Connexion Consultant

Politique de conservation et de suppression des données

Objet et champ d'application

La présente politique de conservation et de suppression des données définit la manière dont HGA gère le cycle de vie de toutes les données dont elle a la garde. L’objectif de cette politique est de garantir que les données ne sont conservées que pendant la durée nécessaire pour répondre aux besoins commerciaux et aux obligations légales, et qu’elles sont supprimées ou anonymisées de manière sécurisée lorsqu’elles ne sont plus nécessaires. Cette politique s’applique à tous les systèmes et référentiels de données au sein de HGA, y compris le portail des consultants HGA (https://app.humanicsgroup.com), les bases de données internes et les systèmes de messagerie électronique, les sauvegardes et les services tiers intégrés à la plateforme numérique HGA (tels que Stripe, Amazon S3 et autres). Elle couvre toutes les catégories de données collectées, traitées ou stockées par HGA, y compris les données personnelles des consultants et des clients, les dossiers commerciaux et les journaux système, sous forme électronique et physique. HGA s’engage à respecter les lois applicables en matière de protection des données (par exemple, le RGPD dans l’UE, le CCPA/CPRA en Californie) et les meilleures pratiques mondiales en matière de gestion du cycle de vie des données.

Rôles et responsabilités

HGA désigne des rôles internes spécifiques chargés de la mise en œuvre et du respect de cette politique au sein de notre écosystème de données . Les responsabilités de chaque rôle sont alignées sur ses autorisations d’accès et son domaine d’expertise, garantissant ainsi une supervision adéquate et une séparation des tâches.

  • Administrateur système : L’administrateur système est responsable de l’application technique des contrôles de conservation et de suppression des données. Cela inclut la configuration des systèmes pour la purge automatisée des données, la gestion des routines de sauvegarde et l’exécution de processus de suppression ou d’anonymisation sécurisés. L’administrateur système maintient l’infrastructure de stockage et de sauvegarde des données et veille à ce que, lorsque des données doivent être supprimées, elles soient purgées des bases de données actives, du stockage de fichiers (par exemple, les compartiments S3) et des archives de manière sécurisée.Ils mettent également en œuvre des contrôles d’accès afin que seul le personnel autorisé puisse supprimer ou modifier des données conformément à la présente politique. En cas d’incident de sécurité ou de violation de données, le responsable système pilote les efforts techniques visant à analyser, contenir et soutenir les processus de notification (en coordination avec le service juridique/conformité) conformément à la section 7. Le responsable système tient à jour les journaux d’audit des activités d’accès et de suppression de données (voir section 8) et veille à ce que ces journaux soient protégés et conservés conformément à la politique. Enfin, le responsable système supervise l’intégration avec les systèmes tiers (Stripe, AWS, etc.), en s’assurant que les flux de données vers ces services sont documentés et que les engagements de conservation/suppression sont également respectés sur ces plateformes.
  • Développeur commercial : Le développeur commercial supervise le cycle de vie des données des consultants et des clients sur la plateforme HGA. Il est responsable de la gestion des profils des consultants, de leurs CV et des candidatures générées par l’IA tout au long de leur cycle de vie. Ce rôle garantit que les données des consultants sont à jour et pertinentes pendant leur activité, et qu’elles sont examinées en vue de leur suppression lorsqu’elles deviennent obsolètes.Par exemple, le/la chargé(e) du développement commercial doit examiner périodiquement les profils ou CV des consultants inactifs depuis une période prolongée (telle que définie dans le calendrier de conservation) et procéder à leur archivage ou à leur suppression. Il/Elle gère également les données relatives aux listes de projets, aux propositions et aux communications avec les consultants. Il/Elle veille à ce que les documents de candidature générés par l’IA ou les pièces justificatives soient conservés uniquement le temps nécessaire au processus de candidature ou de projet, puis supprimés ou anonymisés conformément à la section 4. Lorsqu’une mission de consultant prend fin ou qu’un candidat n’est pas retenu pour un projet, le/la chargé(e) du développement commercial coordonne la suppression rapide des données personnelles associées à cette opportunité, conformément aux délais de conservation définis à la section 3 (par exemple, suppression du CV d’un candidat non retenu après la période définie) . Ce rôle sert de point de contact pour les consultants exerçant leurs droits en matière de protection des données (par exemple, si un consultant demande la suppression ou la mise à jour de ses données, le/la chargé(e) du développement commercial facilite la demande en coordination avec le/la responsable du système).
  • Receivables Officer: The Receivables Officer is responsible for data related to incoming payments and financial records from clients. This includes customer invoices, contracts, payment transactions (including those processed via Stripe), and related accounting records. The Receivables Officer ensures that financial data is retained for the legally required period (e.g. tax records for 7 years) and then deleted or archived securely. They must enforce that payment card data or sensitive financial information is not stored longer than necessary in accordance with PCI DSS and privacy laws (for instance, credit card details handled by Stripe are tokenized and not stored on HGA systems beyond the transaction). The Receivables Officer works with the System Manager to delete or anonymize customer billing records once the retention period lapses, except where required to maintain for legal compliance (such as audit or tax obligations). If a client or customer exercises their right to erasure or deletion under applicable law, the Receivables Officer verifies which financial records can be lawfully deleted (versus what must be kept for tax/regulatory reasons) and ensures appropriate actions are taken. This role also keeps documentation of retention justifications for financial data (e.g. citing tax law requirements for 7-year retention) to demonstrate compliance during audits.
  • Payables Officer: The Payables Officer handles data related to payments to consultants and vendors. This includes consultant fee records, payables invoices, expense reimbursements, and associated financial records. The Payables Officer must ensure that personal data in payment records (such as consultants’ bank details or tax ID information in invoices) is protected and retained only as long as needed. Typically, consultant payment records will follow similar retention to financial records (e.g. 7 years for accounting/tax evidence). The Payables Officer is responsible for purging or anonymizing payables data after the retention period, in coordination with Finance and IT. They also coordinate with the System Manager to ensure that any payment data stored in third-party systems (e.g. records of payouts via Stripe or banking systems) are handled according to this policy. If a consultant requests deletion of their personal data, the Payables Officer confirms that any payout records can be anonymized (for example, removing personal identifiers but keeping transaction amounts for bookkeeping) once legal retention requirements are met. Like the Receivables role, the Payables Officer maintains documentation of the retention schedule for payable records and ensures access controls are in place so that only finance personnel can view or handle detailed payment data.

Contrôle d’accès et formation : Tous les rôles mentionnés ci-dessus doivent respecter le principe du moindre privilège ; ils n’ont accès qu’aux données nécessaires à l’exercice de leurs fonctions. Ils sont formés à la présente politique de conservation et de suppression des données et sont responsables de son application. Chaque rôle est tenu de signaler à la direction de HGA tout obstacle ou problème rencontré dans la mise en œuvre de cette politique (par exemple, l’impossibilité de supprimer certaines données pour des raisons techniques) afin que des mesures correctives puissent être prises. Les responsabilités et les procédures définies pour chaque rôle garantissent une approche transversale : les équipes informatiques (gestionnaire de systèmes), opérationnelles (développeur commercial) et financières (comptabilité clients/fournisseurs) collaborent pour appliquer les règles de conservation de manière cohérente à tous les types de données.

