Résumé succinct
La plupart des entreprises réglementées savent ouvrir des dossiers. Beaucoup moins d’entre eux disposent d’une procédure documentée de clôture des dossiers qui satisfait aux obligations de conservation du RGPD, de la LBC et des obligations de conservation spécifiques au secteur. Voici le guide complet : que conserver, que supprimer et comment prouver que vous l'avez fait correctement.
- Ce que le flux de travail de conformité doit prouver.
- Quels contrôles et preuves les acheteurs devraient vérifier.
- Comment HubSecure s'adapte sans remplacer les conseils juridiques.
Clôture des dossiers clients : conservation des données, suppression et exigences d'audit pour les entreprises réglementées : Comment les entreprises réglementées doivent fermer correctement les dossiers clients – que conserver, pendant combien de temps, que supprimer et comment créer un dossier prêt à être audité. Couvre…
HubSecure est pertinent lorsque les équipes ont besoin de dossiers clients sécurisés, de collecte de documents, de propriété des flux de travail, d'un accès basé sur les rôles et de preuves prêtes à être auditées dans un seul espace de travail gouverné.
Lorsque la question du client se termine, le travail de conformité n'est pas terminé. La fermeture d'un fichier vous oblige à : déterminer ce qui doit être conservé et pour combien de temps, identifier ce qui doit être supprimé et quand, archiver les bons documents dans le bon format, et documenter la fermeture d'une manière qui répondra à un régulateur ou à une personne concernée des années plus tard.
Ce n'est pas un service administratif. L'ICO et les ADP européens ont pris des mesures à l'encontre des entreprises qui conservaient des données à caractère personnel au-delà de leur objectif — et également à l'encontre des entreprises qui détruisaient des documents nécessaires à une enquête réglementaire en cours. Pour parvenir à un juste équilibre, il faut une procédure documentée.
Voie d'achat HubSecure connexe
Guide de la collection de documents et de la faille guide de la collection de documents sécurisé B01 module Guide logiciel de la collection de documents de comparaison Dropbox Guide de la bibliothèque livre une démo de workflow
Ressources connexes en matière de sécurité, de protection de la vie privée et de gouvernance
Continuer avec HubSecure centre de sécurité et de confiance , accord de traitement de données , sous-processeurs , flux de travail de conformité , opérateur AI régi .
Cas d'utilisation connexe
Ce guide appartient au cluster Secure Document Collection Guides. Continuer avec le hub produit pour une collecte de documents sécurisée.
Principe de limitation du stockage du RGPD
L'article 5, paragraphe 1, point e), du RGPD exige que les données à caractère personnel soient "conservées sous une forme qui permette l'identification des personnes concernées pour une durée ne dépassant pas ce qui est nécessaire aux fins pour lesquelles les données à caractère personnel sont traitées". C'est le principe de limitation du stockage, et il s'applique aux fichiers clients dans sa pleine force.
Il n'y a pas de période de conservation unique du RGPD — la période correcte dépend de votre base juridique pour le traitement et de toute obligation de conservation spécifique au secteur qui l'emporte sur le défaut. La clé est de documenter votre période de conservation pour chaque catégorie de données et de pouvoir la justifier si elle est contestée.
La tension que vous devez gérer
RGPD dit: supprimer dès que nécessaire. Selon la loi AML : conserver les dossiers KYC pendant 5 ans après la fin de la relation d'affaires. La loi fiscale peut dire 7 ans. Les délais de prescription peuvent exiger que les dossiers survivent de 6 à 12 ans pour les réclamations de négligence professionnelle. La réponse est de ne pas en choisir une — c'est de ne conserver que ce que chaque base juridique exige, pour autant que chaque base le permet, avec des documents distincts pour chaque catégorie.
Calendrier de conservation par catégorie de données
| Catégorie de données | Conservation minimale | Base juridique | Déclencheur |
|---|---|---|---|
| Enregistrements AML/KYC (documents d'identification, données UBO) | 5 ans |
AMLD Article 40 / Droit national de la LAM | Dès la fin de la relation d'affaires |
| Registres de surveillance des transactions AML | 5 ans |
AMLD Article 40 | À compter de la date de l'opération |
| Dossiers juridiques (solliciteur) | 6 ans (Angleterre/Wales) | Loi de 1980 sur les limitations + directives SRA | De la conclusion de la question |
| Conveyancing / fichiers de propriétés | 12 ans |
Loi sur la limitation (actions = 12 ans) | Dès la fin de l'opération |
| Dossiers de conseils financiers (MiFID II) | 5 ans (7 ans en cas de pension) | MiFID II Article 16, paragraphe 7 | À partir de la date de signification |
| Registres des polices d'assurance | 3-7 ans selon la juridiction | Droit national des assurances | Dès l'expiration de la police |
| Dossiers médicaux des patients (UE) | 10 ans (adultes); plus longue pour les mineurs | Droit national de la santé / RGPD Art.9 | Depuis le dernier traitement |
| Comptabilité / documents financiers | 7 ans |
Législation fiscale nationale | À partir de la fin de l'exercice |
| Contrats avec des clients | 6 ans |
Loi sur la prescription / droit des contrats | Dès l'expiration du contrat |
| Correspondance par courriel (réglementée) | Suivre la rétention des matières primaires | Relié à la catégorie de matières ci-dessus | De la matière proche |
| Registres de consentement à la commercialisation | Durée du consentement + 3 ans de preuve | RGPD Art.7(1) / Vie privée | Retrait ou expiration du consentement |
| Rapports de sifflement | 5 ans |
Directive sur le sifflement (2019/1937) | Date de clôture du rapport |
La procédure de clôture du dossier en 8 étapes
Confirmation de la conclusion
L'événement de clôture, l'achèvement de la transaction, l'avis final donné, la conclusion de l'affaire, la fin de la relation, doivent être enregistrés avec une date. Cette date est le déclencheur de tous les calculs de rétention ultérieurs. Sans date de fermeture enregistrée, vous ne pouvez pas exécuter un calendrier de conservation correct.
