens immobiliers et fonciers
    30 ans Article 2227 du Code Civil
    Document Bancaire (talon de chèque, relevé bancaire…) 5 ans Article L 110-4 du code de commerce
    Document de transport de marchandises 5 ans Article L 110-4 du code de commerce
    Déclaration en Douane 3 ans Article 16 du règlement européen n°2913/92 du conseil d 12 Octobre 1992
    Police d’Assurance 2 ans à partir de la réalisation du contrat Article L 114-1 du code des assurances
    Document relatif à la propriété intellectuelle (dépôt de brevet, marque, dessin et model) 5 ans à partir de la fin de la protection Article 2224 du code civil
    Dossier d’un Avocat 5 ans à partir de la fin du mandat Article 2225 du code civil

    Pieces comptables
    TYPE DE DOCUMENT DUREE DE CONSERVATION TEXTE DE REFERENCE
    Livre et registre comptable : livre journal, livre d’inventaire, etc… 10 ans à partir de la clôture de l’exercice Article L123-22 du code de commerce
    Piece justificative ; bon de commande, de livraison ou de réception, facture client et fournisseur, etc… 10 ans à partir de la clôture de l’exercice Article L123-22 du code de commerce

    Documents fiscales
    TYPE DE DOCUMENT DUREE DE CONSERVATION TEXTE DE REFERENCE
    Impôt sur le revenu et sur les sociétés 6 ans Article L102 B du livre des procédures fiscales
    Bénéfices industriels t commerciaux (BNC) et bénéfices agricoles (BA) en régime réel
    6 ans Article L102 B du livre des procédures fiscales
    Impôts sur les sociétés pour l’EIRL, des sociétés à responsabilité limitée (exploitations agricoles, Sociétés d’exercice libérale)

    6 ans Article L102 B du livre des procédures fiscales
    Impôts directs locaux (taxes foncières, contribution à l’audiovisuel public
    6 ans Article L102 B du livre des procédures fiscales
    Cotisation foncière des entreprises (CFE) et CVAE
    6 ans Article L102 B du livre des procédures fiscales
    Taxes sur le chiffre d’affaires (TVA et taxes assimilées, impôts sue les spectacles, taxe sur les conventions d’assurance…)
    6 ans Article L102 B du livre des procédures fiscales
    Attention : les délais sont portés à 10 ans, en cas d’activité occulte : fraude fiscale, travail dissimulé, absence de déclaration, activité illicite, par exemple.

    Documents fiscales
    TYPE DE DOCUMENT DUREE DE CONSERVATION TEXTE DE REFERENCE
    Statuts d’une société, d’un GIE ou d’une association (Si nécessaire, une pièce modificative de statuts) 5 ans à partir de la perte de personnalité morale (ou radiation du RCS) Article 2224 du code civil
    Compte annuel (bilan, compte de résultat, annexe…) 10 ans à partir de la clôture de l’exercice Article L123-22 du code de commerce
    Traité de fusion let d’autre acte lié au fonctionnement de la société (+documents de la société absorbée)
    5 ans Article 2224 du code civil
    Registre de titres nominatifs. Registre des mouvements de titres. Ordre de mouvement. Registre des procès-verbaux d’assemblés et de conseils d’administration
    5 ans à partir de la fin de leur utilisations Article L225-117 du code de commerce

    Feuille de présence et pouvoirs. Rapport du gérant ou du conseil d’administration. Rapport des commissaires au compte
    3 dernières exercices Article L225-117 du code de commerce

    Gestion du Personnel
    TYPE DE DOCUMENT DUREE DE CONSERVATION TEXTE DE REFERENCE
    Bulletin de paie (double papier ou sous forme électronique)
    5 ans Article L3243-4 du code du travail
    Registre unique du personnel 5 ans à partir du départ du salarié Article R1221-26 du code du travail
    Documents concernant les contrats de travail, salaires, primes, indemnités, soldes de tout compte, régimes de retraite.