Catégories de données et calendriers de conservation

HGA classe ses données en catégories définies et attribue à chaque catégorie une durée de conservation en fonction des obligations légales et des besoins opérationnels. Conformément au principe de limitation de la conservation des données du RGPD et aux exigences du CCPA/CPRA, HGA ne conserve pas les données indéfiniment sans justification . Nous établissons plutôt des durées de conservation maximales pour chaque catégorie de données et documentons les raisons de ces choix. Les données sont soit supprimées, soit anonymisées une fois leur durée de conservation expirée, sauf exception (par exemple, une obligation légale de conservation ou une obligation légale explicite de conservation plus longue). Les principales catégories de données et leurs durées de conservation sont les suivantes :

  • Profils et CV des consultants : Cette catégorie comprend les données personnelles soumises par les consultants dans leurs profils (CV, formation, expérience professionnelle, compétences, références et tout document d’identité ou de certification téléchargé). Les données de profil des consultants actifs (ceux qui travaillent actuellement sur la plateforme ou qui recherchent activement des opportunités via HGA) seront conservées pendant toute la durée de leur participation active. Les informations du profil doivent être régulièrement vérifiées et mises à jour par le consultant et le Business Developer afin d’en garantir la pertinence. Si un consultant devient inactif , HGA conservera ses données de profil pendant une durée maximale de deux ans à compter de sa dernière connexion ou de son dernier projet, après quoi elles seront supprimées ou anonymisées. Pour les candidats non retenus ayant soumis leur CV pour une opportunité spécifique, HGA conservera leur CV et les données de leur candidature pendant six mois après la clôture du recrutement, sauf si le candidat consent à une conservation plus longue (par exemple, pour être considéré pour de futurs postes). Cette durée de conservation limitée est conforme aux recommandations de l’UE, qui stipulent que les données des candidats non retenus ne doivent pas être conservées aussi longtemps que celles des candidats embauchés, ni indéfiniment sans finalité . Les données des candidats retenus qui deviennent consultants HGA seront conservées dans le cadre de leur profil, comme indiqué précédemment. Tous les CV et documents personnels sont supprimés du système (et des espaces de stockage associés, tels que S3) à l’issue de leur période de conservation. Avant cette suppression, HGA peut anonymiser certaines données à des fins d’analyse (par exemple, des statistiques agrégées sur les compétences), mais supprimera ou dépersonnalisera de manière irréversible les identifiants personnels. Justification : une période de six mois couvre les délais habituels de résolution des litiges liés au recrutement ou de maintien d’un vivier de talents, sans prolonger indûment la conservation des données ; quant à elle, une période de deux ans d’inactivité pour les profils permet de concilier l’intérêt de l’entreprise à recontacter d’anciens consultants et le principe de limitation de la durée de conservation.
  • Candidatures générées par IA : La plateforme HGA peut générer des documents de candidature (lettres de motivation, propositions, etc.) pour le compte de consultants en vue de missions. Ces documents, pouvant contenir des données personnelles sur le consultant (nom, qualifications) et des informations sur la mission, sont conservés le temps nécessaire à leur réalisation. Une candidature générée par IA et les données associées sont stockées jusqu’à ce que le poste soit pourvu et le processus de recrutement clôturé , plus une courte période d’archivage. Par défaut, HGA conserve les dossiers de candidature pendant 6 mois après leur soumission, ce qui permet d’analyser les taux de réussite et les possibilités de réutilisation . Passé ce délai (ou immédiatement si le consultant demande leur suppression anticipée), le contenu des candidatures est supprimé ou anonymisé . Concrètement, l’anonymisation consiste à supprimer les identifiants personnels et à ne conserver que des données non personnelles (par exemple, si la candidature a débouché sur un entretien) afin d’améliorer nos services. Si une application générée par l’IA fait partie d’une proposition ayant abouti à un projet, elle est conservée dans le dossier du projet (voir catégorie suivante). Toutefois, les données personnelles qu’elle contient peuvent être réduites au minimum si elles ne sont pas nécessaires. Justification : ces applications sont essentiellement des outils temporaires pour obtenir du travail ; il n’est pas nécessaire de les conserver au-delà de quelques mois, une fois leur objectif (obtenir un projet) atteint ou non. Ce calendrier est conforme aux principes de minimisation des données, tout en offrant à HGA un court laps de temps pour évaluer les performances de l’IA et en tirer des enseignements .
  • Documents des consultants et livrables de projet : Les consultants peuvent télécharger ou générer divers documents via la plateforme, notamment des documents contractuels, des propositions, des livrables de projet, des rapports, des feuilles de temps et autres produits de travail . Pour les documents relatifs à l’administration des contrats ou à la réalisation des travaux (par exemple, les contrats signés, les ordres de mission, les livrables aux clients), HGA conserve ces documents pendant au moins six ans après la fin du projet ou du contrat concerné . Cette période a été choisie afin de couvrir les délais de prescription généralement appliqués aux réclamations ou litiges contractuels (souvent six ans) et de respecter les pratiques de conservation des dossiers contractuels . Dans certains cas, lorsque la loi applicable exige une période plus longue ou pour des archives de projet importantes, la durée de conservation peut être étendue à sept ans , voire plus, mais toute prolongation doit être justifiée (par exemple, l’exigence d’un bailleur de fonds de conserver les documents de projet pendant dix ans ou un litige en cours). Les produits de travail des consultants ne contenant pas de données personnelles (ou contenant un minimum de données personnelles, comme le nom de l’auteur) peuvent être archivés pour la gestion des connaissances de HGA au-delà de six ans, mais les données personnelles contenues dans ces documents doivent être supprimées ou expurgées si elles ne sont pas nécessaires. Les documents internes des consultants (par exemple, une copie de leur diplôme ou de leur pièce d’identité utilisée pour la vérification) ne doivent être conservés que le temps nécessaire à cette vérification. Par exemple, une copie scannée d’une pièce d’identité utilisée pour vérifier l’identité peut être supprimée une fois la vérification terminée, ou conservée pendant une courte période (un an maximum) en cas d’audit, puis effacée. Les certifications ou licences des consultants peuvent être conservées pendant leur période d’activité et mises à jour ou supprimées à leur expiration. Justification : Les documents contractuels et de projet doivent souvent être conservés pour respecter les obligations légales et se prémunir contre tout litige ; une durée de conservation de six à sept ans est une pratique courante . Cependant, toutes les données personnelles non nécessaires figurant dans ces documents (par exemple, les coordonnées personnelles d’un consultant dans un ancien rapport) doivent être réduites au minimum ou anonymisées lorsque cela est possible, notamment après la période d’activité du consultant.
  • Documents financiers (factures, transactions et données comptables) : Les documents financiers comprennent toutes les informations de facturation et de paiement : factures clients, factures de consultants, relevés de paiements (créances et dettes), notes de frais, documents fiscaux et correspondance financière associée. HGA conserve les documents financiers et comptables pendant au moins 7 ans à compter de leur date de création ou de dernière utilisation . Cette durée de conservation est conforme aux directives de l’IRS (Internal Revenue Service) américaine et à de nombreuses réglementations comptables qui imposent aux entreprises de conserver leurs documents financiers pendant 7 ans à des fins d’audit et de déclaration fiscale . Dans certaines juridictions, la durée de conservation des documents financiers peut aller jusqu’à 10 ans ; HGA se conformera à toute législation locale imposant une durée de conservation plus longue pour certains documents financiers. Après la période de 7 ans (ou la période réglementaire applicable), HGA détruira les documents financiers de manière sécurisée (voir la section 4 pour les méthodes de destruction). La destruction comprendra la suppression des données financières numériques des bases de données et le déchiquetage sécurisé de tous les documents financiers physiques contenant des données personnelles ou sensibles. Il est à noter que les informations relatives aux cartes de crédit et aux paiements sont principalement gérées par Stripe (un prestataire de services de paiement conforme à la norme PCI DSS) ; HGA ne conserve pas les numéros de carte complets. Les enregistrements de transactions de Stripe respecteront également les délais de conservation. La politique de HGA consiste à supprimer ou anonymiser toute information de paiement personnelle que nous contrôlons dès lors qu’elle n’est plus nécessaire (par exemple, la suppression d’un mode de paiement enregistré à la fin d’une mission ou après la clôture d’une période de remboursement), sauf si sa conservation est requise à des fins de conformité financière. Justification : La conservation des documents financiers pendant 7 ans garantit la conformité aux obligations fiscales et de tenue de registres (par exemple, la loi Sarbanes-Oxley pour les documents d’audit et les bonnes pratiques comptables) . Elle répond également aux intérêts légitimes de HGA à disposer de données financières historiques pour les audits ou d’éventuelles actions en justice, sans pour autant conserver les données indéfiniment. Toute conservation de ces données est documentée afin de respecter le principe de responsabilité du RGPD (capacité à justifier les durées de conservation pour chaque type de données) .
  • Gestion des tickets d’assistance et données du support client : HGA utilise un système de tickets d’assistance (et les communications par e-mail associées) pour le support technique, les demandes d’informations et la résolution des problèmes sur le portail consultant. Les tickets d’assistance contiennent généralement des informations permettant d’identifier l’utilisateur (nom, adresse e-mail) ainsi que le contenu de sa requête. Par défaut, HGA conserve les tickets d’assistance et les communications associées pendant deux ans à compter de la date de clôture du ticket. Cela permet à l’entreprise d’analyser les tendances du support au fil du temps et de consulter les problèmes antérieurs si un utilisateur a des questions complémentaires . Après deux ans, les tickets d’assistance sont supprimés ou archivés sous forme anonymisée. L’anonymisation consiste ici à supprimer les identifiants personnels du demandeur, en ne conservant que des informations génériques sur le problème à des fins statistiques. Si un ticket d’assistance contient des informations qui doivent être conservées plus longtemps pour des raisons légales (par exemple, une preuve de conformité à une demande d’accès aux données d’un utilisateur ou un litige), il peut faire l’objet d’une conservation prolongée avec l’accord du responsable système et du responsable du développement commercial. Toutefois, même dans ce cas, les données personnelles doivent être supprimées lorsque cela est possible et la durée de conservation ne doit pas excéder ce qui est nécessaire. Justification : La conservation des données de support sur deux ans constitue une bonne pratique pour les entreprises SaaS afin de documenter les tendances d’utilisation des produits et de maintenir la qualité du service . Ce délai permet d’équilibrer l’utilité (disposer d’un historique du support) et le risque (supprimer les données personnelles anciennes et inutiles présentes dans les journaux de support). Il est également conforme aux exigences des lois sur la protection des données, qui stipulent que les données personnelles utilisées pour le service client ne doivent pas être conservées plus longtemps que nécessaire une fois le problème résolu.
  • Communications par courriel : Cette catégorie concerne les courriels professionnels envoyés ou reçus par le personnel de HGA et susceptibles de contenir des données personnelles ou des informations commerciales (y compris les courriels internes et les communications avec les consultants, les clients ou les partenaires via les comptes de messagerie de l’entreprise). HGA applique une politique de conservation des courriels afin d’archiver et/ou de supprimer automatiquement les courriels ayant dépassé une certaine ancienneté, évitant ainsi un stockage indéfini. Les courriels essentiels à l’activité et constituant des documents officiels (par exemple, les communications confirmant les termes d’un contrat, les approbations ou les décisions importantes relatives à un projet) doivent être enregistrés dans un système d’archivage approprié (ou exportés et stockés dans les dossiers du projet), puis supprimés du système de messagerie actif. Les communications courantes non nécessaires à la poursuite des activités seront supprimées après 5 ans . Par défaut, HGA conserve les courriels pendant 5 ans maximum , après quoi ils sont automatiquement supprimés des boîtes de réception, sauf s’ils sont marqués pour archivage. Cette durée se situe dans la fourchette habituelle de 3 à 7 ans imposée par de nombreuses réglementations en matière de conservation de la correspondance commerciale , privilégiant une approche proactive de nettoyage afin de minimiser les données conservées. Tout courriel constituant un document d’entreprise (par exemple, un courriel confirmant un contrat ou une décision stratégique importante avec un client) doit être transféré vers un système d’archivage sécurisé ou un système de gestion documentaire et conservé conformément à sa catégorie (par exemple, la correspondance relative à un contrat peut être conservée 6 à 7 ans dans le cadre du dossier contractuel). Tous les autres courriels (en particulier ceux contenant des données personnelles, comme des discussions privées ou des communications RH) seront supprimés après 5 ans. Les serveurs de messagerie ou le service cloud de HGA seront configurés avec des règles de conservation afin d’appliquer automatiquement cette politique lorsque cela est possible. Justification : les courriels peuvent facilement contenir une grande quantité de données personnelles et sensibles. Tout conserver indéfiniment expose HGA à des risques et des coûts inutiles. Une durée de conservation de 5 ans représente un juste équilibre entre les besoins de l’entreprise (de nombreuses références juridiques ou liées à des projets contenues dans les courriels réapparaîtront dans les années à venir) et la conformité réglementaire, sachant que la réglementation nord-américaine exige généralement une durée de conservation de 3 à 7 ans pour les communications d’entreprise . Les utilisateurs sont priés de stocker les courriels qui doivent être conservés plus longtemps (en raison d’une obligation légale ou de leur pertinence continue) dans des dossiers d’archivage désignés et gérés conformément à la présente politique, plutôt que dans leurs dossiers de messagerie personnels.

