Un client a demandé à ce que toutes les informations stockées soient supprimées de notre base de données.
D'un point de vue moral, cela ne nous pose pas de problème, mais la suppression de toutes les données nous laissera avec des commandes sans indication de leur auteur, par exemple. Nous utilisons largement ces données à des fins de reporting et d’administration.
Devons-nous, conformément à la loi, supprimer toutes les informations personnelles identifiant ce client?
Notre société est basée au Royaume-Uni.
Selon le Data Protection Act 1998 ils le font. Les exceptions sont les données utilisées pour la sécurité nationale, la détection de la criminalité et à des fins fiscales.
Le principe 6 cité en référence ne couvre en réalité pas la suppression de données sur la demande du sujet. Cependant, cette éventualité est traitée dans le Conditions for Processing , comme dans:
Le consentement doit également être adapté à l'âge et à la capacité de la personne et aux circonstances particulières de l'affaire. Par exemple, si votre organisation a l'intention de continuer à détenir ou à utiliser des données à caractère personnel une fois que la relation avec l'individu a pris fin, le consentement doit alors couvrir cette condition . Même lorsque le consentement a été donné, il ne durera pas nécessairement pour toujours. Bien que dans la plupart des cas, le consentement dure aussi longtemps que le traitement auquel il se rapporte, vous devez reconnaître que la personne peut éventuellement retirer son consentement, selon la nature du consentement donné et les circonstances dans lesquelles vous collectez ou utilisez les informations. Le retrait du consentement n'affecte en rien la validité des actes déjà accomplis, étant entendu que le consentement a été donné.
La loi n’est donc pas très claire sur la nature exacte du consentement requis (au-delà de la communication explicite du consentement ou du fait que la non-communication n’implique pas le consentement). Mon interprétation du texte est que, si vous n'avez pas au moins une politique de confidentialité très visible et convenue stipulant que les informations personnelles seront conservées indéfiniment , le client a le droit de retirer son consentement après la fin de la transaction initiale pour laquelle il a fourni les données personnelles et/ou la fin de sa relation avec votre entreprise.
Maintenant, si vous pouvez prouver que la conservation continue des données personnelles est nécessaire à une autre fin raisonnable, vous pourrez toujours conserver les données personnelles. Mais pour la plupart des types de rapports, il n’est vraiment pas nécessaire de conserver les données personnelles. Cela devient plus un passif qu'un atout. Vous pouvez généralement anonymiser les données tout en pouvant effectuer une analyse globale. Par exemple. Il n'est pas nécessaire de conserver des informations personnellement identifiables pour déterminer quel pourcentage d'ordres de quel type proviennent de quelles provinces/villes ou pour suivre les tendances des achats, etc.
Et si vous conservez les informations d'identification personnelle en tant que pistes pour les ventes ultérieures, il est peu probable qu'elles soient utiles si elles sont en colère contre vous pour ne pas supprimer leurs informations d'identification personnelle de vos bases de données comme ils l'avaient demandé.
Vous n'êtes pas autorisé à conserver des données que vous n'avez pas de raison légitime de conserver, que l'utilisateur vous demande de les supprimer ou non. Donc, si un utilisateur vous demande de supprimer les données, vous devez avoir une bonne raison de refuser.
Les informations personnellement identifiables incluent tout ce qui pourrait être utilisé pour déterminer qui est une personne spécifique à partir de la collecte des données. Les plus évidents sont:
mais il y a plus. Cela dépend de votre entreprise quant au type de données dont vous disposez.
Donc, si vous voulez conserver le nom d'un utilisateur, vous devez avoir une raison. Vous pouvez dire que c'est pratique pour l'utilisateur - ils n'ont pas besoin de continuer à le taper chaque fois qu'ils reviennent sur le site. Cependant, si l'utilisateur vous dit qu'il ne veut pas de cette commodité, vous avez besoin d'une autre bonne raison ou vous devez la supprimer.
Ma recommandation normale est de diviser vos bases de données par leur travail. Avoir une base de données de profils personnels, une base de données de commandes et une base de données de rapports.
Généralement, conserver les données lorsqu'un utilisateur vous demande de les supprimer est plus fastidieux que nécessaire, en particulier si vous êtes signalé à l'ICO, qui vient ensuite le surveiller. Vous pourriez gagner la discussion, mais à un coût énorme.