Les données des personnes décédées sont-elles soumises au RGPD ?
En principe non !
Le principe est que les données des personnes décédées ne sont pas concernées par le RGPD, comme le signale le considérant 27 : « Le présent règlement ne s'applique pas aux données à caractère personnel des personnes décédées. Les États membres peuvent prévoir des règles relatives au traitement des données à caractère personnel des personnes décédées ».
C’est donc un des rares points du RGPD qui peut varier selon les pays. Pour la majorité d’entre eux, le RGPD n’est pas d’application sur les données personnelles d’une personne décédée, mais nous recommandons en cas de doute de vérifier ce point avec la loi nationale. En effet, certains pays confèrent des droits aux héritiers ou considèrent que les données des personnes concernées sont soumises au RGPD pendant une certaine période après leur décès.
Devons nous effacer les données des personnes décédées de nos bases de données ?
En vertu du GDPR, les entreprises ont l'obligation légale de maintenir leurs données à jour, ce qui signifie que, théoriquement, les données de personnes décédées devraient être supprimées.
Néanmoins, il existe des règlementations qui imposent de conserver les données après le décès. A titre d'exemple, les lois comptables imposent la conservation de tous les achats et payements durant la durée légale de conservation, même si un client est décédé.
Attention aux durées de conservation !
Le RGPD impose de ne pas conserver les données au delà de ce qui est nécessaire, soit en vertu dune loi ou d'une règlementation, soit en fonction de la finalité du traitement des données.
Or nous constatons souvent dans la réalité que la destruction des données en fin de vie est plutôt théorique et que souvent aucun mécanisme de destruction des données n'est mis en place de façon systématique.
En ne détruisant pas les données nous prenons un risque
En effet, la cybercriminalité étant un fléau très répandu, la responsabilité du responsable de traitement peut être engagée si des données personnelles concernant par exemple des personnes décédées, et qu'il aurait du détruire sont volées et diffusées.
Conclusion surveillez les données en fin de vie
En tant que responsable de traitement ou de sous-traitant, la gestion des durées de conservation des données, et en particulier des personnes décédées vous incombe.
Etes-vous certains d'avoir prévu un mécanisme de destruction des données en fin de vie ?
Envie d'en savoir plus ?
Vous cherchez une solution clé en main pour votre gestion RGPD ?
Contactez-nous pour en savoir plus sur notre solution et sur ses applications.