Exceptions aux calendriers de conservation : Dans toutes les catégories mentionnées ci-dessus, si une obligation légale ou une réglementation officielle impose une durée de conservation plus longue, HGA s’y conformera. Par exemple, si des données de santé européennes ou des données relatives à des contrats gouvernementaux spécifiques nécessitent une conservation de 10 ans, ces données seront conservées pendant la durée requise (avec justification documentée) . Inversement, si une personne concernée exerce son droit à l’effacement (voir section 7) et qu’aucune exemption ne s’applique, HGA peut supprimer ses données personnelles avant la date prévue par le calendrier. De plus, les données faisant l’objet d’une mesure de conservation pour litige ou enquête ne seront pas supprimées comme prévu tant que cette mesure n’est pas levée (voir section 8 relative aux mesures de conservation légales). Toutes les durées de conservation sont calculées à partir de la fin de l’année civile au cours de laquelle l’enregistrement a été créé ou était actif pour la dernière fois, sauf indication contraire (certains documents financiers utilisent l’année fiscale plus X années, comme indiqué). HGA révise régulièrement ces calendriers afin de garantir leur conformité avec la législation en vigueur et les besoins de l’entreprise, et met à jour la politique en conséquence .

Méthodes de suppression et d'anonymisation des données

Lorsque les données arrivent au terme de leur période de conservation ou ne sont plus nécessaires, HGA les supprime de manière sécurisée ou les anonymise de façon appropriée . La méthode choisie dépend de la catégorie de données et de la possibilité de conserver des informations non personnelles sans compromettre la confidentialité. Vous trouverez ci-dessous les pratiques standard de suppression et d’anonymisation par type de données :