    5 ans Article 2224 du code civil
    Document relatif aux charges sociales et à la taxe sur les salaires
    3 ans Articles l 244-3 du code de la sécurité sociale et L169 A du livre des procédures fiscales
    Comptabilisation des jours de travail des salariés sous convention de forfait
    3 ans Article D3171-16 du code du travail
    Comptabilisation des heures des salariés, des heures d’astreinte et de leur compensation
    1 an Article D3171-16 du code du travail
    Observation ou mise en demeure de l’inspection du travail. Vérification et contrôle du CHSCT
    5 ans Article D4711-3 du code du travail

    Déclaration d’accident du travail auprès de la caisse primaire d’assurance maladie 5 ans Article D4711-3 du code du travail

    Document lié à la santé
    TYPE DE DOCUMENT DUREE DE CONSERVATION TEXTE DE REFERENCE
    Dossier médical dans les établissements de santé publics et privées 20 ans à compter du dernier passage. Si le patient décède moins de 10 ans après son dernier passage dans l’établissement, son dossier sera conservé pendant une durée de 10 ans à compter de la date du décès Article R.1112-7 du code de la santé publique Transmission des feuilles de soins 90 Jours pour le double électronique et les accusés de réception 3 ans pour les décomptes de remboursement de la sécurité sociale Norme simplifiée n°53 Article R.161-4 du code de la securit sociale Article L.332-1 du code de la sécurité sociale
    Gestion administrative de la pharmacie, dispensation des médicaments, produits de santé et dispositifs médicaux d’analyse statistique des ventes Conservation 3 ans à compter de la dernière intervention sur le dossier du patient puis archivage 15 ans. Conservation de l’ordonnance pendant 10 ans
    Norme simplifiée n°52 Article R.5125-45 du code de la santé publique
    Article R.5132-36 du code de la santé publique
    Article R.5121-195 du code de la santé publique

    5.4. Destruction des données personnelles

    La destruction des données personnelles papier
    Le désarchivage et la destruction des données détenues font l’objet d’une gestion sécurisée. AYLINE SERVICES fait appel à un organisme réalisant la destruction de document confidentiels et fournissant un certificat de destruction qui reprend l’ensemble des informations de collecte et de destruction fourni par chaque opérateur.

    La destruction des données personnelles numérique
    Les données contenues dans un applicatif sont stockées dans une base de données SQL et purgées dès leur effacement.

    5.5. Demande de droit d’accès aux données personnelles

    Toute personne physique, voulant accéder à ses données personnelles, doit saisir le responsable de traitement.
    Le responsable de traitement répond à la demande de droit d’accès aux personnelles selon les délais prévus à l’article 12.3 du RGPD.
    Son contact : AYLINE SERVICES
    *Mail : : contact@ayline-services.fr
    *Téléphone : 09 52 55 53 70 – 07 69 38 15 18

    5.6. Gestion des violations des données personnelles

    Violation de données à caractère personnel (Article 4.12 du RGPD) : une violation de la sécurité entrainante, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisé de données à caractère personnel transmises, conservée ou traitées d’une manière, ou l’accès est non autorisé à de telles données.
    Le responsable de traitement doit, tout d’abord, notifier la violation des données personnelles en interne à travers le document interne « Registre de violations ».
    Si l’incident constitue un risque au regard de la vie privée des personnes concernées, le responsable de traitement doit notifier l’incident à la CNIL et aux personnes concernées.
    Il doit transmettre la notification à la CNIL dans les meilleurs délais à l’adresse suivante : https://notifications.cnil.fr/notification/index
    Si le responsable ne peut pas fournir toutes les informations requises dans ce délai car des investigations complémentaires sont nécessaires, il doit procéder à une notification complémentaire dans le délai de 72 heures si possible après la notification initiale.
    Si le délai de 72 heures est dépassé, il conviendra d’expliquer, lors de votre notification, les motifs du retard.
    En cas de doute, il est nécessaire de notifier à la CNIL qui indiquera s’il est nécessaire d’informer les personnes.
    Dès réception le CNIL va introduire la notification.