Glossaire — RGPD post-mortem

Que devient la responsabilité RGPD après la cessation d'une société ?

À la radiation d'une société, la personnalité morale s'éteint et avec elle la responsabilité de traitement au sens du RGPD. Mais les données personnelles, elles, ne disparaissent pas : elles continuent d'exister sur des disques, des comptes cloud, des boîtes mail. Le cadre juridique survit donc à l'entité qui le portait, et désigne de nouveaux responsables — anciens dirigeants, ayants droit, repreneurs — selon le sort donné aux données.

De quoi parle-t-on

Le RGPD désigne comme responsable de traitement la personne physique ou morale qui détermine les finalités et les moyens du traitement de données personnelles (art. 4-7). Pour une société, c'est habituellement la personne morale elle-même.

Quand la société est radiée du RCS, la personne morale s'éteint. Trois cas de figure se présentent alors :

  • Suppression intentionnelle : les données sont effacées avant la radiation, dans le respect des durées légales de conservation (RGPD art. 5-1-e).
  • Transfert : les traitements sont repris par un nouveau responsable (acquéreur, repreneur partiel, tiers archiviste). Le transfert doit être documenté et notifié aux personnes concernées si possible.
  • Conservation résiduelle : les anciens dirigeants ou ayants droit deviennent personnes physiques responsables des archives qu'ils détiennent.

Pourquoi cela compte

L'idée que « la société n'existe plus, donc le RGPD ne s'applique plus » est une erreur fréquente et coûteuse. Tant que les données existent, un responsable de traitement existe — explicitement désigné, ou implicitement assumé. Une violation, une demande d'accès, un signalement CNIL viennent alors viser une personne physique mal préparée. Anticiper le sort des données avant la radiation est la seule façon d'éviter des risques personnels pour les anciens dirigeants.

L’approche d’Archivum

Lorsqu'Archivum prend en charge un dépôt comportant des données personnelles, le contrat précise expressément le transfert de la responsabilité de traitement : Archivum devient responsable pour les traitements de conservation, les anciens dirigeants restent responsables historiques. Les durées légales (10 ans pour la comptabilité, 5 ans pour la paie, etc.) sont respectées par défaut. À l'échéance, les données soumises au RGPD sont supprimées sauf décision motivée de prolongation.

Termes liés

← Tout voir glossaire