  • Suppression définitive (effacement) : Pour la plupart des données personnelles, la méthode principale consiste en leur effacement complet des systèmes HGA. Cela implique de supprimer les données des bases de données actives et du stockage de fichiers, et de s’assurer qu’elles ne peuvent pas être reconstituées. Le gestionnaire système utilise des procédures de suppression sécurisées conformes aux normes du secteur. Pour les enregistrements de bases de données (par exemple, les profils utilisateurs, les transactions), la suppression consiste soit à exécuter une commande de suppression de base de données pour supprimer complètement l’enregistrement, soit, lorsque la suppression directe pourrait compromettre l’intégrité référentielle, à remplacer les champs personnels par des valeurs vides ou factices après l’exportation. Les données stockées dans des fichiers (documents, images, CV sur S3, etc.) sont supprimées à l’aide de la fonction de suppression sécurisée du fournisseur de stockage. Dans AWS S3, par exemple, les objets sont supprimés via des appels d’API, et des règles de cycle de vie sont en place pour supprimer définitivement les objets supprimés après toute période de versionnage ou de conservation. Lorsque cela est possible, l’effacement cryptographique est utilisé (par exemple, si les données sont chiffrées au repos, la suppression peut être effectuée en détruisant la clé de chiffrement, rendant le texte chiffré irrécupérable). HGA s’assure que la suppression des services cloud est exécutée dans toutes les régions où les données résident. De plus, si des données personnelles sont stockées sur des appareils locaux ou des supports amovibles pour des raisons opérationnelles, elles sont effacées de manière sécurisée (à l’aide d’outils conformes aux directives DoD 5220.22-M ou NIST 800-88 relatives à l’effacement des données) ou détruites physiquement. Concernant les documents papier, HGA utilise le broyage croisé ou l’incinération pour tout document contenant des informations personnelles ou sensibles.
  • Anonymization and Pseudonymization: In cases where HGA has a legitimate need to retain certain information for longer (e.g. analytical data, historical performance metrics) but does not need personally identifiable information, we will anonymize the data at the end of the retention period instead of outright deletion. Anonymization involves altering or removing personal identifiers so that the data can no longer be linked to an individual. This might include hashing or scrambling names, removing contact info, and aggregating or generalizing specific details. For example, instead of keeping a consultant’s full profile after they leave, we might retain that “Consultant X had 10 years experience in Sector Y” without any name or contact info attached, purely for statistical reporting. It is HGA’s policy that true anonymization is irreversible; once data is anonymized, the identifying elements are deleted and it is not possible to re-identify the individual from the anonymized dataset. If full anonymization is not feasible but the data is still needed, pseudonymization (replacing identifying fields with codes kept separately) may be used as an interim step, but ultimately the goal is either deletion or anonymization. We follow guidance such as GDPR Recital 26 to ensure that anonymized data contains no identifiers that can reasonably be used to single out a person. Example: After a support ticket is closed for 2 years, instead of keeping the user’s email and name with the ticket text, we might replace the name with “User1234” and strip out any personal details in the text, retaining just the nature of the issue and resolution for support quality analysis.
  • Archiving (Cold Storage): Certain data nearing the end of its retention period may be moved to a secure archive (with restricted access) before final deletion. Archiving is typically used for data that must be kept for legal reasons or because it still holds business value but is not actively used. Archived data is encrypted and stored offline or in low-cost cloud storage, with access limited to the System Manager or authorized personnel. During archiving, HGA reviews if any personal data can be pruned out. For instance, contract files could be archived with personal contact info redacted if not necessary. The archives themselves have defined retention – e.g. backups are a form of archive with their own schedule (see Section 6). Archiving is not used to prolong retention indefinitely; it is simply a way to securely keep data for the remainder of its required period in a less accessible form. Once an archived record hits its deletion date, the System Manager will delete it from the archive as well.
  • Demandes de suppression de données par des tiers : Pour les données stockées sur des services tiers (Stripe, S3, etc.), la suppression peut impliquer l’utilisation de l’API ou de l’interface du tiers. L’administrateur système de HGA s’assure que toute copie redondante présente dans les systèmes externes est également supprimée lors de la suppression d’un utilisateur ou d’un enregistrement dans notre système (sauf si le tiers est tenu de la conserver). Par exemple, si le profil d’un consultant est supprimé de notre base de données, nous supprimons également ses documents du compartiment S3 et demandons à Stripe de supprimer toutes les données client (à condition qu’aucune transaction active ne les nécessite). Stripe permet la suppression des profils clients ; nous utilisons cette fonctionnalité pour effacer les données personnelles telles que les moyens de paiement enregistrés lorsqu’elles ne sont plus nécessaires. Nos accords de traitement des données (ATD) avec tous les sous-traitants incluent des clauses contractuelles les obligeant à supprimer ou à restituer les données personnelles sur notre instruction ou à la fin du contrat . Ainsi, nos procédures de suppression s’appliquent à tous les emplacements où résident les données, afin de répondre pleinement à une demande de « droit à l’oubli » ou de procéder à un nettoyage de fin de vie. Nous conservons les enregistrements des demandes de suppression envoyées à des tiers et leurs confirmations, dans le cadre de notre piste d’audit (Section 8).
  • Vérification de la suppression : HGA conserve un journal de suppression comme preuve des actions d’effacement des données. Chaque suppression ou anonymisation (automatisée ou manuelle) est consignée avec la date, l’utilisateur ou le processus à l’origine de l’opération, les données ou l’enregistrement concernés et la méthode utilisée (suppression ou anonymisation). Ce journal, qui contient des informations minimales (il peut faire référence à un identifiant utilisateur ou à un identifiant d’enregistrement, mais pas au contenu intégral), est conservé à des fins de démonstration de conformité. Pour des raisons de confidentialité, le journal de suppression ne contient aucune donnée personnelle sensible, seulement les identifiants nécessaires pour indiquer les éléments supprimés. Nous auditons régulièrement ces journaux afin de garantir que les données sont bien supprimées conformément au calendrier prévu. Ces journaux permettent également de démontrer aux autorités de contrôle que, par exemple, « les données personnelles sont supprimées dès lors qu’elles ne sont plus nécessaires » .

De manière générale, les méthodes de suppression et d’anonymisation de HGA sont conçues pour être sécurisées et irréversibles . Grâce à des flux de travail clairs pour la suppression des données dans les systèmes en production, les sauvegardes et les archives , nous atténuons le risque de persistance des données au-delà de leur durée de conservation. Nous réduisons également l’exposition aux violations de données : rappelons que des données inexistantes ne peuvent être compromises. En résumé, chaque type de données sera purgé ou anonymisé au moment opportun, et le processus sera exécuté de manière à protéger la confidentialité des données lors de leur destruction (par exemple, en veillant à ce qu’aucune personne non autorisée ne puisse récupérer un fichier supprimé d’un compartiment S3 ou d’un disque dur mis hors service).

Données dans les systèmes tiers (Stripe, S3 et autres services intégrés)

La plateforme numérique de HGA s’appuie sur plusieurs prestataires tiers (sous-traitants) pour diverses fonctionnalités, notamment Stripe pour le traitement des paiements et Amazon Web Services (S3) pour le stockage cloud, ainsi que sur des API pour les communications (courriel/SMS) et les services d’IA. Cette section décrit la gestion des données stockées dans ces systèmes externes en matière de conservation et de suppression.