Categorise tout le contenu du fichier par période de conservation
Séparez le fichier en catégories selon votre calendrier de conservation. Un seul dossier client peut contenir des dossiers de LMA (5 ans), de la correspondance juridique (6 ans), des contrats signés (6 ans) et des dossiers de consentement à la commercialisation (3 ans). Chaque catégorie a sa propre date de suppression — ils ne suivent pas tous la période la plus longue.
Retourner les originaux au client
Les documents originaux appartenant au client — actes, certificats, accords originaux signés — doivent être retournés (ou offerts pour déclaration) lors de la fermeture du dossier. Confirmez le reçu. Vos copies peuvent alors être conservées pendant la période applicable.
Archiver les documents conservés en toute sécurité
Déplacer les documents conservés dans une archive sécurisée avec accès limité au personnel autorisé. Pour les fichiers numériques, assurez-vous que l'archive est cryptée, bloquée et ne peut pas être modifiée (pour l'intégrité). Pour les fichiers physiques, stockage verrouillé, résistant au feu avec un journal d'accès.
Définir des rappels de suppression automatique
Enregistrez la date de suppression pour chaque catégorie de fichiers dans votre système. La suppression doit être programmée — cela n'arrivera pas autrement. La plupart des entreprises constatent que les rappels automatisés (90 jours avant la suppression sont dus) laissent le temps d'effectuer une vérification juridique finale avant la destruction.
Vérifier la rétention légale avant la suppression
Avant toute suppression prévue, vérifier si une retenue légale s'applique — litige en instance, enquête réglementaire, demande d'accès au dossier ou demande d'assurance en instance. Si une attente s'applique, arrêtez la suppression et documentez pourquoi. Une cale légale ne prolonge pas indéfiniment la période de conservation; elle la suspend jusqu'à ce que la cale soit levée.
Supprimer et documenter en toute sécurité
La suppression d'enregistrements numériques doit être une véritable effacement — l'écrasement, l'effacement cryptographique ou la suppression vérifiée — et non pas simplement le déplacement vers la poubelle. Pour les enregistrements physiques, le déchiquetage croisé ou la destruction certifiée. Dans les deux cas, créer un certificat de destruction: ce qui a été détruit, quand, par qui et par quelle méthode.
Fermer le dossier — pas la piste de vérification
Le dossier dans votre CRM devrait être marqué fermé, avec le calendrier de conservation et les certificats de suppression joints. La piste de vérification de la question existante — dates, parties, services fournis — peut être conservée sous une forme minimale (aucune donnée personnelle au-delà de ce qui est requis) aussi longtemps que nécessaire pour la continuité des activités, la gestion des délais de prescription et l'indemnisation professionnelle. Ceci est distinct de la conservation du dossier de fond.
Droits des personnes concernées par le RGPD et fichiers fermés
La fermeture d'un fichier n'éteint pas les droits de la personne concernée. Un client peut soumettre une demande d'accès à un sujet pour une question qui a été réglée il y a 3 ans. Vous devez être en mesure de localiser les dossiers conservés, d'effacer les données personnelles de tiers et de répondre dans les 30 jours.
Ils peuvent également demander l'effacement. Les demandes d'effacement d'un client dont le dossier est dans le délai de conservation peuvent généralement être refusées si vous avez l'obligation légale de conserver les données (article 17, paragraphe 3, point b)), mais vous devez le leur dire et leur indiquer quand la suppression aura lieu.
Maintenir un index de matière même après la suppression du contenu du fichier. L'index doit consigner : référence de la matière, nom du client, type de matière, date de clôture et date de fin de conservation. Cela vous permet de répondre aux SAR et de confirmer la suppression sans réouvrir le fichier lui-même.
Calendrier automatisé de conservation et de suppression
HubSecure s Le module Vault applique automatiquement votre calendrier de conservation — chaque catégorie de document obtient sa propre date de suppression, les pauses légales s'exécutent automatiquement et les certificats de destruction sont générés et stockés. Pas de tableurs, pas de délais de suppression manqués.