  • Stripe (Payment Processor): Stripe is used to handle credit card payments and payouts. The categories of data held in Stripe could include customer profiles (with name, email, possibly billing address), payment method tokens (card details in tokenized form or bank account info for payouts), and transaction records (invoices, charge details, timestamps, amounts). HGA does not store full credit card numbers or sensitive payment data on our own servers – such information is entered directly into Stripe via secure tokens, in compliance with PCI DSS guidelines (credit card data should only be stored as long as necessary for processing and then destroyed). Within Stripe, HGA configures settings to minimize data retention. Customer Data in Stripe: If HGA creates customer records in Stripe (for example, to facilitate recurring billing or to save a client’s payment method with consent), those records will be deleted when they are no longer needed. Specifically, if a client disengages from HGA and has no pending payments, the Receivables Officer will trigger deletion of their Stripe customer profile and any stored payment methods. If immediate deletion is not performed, Stripe’s records will still be reviewed periodically (at least annually) and any customer with no activity for over 2 years will be removed. Transaction Records: Stripe will inherently keep transaction logs for a period (often required for financial record-keeping). HGA relies on Stripe’s internal retention for transactions (which may align with financial record requirements, e.g. 7 years). We do not have the ability to purge individual transaction history from Stripe if it’s needed for financial statements; however, we ensure that any personal data in those records is limited (usually just name or email of payer). If an individual requests deletion of their personal data, we will consult Stripe’s capabilities – in many cases, Stripe can anonymize or delete personal identifiers on transactions without erasing the fact of the transaction. We have a Data Processing Agreement with Stripe that requires Stripe to delete or return personal data upon termination of service or at our instruction, to the extent feasible. Stripe Payouts: For paying consultants, Stripe (or integrated banking APIs) might store payee information. Similar rules apply: once a consultant’s engagement is over and after required retention (e.g. for 1099 tax reporting in the US or other payroll records) which is generally a few years, we remove or anonymize their payout details from the system.
  • Amazon S3 (Cloud Storage): AWS S3 is used to store files such as consultant-uploaded documents (CV PDFs, certifications), AI-generated documents, project deliverables, and backup data. HGA applies lifecycle rules on S3 buckets to enforce retention policies. For each bucket or data prefix corresponding to a certain data category, we configure S3 to automatically transition or expire objects. For example, documents in the “consultant-docs” bucket might have a rule to delete objects 30 days after we mark a consultant profile for deletion. Similarly, an “ai-applications” storage area can be set to purge files after 6 months. These automated rules act as a safety net in case a manual deletion is missed. In addition, the System Manager performs regular audits of S3 contents to ensure no data lingers past its due date. Backups in S3: (Backups are detailed in Section 6, but briefly) backup files stored in S3 have their own retention (e.g. daily backups for X days, etc.), managed by lifecycle rules that permanently delete expired backup files. All S3 data is encrypted at rest, and versioning is enabled on critical buckets; when we delete an object containing personal data, we also ensure previous versions are removed or are set to expire. Access Control to S3: Only the System Manager (and authorized IT staff) can access the raw S3 buckets where personal data is stored, ensuring that deletion or retention changes are done in a controlled manner. Data Subject Requests on S3 data: If we receive a deletion request, the System Manager will promptly remove the individual’s files from S3 (and not just rely on lifecycle expiration), to fulfill the request without undue delay. Amazon’s infrastructure ensures that when we delete an object, it is no longer accessible; any remnants in Amazon’s backups are governed by AWS’s compliance (AWS states that deleted data is typically overwritten in their next maintenance cycle). HGA’s agreement with AWS includes standard clauses that we are the controller of the data and AWS acts on our instructions, which includes deleting data when asked.
  • Other Integrated Services: HGA also integrates with other APIs and third-party platforms (for example, an email delivery service for system notifications, an SMS service, or the OpenAI API for AI applications). In all cases, we aim to minimize the personal data sent to these services and ensure they do not store HGA data longer than necessary. Email/SMS Services: If we use an email service (like SendGrid, Amazon SES) or SMS gateway, they might log messages for a brief period (for deliverability and troubleshooting). We have configured such services to redact or minimize personal content in logs where possible, and we rely on their default retention (often 30 days for logs). We ensure no long-term retention of message content occurs on those platforms. Analytics or Monitoring Tools: Any analytics service integrated into the portal will also follow our retention guidelines. For instance, if we track usage, we will either self-host the analytics or configure data retention settings (e.g. Google Analytics data retention setting) to not retain personal identifiers beyond our policy timeline. AI Service (OpenAI): The platform’s AI that generates applications might use an external API (OpenAI). We ensure not to send more personal data than needed in prompts, and we review OpenAI’s data usage policy – as of effective date, OpenAI does not use API data for training by default and retains it temporarily. We do not store the prompts or responses containing personal data beyond what’s needed for the AI-generated application record (which itself has a 6-month retention as noted). After an AI application’s retention is over, any cached AI outputs are deleted from our system; any data residing transiently with the AI provider is expected to be purged per their standard retention (typically 30 days for API data).

For all third parties, contracts and DPAs are in place to bind them to HGA’s data retention and deletion requirements. These agreements stipulate that the provider must assist HGA in deleting data or returning it upon request, and must not retain personal data beyond the purpose of processing. HGA maintains an inventory of all third-party systems with personal data and tracks the data types, ensuring each is covered by this policy’s scope. If a third-party service cannot meet a required retention or deletion functionality, HGA will assess alternatives or compensating controls (for example, not storing personal data on that service, or encrypting it in a way that we can “delete” by key destruction).

En résumé, les données stockées sur Stripe, S3 et autres systèmes externes sont traitées avec la même rigueur que celles sous le contrôle direct de HGA . Nous ne considérons pas les données comme « loin des yeux, loin du cœur » : si ce sont des données HGA, nous en gérons le cycle de vie. Les suppressions ou modifications apportées à notre base de données principale sont répercutées sur les plateformes intégrées, et ces dernières sont incluses dans nos revues périodiques de conservation des données. Cette approche globale garantit qu’aucune donnée personnelle n’est conservée par inadvertance dans un système tiers après sa suppression des systèmes principaux de HGA, assurant ainsi la conformité de l’ensemble de notre écosystème de données .

Sauvegardes et reprise après sinistre

HGA met en œuvre des sauvegardes régulières de données afin de garantir la continuité de ses activités et la reprise après sinistre. Toutefois, nous sommes conscients que les sauvegardes contiennent des copies de données (y compris des données personnelles) et doivent donc être gérées de manière à respecter les règles de conservation. Cette section détaille nos fenêtres de conservation des sauvegardes et nos procédures de suppression, conçues pour concilier disponibilité des données et conformité .

  • Étendue et fréquence des sauvegardes : Notre système crée des sauvegardes complètes et incrémentielles des données critiques (bases de données, stockage de fichiers, configurations système). Les sauvegardes de bases de données (fichiers de vidage ou instantanés) sont effectuées quotidiennement, et le stockage de fichiers (documents téléchargés, etc.) est versionné ou sauvegardé de manière synchronisée. Ces sauvegardes sont chiffrées et stockées dans un emplacement hors site sécurisé (principalement sur Amazon S3 ou dans un système d’archivage sécurisé). Seul l’administrateur système peut accéder aux fichiers de sauvegarde, qui sont protégés par des contrôles d’accès stricts.
  • Calendrier de conservation des sauvegardes : les sauvegardes sont conservées pendant une période limitée, suffisante pour permettre la récupération après incident sans conserver les données indéfiniment. Le calendrier standard est le suivant :
  • Sauvegardes quotidiennes – conservées pendant 14 jours (2 semaines) sur une base continue.
  • Sauvegardes hebdomadaires – une sauvegarde complète hebdomadaire est conservée pendant 3 mois (90 jours).
  • Sauvegardes mensuelles – un instantané mensuel est conservé pendant 12 mois (1 an).
  • Les sauvegardes de plus d’un an sont automatiquement supprimées. Nous ne conservons aucune sauvegarde au-delà d’un an, sauf circonstances exceptionnelles (par exemple, une sauvegarde d’archivage effectuée avant une refonte majeure du système, laquelle serait justifiée et documentée séparément). Ce processus garantit que, même après suppression, les données peuvent subsister dans les sauvegardes pendant un an maximum. Toutefois, comme expliqué ci-dessous, ces sauvegardes sont isolées et ne sont utilisées qu’en cas de nécessité ; toute restauration entraîne la suppression des données expirées.
  • Suppression et mise hors service des sauvegardes : Lorsque des données personnelles sont supprimées de nos systèmes en production (suite à une demande de la personne concernée ou à l’expiration de la période de conservation), cette suppression n’est pas immédiatement appliquée aux sauvegardes historiques (afin de préserver leur intégrité). Conformément à la réglementation, nous mettons les données de sauvegarde hors service. Cela signifie :
  • Nous ne traitons ni n’accédons activement aux données personnelles dans les sauvegardes, sauf en cas de sinistre.
  • Nous conservons un journal sécurisé des suppressions effectuées sur les systèmes en production. Si une sauvegarde antérieure à une suppression est restaurée, nous consultons ce journal et supprimons immédiatement les données précédemment effacées. Le journal des suppressions indique, par exemple, que « le profil de l’utilisateur X a été supprimé à la date Y ». Ainsi, si nous restaurons une sauvegarde effectuée à la date W (antérieure à Y), les données de l’utilisateur X seront de nouveau supprimées immédiatement après la restauration.
  • Les sauvegardes elles-mêmes sont cryptées et ne sont généralement pas lisibles sans restauration ; en effet, les données sont inaccessibles pendant la période de conservation, satisfaisant ainsi l’idée d’être inutilisables dans l’intervalle.
  • We inform individuals (via our privacy notice) that while their data is deleted from active systems, it will persist in backups until those backups expire, but will not be restored or used in the meantime except as required for disaster recovery. This transparency is in line with ICO guidance to be clear about backup data handling on erasure requests.
  • If a data subject explicitly requests complete erasure, and it is technically feasible to remove their data from backups without impairing the backup (rarely feasible for encrypted, whole-db backups), we will evaluate doing so. Generally, our approach is as endorsed by regulators: allow backups to age out, and ensure deletion if restored, rather than trying to edit historical backup files which could be impractical.
  • Secure Storage and Deletion of Backups: All backup files are stored in encrypted form (using strong encryption such as AES-256). The encryption keys are managed by HGA; only authorized personnel can decrypt a backup if needed. When backup files reach their expiration date, the System Manager confirms that the automated deletion (via S3 lifecycle rules or backup software retention settings) has occurred. If not, they will manually delete the expired backup and document the deletion. Deletion of backups from S3 or other storage is done in a way that the data is not retrievable (e.g. in S3, when an object is deleted and version expired, AWS will eventually physically expunge it according to their processes, and our encryption means even if fragments remained, they are unreadable without keys we’ve deleted). For backups stored on any physical media, media will be securely wiped or destroyed once they are no longer needed. We maintain a log of backup creation and deletion events as part of our records (which aids in demonstrating we follow the retention schedule).
  • Disaster Recovery and Restoration Procedures: In the event of data loss or a need to restore from a backup, the following steps ensure compliance:
  • The System Manager will select the newest backup that can solve the issue (preferring the most recent to minimize data divergence).
  • After restoration, they will apply any pending deletions recorded in the deletion log. For example, if user data that was deleted last week reappears because we restored a 2-week-old backup, we will immediately delete that user data again.
  • They will document that a restore occurred and that post-restore deletion reconciliation was performed, maintaining an audit trail.
  • Business Developer or relevant data owners will be notified if any data subject might notice reappearance of deleted data (so we can inform them appropriately, though our goal is to remove it before it would be observable).
  • Une fois la crise résolue, les opérations et les calendriers de conservation des données reprennent leur cours normal. La restauration temporaire des données ne prolonge pas leur durée de conservation ; les dates de création initiales restent inchangées.
  • Tests de reprise après sinistre : HGA teste régulièrement ses sauvegardes en effectuant des restaurations de test dans un environnement de test sécurisé. Ces tests consistent notamment à vérifier le bon fonctionnement de nos journaux et procédures de suppression : nous simulons la suppression de certaines données, restaurons une sauvegarde antérieure et nous assurons de pouvoir purger efficacement ces données après la restauration. Cela valide non seulement notre capacité de reprise après sinistre, mais aussi notre approche de conformité aux réglementations RGPD et CCPA en matière de sauvegardes.

En résumé, la stratégie de sauvegarde de HGA est conçue pour ne jamais conserver les données personnelles plus longtemps que nécessaire, même dans les sauvegardes, tout en assurant leur protection en cas de sinistre légitime . La conservation des sauvegardes est justifiée par la continuité des activités (un intérêt légitime et souvent une obligation légale pour les responsables du traitement des données de disposer de sauvegardes ). Ces justifications sont documentées et les sauvegardes sont soumises aux mêmes mesures de protection des données (contrôle d’accès, chiffrement, suppression éventuelle) que les données de production. En limitant la conservation des sauvegardes à un an, et généralement bien moins pour les sauvegardes fréquentes, nous réduisons la période pendant laquelle des données supprimées pourraient subsister dans notre système. Cette expiration systématique des sauvegardes garantit qu’en pratique, aucune donnée personnelle ne subsiste sous quelque forme que ce soit (données en production ou sauvegardes) au-delà de la période de conservation maximale indiquée, augmentée du chevauchement des sauvegardes (un an maximum) .

Exigences légales et réglementaires (RGPD, CCPA et meilleures pratiques mondiales)

Cette politique vise à garantir la conformité de HGA avec toutes les lois et réglementations applicables en matière de protection des données, notamment le Règlement général sur la protection des données (RGPD) de l’UE et la loi californienne sur la protection de la vie privée des consommateurs (CCPA), telle que modifiée par la loi californienne sur les droits à la vie privée (CPRA), ainsi qu’avec les lois applicables dans les autres juridictions où HGA exerce ses activités. Nous intégrons également les meilleures pratiques et normes du secteur en matière de gestion du cycle de vie des données. Les principaux éléments de conformité juridique abordés sont les suivants :

  • Limitation de la conservation (article 5 du RGPD) : Nous respectons le principe du RGPD selon lequel les données personnelles ne doivent pas être conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles ont été collectées. Comme indiqué dans la section 3, chaque catégorie de données personnelles a une durée de conservation établie, liée à sa finalité initiale. Une fois cette durée expirée (ou la finalité atteinte et en l’absence d’autre fondement juridique justifiant la conservation), les données sont supprimées ou anonymisées. Nous documentons les justifications de chaque durée de conservation, conformément à l’obligation de responsabilité du RGPD, afin de pouvoir démontrer pourquoi chaque type de données est conservé pendant la durée indiquée. Nous mettons également en œuvre des processus de révision périodique des données – par exemple, des tâches planifiées ou des rappels dans un calendrier pour que les responsables des données examinent leurs données – afin que les données devenues inutiles puissent être signalées et supprimées, le cas échéant, avant la durée de conservation maximale.
  • Droits des personnes concernées (articles 15 à 20 du RGPD ; droits en vertu du CCPA) : HGA respecte les droits des personnes concernant leurs données personnelles. En particulier, le droit à l’effacement (« droit à l’oubli ») en vertu du RGPD et le droit à la suppression en vertu du CCPA/CPRA sont au cœur de cette politique. Nous avons mis en place une procédure définie pour traiter ces demandes :
  • Les personnes (consultants, clients ou employés) peuvent demander la suppression de leurs données personnelles en contactant HGA par les canaux désignés (tels que décrits dans notre avis de confidentialité).
  • Dès réception d’une demande vérifiée, le responsable du développement commercial (pour les données des consultants) ou tout autre propriétaire de données approprié, en collaboration avec le gestionnaire du système, localisera toutes les données personnelles concernant la personne dans nos systèmes (y compris les bases de données actives et les systèmes tiers).
  • Nous effacerons les données sans délai indu, généralement sous 30 jours pour les demandes RGPD et sous 45 jours (délai légal) pour les demandes CCPA (avec une possible prolongation de 45 jours si nécessaire, conformément au CCPA, mais nous visons à être plus rapides).
  • Nous contactons également nos sous-traitants (Stripe, etc.) ou utilisons leurs outils pour nous assurer que les données de l’individu sont également supprimées de leurs systèmes .
  • If certain data cannot be deleted due to a legal obligation or exception (for example, CCPA includes exceptions where a business may retain data needed to complete a transaction, detect fraud, or comply with a legal obligation), we will inform the individual of that and will isolate that data from active use. For instance, if a consultant who was paid by HGA requests deletion, we must retain payment records for accounting, but we can remove their profile and other data. In such cases, we mark the data as blocked for other uses and ensure it’s only kept for the required period then deleted.
  • We maintain records of requests and our responses to demonstrate compliance with these rights. According to GDPR, deletions following an individual’s request should also be communicated to any third-parties who received the data (unless this is impossible or involves disproportionate effort). HGA will notify relevant third parties of the need to delete that data (for example, if a consultant’s CV had been shared with a client in a proposal, and now the consultant invokes erasure, we will inform the client to delete their copy, unless an overriding legal reason prevents it).
  • In summary, HGA fully enables data subjects to exercise their rights, and our retention practices align such that fulfilling a deletion request is straightforward (our systems are designed to delete upon command, not to lock in data).
  • Disclosure of Retention Schedules (CPRA requirement): Under the CPRA, businesses must inform consumers about the length of time they intend to retain each category of personal information or the criteria used to determine such period. HGA complies by publishing our retention schedules (in summarized form) in our external Privacy Policy. We list the categories of personal data we collect (e.g. contact info, professional info, financial info, etc. corresponding to CCPA categories) and for each, we state the retention period or criteria. For example, “Identification and contact data – retained for the duration of the consultancy plus 2 years.” This transparency fulfills CPRA and also mirrors GDPR’s expectation (Recital 39) that time limits for erasure be communicated or at least available.
  • Conservation légale des données : Si HGA est impliquée dans un litige, une enquête ou reçoit une injonction (telle qu’une ordonnance de conservation ou une assignation) exigeant la conservation de certaines données au-delà des délais habituels, nous suspendons la suppression des enregistrements concernés (ce que l’on appelle souvent une « conservation légale »). Le responsable système et le service juridique collaborent pour identifier les données soumises à cette conservation (par exemple, les courriels de certains employés, les fichiers relatifs à un projet litigieux) et s’assurent qu’elles sont exemptées de suppression de routine. Nous étiquetons ou isolons ces données afin d’éviter toute suppression accidentelle. Une fois la conservation levée (affaire close, etc.), nous reprenons rapidement notre politique de conservation habituelle des données, y compris la suppression de tout élément dont la période de conservation est désormais expirée. Nous veillons également à ce que les nouvelles sauvegardes contenant ces données ne soient pas supprimées pendant la durée de la conservation, même si elles dépassent la période de conservation habituelle, afin d’éviter toute destruction de preuves. Les conservations légales sont documentées, y compris leur portée et leur durée, dans le cadre de notre préparation aux audits (voir section 8).
  • Notification des violations de données et réglementations en matière de sécurité des données : Bien que cela ne relève pas directement de la conservation des données, les efforts de conformité de HGA incluent le respect des lois relatives à la notification des violations de données. Conformément au RGPD, en cas de violation de données personnelles susceptible d’entraîner un risque pour les droits des personnes, nous en informerons l’autorité de protection des données compétente dans un délai de 72 heures et les personnes concernées sans délai indu. En vertu de diverses lois étatiques américaines, notamment le CCPA (tel que modifié par le CPRA), nous informerons les résidents californiens concernés en cas de violation de sécurité qualifiée de leurs informations personnelles. La conservation de nos journaux d’audit et journaux système (pendant un an minimum) facilite la détection des violations et l’analyse forensique. Nous conservons les journaux de sécurité (tentatives de connexion, journaux d’accès aux données, etc.) généralement pendant au moins 12 mois , et parfois plus longtemps si nécessaire pour les enquêtes, afin de pouvoir identifier les données consultées lors d’une violation. Ces journaux, bien que ne contenant pas de données personnelles sensibles, sont considérés comme faisant partie de nos catégories de données (journaux système) et sont protégés. Il est important de noter qu’en imposant des limites strictes de conservation des données personnelles, nous réduisons la quantité de données susceptibles d’être exposées en cas de violation de données . Cette atténuation des risques est reconnue par le RGPD (le considérant 39 mentionne la minimisation des données et la limitation de leur conservation comme mesures de sécurité) et par la CPRA, qui encourage la minimisation des données afin de limiter les dommages liés à une violation de données. En cas de violation, toutes les données dont la suppression était prévue mais qui sont encore présentes (par exemple, dans des sauvegardes) seront évaluées et, si elles ne sont pas nécessaires, nous pourrons accélérer leur suppression afin de prévenir tout risque supplémentaire.
  • Documentation et responsabilité : HGA conserve des enregistrements détaillés de ses activités de traitement et de ses décisions en matière de conservation des données. Ce document de politique constitue la référence principale. De plus, nous tenons un registre des calendriers de conservation des données (souvent sous forme de tableur ou de base de données) qui répertorie chaque donnée, sa classification, sa durée de conservation et sa méthode d’élimination, avec des références à la base juridique ou à la justification commerciale . Nous conservons des traces de la suppression des données – par exemple, les journaux de suppression de données mentionnés précédemment, ainsi que tous les formulaires ou tickets utilisés pour approuver cette suppression. Lors d’audits ou d’évaluations de conformité (internes, externes ou réglementaires), nous pouvons produire les documents suivants :
  • Cette politique et toutes ses mises à jour (avec historique des versions).
  • Le calendrier de conservation et les journaux de justification.
  • Exemples d’enregistrements de suppression ou de rapports d’anonymisation.
  • Dossiers de formation montrant que les employés ayant des responsabilités (rôles de la section 2) ont été formés sur la politique.
  • Accords DPA de tiers montrant que nos partenaires sont contractuellement tenus de se conformer (y compris de coopérer aux suppressions) .
  • Les avis de confidentialité et les formulaires de consentement fournis aux personnes concernées contiennent des informations sur la conservation des données. L’ensemble de ces documents est conforme au principe de responsabilité du RGPD et aux exigences de conservation des données du CCPA/CPRA. Ils nous permettent, si une autorité de contrôle nous demande : « Pouvez-vous prouver que vous supprimez les données personnelles après X années ? », de répondre par l’affirmative et d’en apporter la preuve .

En résumé, la politique de conservation et de suppression des données de HGA est conçue pour respecter, voire dépasser, les exigences du RGPD, du CCPA/CPRA et des autres lois relatives à la protection de la vie privée. En justifiant les durées de conservation , en les communiquant, en permettant la suppression sur demande et en intégrant ces règles à l’ensemble de nos systèmes (y compris ceux de tiers), nous garantissons le respect des droits des personnes et la confidentialité de leurs données. La conformité n’est pas une simple formalité, mais une pratique continue : nous examinons régulièrement les évolutions législatives (par exemple, les nouvelles lois nationales ou les modifications des lignes directrices de l’UE) et adaptons cette politique en conséquence. Par exemple, si une nouvelle loi dans un pays où nous opérons impose une durée de conservation plus courte pour certaines données, cette information sera mise à jour dans la section 3 et communiquée. En définitive, cette politique met en œuvre le principe selon lequel HGA ne conserve les données que pendant la durée où elles ont une valeur et une justification légale, et pas au-delà .

Pistes d'audit, surveillance et mécanismes d'examen

HGA a mis en place plusieurs contrôles pour assurer le respect de la présente politique de conservation et de suppression des données et se préparer aux audits (internes, externes ou menés par les autorités réglementaires). Ces mécanismes garantissent que nous ne nous contentons pas d’établir des règles, mais que nous les appliquons et les vérifions activement.

  • Journal d’audit des suppressions et des accès aux données : Dans le cadre de la conception du système, nous enregistrons les opérations critiques liées au cycle de vie des données :
  • Lorsqu’un enregistrement contenant des données personnelles est supprimé (ou anonymisé), le système génère une entrée de journal. Cette entrée indique généralement l’enregistrement (ou au moins l’ensemble de données) concerné, la date et l’heure, ainsi que l’utilisateur ou le processus ayant effectué la suppression. Par exemple, si un administrateur supprime le profil d’un consultant, le système peut consigner : « Profil n° 123 supprimé par AdminID à l’horodatage ». Ces journaux sont stockés dans une base de données d’audit inviolable (seul le système peut y ajouter des données ; les utilisateurs ne peuvent pas la modifier).
  • Nous enregistrons également les exportations de données et les accès massifs, car une exportation en masse peut s’apparenter à la conservation de données hors du système. Le suivi des accès nous permet de détecter toute extraction de données avant leur suppression et de garantir la gestion ou la destruction des copies extraites. Notre système surveille les schémas d’accès inhabituels pouvant indiquer une tentative de contournement de la conservation des données (par exemple, l’enregistrement local de volumineux ensembles de données).
  • Les journaux d’audit sont considérés comme des documents confidentiels et ne sont accessibles qu’au responsable système et aux responsables de la conformité. Ils ne contiennent pas de données personnelles brutes, mais uniquement des références ; leur conservation est donc prolongée à des fins de traçabilité (nous conservons les journaux d’audit pendant au moins deux ans, et certains journaux d’audit de sécurité pendant cinq ans maximum).
  • Ces journaux répondent aux exigences du RGPD en matière de démonstration de conformité et sont utiles pour répondre aux demandes de renseignements ou aux audits. Si, par exemple, une autorité de contrôle demande la preuve de la suppression des données d’un utilisateur, nous pouvons lui fournir l’entrée correspondante dans le journal et la date.
  • Examens périodiques de la politique et audits des données : HGA procédera à un examen de cette politique au moins une fois par an , ainsi qu’en cas de changement significatif de ses pratiques en matière de données ou d’obligations légales. Cet examen est mené par [le délégué à la protection des données (le cas échéant) ou le responsable de la conformité, en collaboration avec le responsable système]. Ils devront :
  • Nous vérifions la durée de conservation de chaque catégorie de données au regard de la législation en vigueur et des besoins de l’entreprise. Si une nouvelle loi impose une modification (par exemple, si un pays instaure une limite de conservation des CV à 5 ans), nous mettons à jour notre politique et la communiquons.
  • Évaluer si des catégories de données sont apparues ou ont changé (par exemple, si nous commençons à collecter un nouveau type de données personnelles, nous l’ajoutons au calendrier).
  • Évaluer l’efficacité des procédures de suppression – examiner un échantillon de suppressions pour s’assurer qu’elles ont eu lieu à temps et de manière complète.
  • Analysez des indicateurs tels que le nombre de demandes de suppression traitées dans les délais du SLA, les incidents de conservation de données au-delà de la période de rétention, etc. Les conclusions de chaque examen sont documentées et toutes les actions (telles que « mettre en œuvre un nouvel outil d’anonymisation automatisée » ou « raccourcir la période de rétention des données X ») sont suivies jusqu’à leur achèvement.
  • Surveillance continue et alertes : le gestionnaire système configure des alertes automatisées pour certaines conditions, telles que :
  • Dépassement de la période de rétention : par exemple, une tâche planifiée signale les enregistrements de la base de données dont l’horodatage est antérieur à la période de rétention et qui n’ont pas été supprimés. Ou encore un rapport S3 listant les objets datant de plus de X jours dans certains compartiments. Ces alertes déclenchent une action corrective immédiate.
  • Conservation des sauvegardes : notifications si des fichiers de sauvegarde approchent ou dépassent leur limite de conservation, afin de vérifier leur suppression.
  • Échecs du processus de suppression : si une tâche de suppression automatisée échoue (par exemple, en raison d’une erreur système), une alerte est déclenchée afin qu’elle puisse être relancée rapidement. Ces contrôles techniques permettent de détecter les problèmes de manière proactive.
  • Audits internes et contrôles de conformité : HGA peut réaliser des audits internes (ou faire appel à des auditeurs externes) afin de vérifier le respect de la présente politique. Ces audits comprennent :
  • Vérifier si les données qui auraient dû être supprimées ont bien disparu des systèmes primaire et secondaire.
  • Vérifier que les droits d’accès correspondent aux rôles (personne en dehors des rôles autorisés ne peut accéder aux données ni les supprimer en violation de la politique).
  • Interroger le personnel responsable (développeur commercial, comptes clients, comptes fournisseurs, gestionnaire de système) pour s’assurer qu’ils comprennent et suivent les procédures (par exemple, demander aux comptes clients de montrer comment ils suppriment les anciens clients Stripe).
  • Nous examinons la documentation, notamment les cartographies de données, les analyses d’impact relatives à la protection des données (AIPD) et les dossiers de formation. Les résultats des audits internes sont communiqués à la direction et toute anomalie est corrigée sans délai. Un indicateur courant est le pourcentage de données conservées au-delà de leur durée de conservation autorisée ; notre objectif est d’atteindre 0 %, c’est-à-dire qu’aucune donnée n’est conservée au-delà de cette durée. Tout écart par rapport à ce seuil fait l’objet d’une action corrective.
  • Préparation aux audits : En prévision d’éventuels audits externes ou enquêtes (de clients ou d’organismes de réglementation), HGA conserve un répertoire bien organisé de documents de conformité, tels que :
  • Les versions actuelles et précédentes de cette politique (historique des versions).
  • Le calendrier de conservation des données et toute modification apportée à celui-ci, avec justification (par exemple, des notes de service expliquant pourquoi nous avons choisi 2 ans pour les tickets d’assistance en nous référant aux pratiques du secteur).
  • Comptes rendus des sessions de formation du personnel sur la conservation et la confidentialité des données.
  • Nous conservons les journaux d’audit et les récapitulatifs des suppressions effectuées. Un rapport trimestriel pourrait être établi afin de récapituler le nombre d’enregistrements supprimés de chaque type et ainsi démontrer l’efficacité des mesures mises en œuvre.
  • Journaux des demandes des personnes concernées (nombre de demandes d’accès ou de suppression reçues, traitées dans les délais, etc.).
  • Copies des lois ou directives pertinentes sur lesquelles nous nous appuyons (pour démontrer que nous nous y sommes conformés).

En maintenant cette disponibilité, HGA peut répondre efficacement aux questionnaires de diligence raisonnable des clients (qui s’enquièrent souvent des politiques de conservation des données pour la conformité au RGPD/CCPA) ou aux audits réglementaires sans avoir à se démener pour trouver des informations.

  • Application et responsabilité : Tous les employés et sous-traitants de HGA ayant accès aux données de l’entreprise sont tenus de respecter cette politique. Toute infraction (comme la conservation de copies non autorisées de données ou le défaut de suppression de données lorsque cela est requis) peut entraîner des mesures disciplinaires pouvant aller jusqu’au licenciement. Ces règles sont communiquées lors des formations et dans notre manuel de l’employé. Nous intégrons également le respect des obligations de conservation des données dans notre gestion des fournisseurs : par exemple, si nous partageons des données avec un sous-traitant ou un partenaire, notre contrat l’oblige à respecter nos délais de conservation et à supprimer les données fournies dès qu’elles ne sont plus nécessaires. Des audits réguliers sont également effectués auprès de nos principaux fournisseurs afin de vérifier leur gestion des données.
  • Amélioration continue : HGA reconnaît que la gouvernance des données est un domaine en constante évolution. Nous suivons les mises à jour des autorités de protection des données (par exemple, les lignes directrices du CEPD, les recommandations de la FTC, etc.) et tirons des enseignements des incidents survenus dans le secteur. Si une autre entreprise est sanctionnée pour conservation excessive de données ou si de nouvelles bonnes pratiques émergent (comme de nouveaux outils d’anonymisation automatisée), nous envisageons de les intégrer. Nous organisons régulièrement des exercices de simulation , tels que la simulation d’une enquête réglementaire (« Veuillez nous fournir des preuves de conformité pour les données de catégorie X »), afin de garantir que notre équipe puisse rapidement fournir les éléments de preuve. Nos réunions mensuelles/trimestrielles de conformité incluent un point permanent à l’ordre du jour consacré à la conservation des données, permettant d’aborder les problèmes rencontrés et les pistes d’amélioration.

En mettant en œuvre ces mécanismes d’audit et de révision, HGA s’assure que sa politique de conservation et de suppression des données n’est pas un document ponctuel, mais une pratique évolutive . Nous veillons à ce que les données soient traitées correctement tout au long de leur cycle de vie et que nous puissions démontrer avec assurance notre conformité à tout moment. Cette rigueur protège la vie privée de nos utilisateurs, préserve la confiance et réduit les risques pour l’organisation.

Gestion documentaire : Ce document est géré par le responsable de la conformité de HGA. Il sera revu et approuvé par la direction au moins une fois par an ou dès que des modifications importantes y seront apportées. La version la plus récente sera publiée en interne (et des extraits pertinents seront intégrés aux mentions d’information externes relatives à la protection des données, le cas échéant). Pour toute question concernant cette politique ou le traitement des données, veuillez contacter info@humanicsgroup.com.

Tout le personnel de HGA est tenu de respecter cette politique. En suivant ces directives relatives à la conservation et à la suppression des données, HGA garantit la conformité réglementaire, protège les droits à la vie privée et gère de manière responsable les données qui lui sont confiées tout au long de leur cycle de vie.