……mais aussi de l’énergie, de l’argent, et en conformité !

 

Affaires « Doctissimo », « Obeeqo International », « Greffes des tribunaux de commerce »… ces dernières amendes prononcées par la CNIL [1] ont en commun de toutes sanctionner au moins un même manquement aux règles applicables en matière de protection des données : celles relatives aux durées de conservation.

Pour éviter d’être, vous aussi, un jour rappelé à l’ordre par la Commission, il est temps de faire le point sur ce sujet délicat.

RGPD-Experts vous explique tout ce qu’il faut savoir sur les durées de conservation, en un temps record ! 

Dans un premier temps : rappel du cadre légal

 

Le Règlement Général sur la Protection des Données Personnelles (RGPD) impose aux organismes de ne pas conserver éternellement les données personnelles qu’ils collectent.

La difficulté de ce texte réside toutefois dans son silence. En effet, le règlement européen ne détermine pas de délais fixes de conservation, qui sont laissés à l’appréciation des responsables de traitement.

Article 5(1)(e) RGPD : «Les données à caractère personnel doivent être : […] conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) »

Cette souplesse de la législation a pour avantage d’être pragmatique. Elle permet aux organismes d’adapter ces durées de conservation à leurs besoins réels, en fonction de l’objectif poursuivi par le recueil des données personnelles.

Mais cette flexibilité n’est pas sans risque, puisqu’il appartiendra au responsable de traitement de justifier son choix en cas de contrôle, conformément au principe « d’accountability »[2]. Pas question pour la CNIL de les laisser faire la pluie et le beau temps !

Dans un deuxième temps : retour sur la notion de durée de conservation

 

La plupart du temps, il n’existe pas une, mais des durées de conservation. Et oui, plusieurs durées peuvent s’appliquer concomitamment selon :

• Le type de données concernées

Exemple : une carte de fidélité contient plusieurs catégories de données personnelles, qui peuvent ne pas se voir appliquer les mêmes durées de conservation (numéro de carte de fidélité, identité de la personne, etc.).

• L’étape du cycle de vie des données concernée

Une fois recueillie, une donnée personnelle peut être conservée sous différentes formes :

PHASE 1 : La base active 

Lorsqu’elle sert encore, de manière courante et quotidienne, à accomplir la mission pour laquelle elle a été collectée.

Exemple : l’identité, les coordonnées et les informations sur le temps de travail d’un salarié, afin de lui adresser chaque mois sa fiche de paie. 

En pratique, ces renseignements sont conservés de manière à être facilement accessibles dans l’environnement de travail des services ayant besoin d’en connaître, tels que dans des fichiers sécurisés sur des postes de travail.

Les données doivent en théorie être effacées dès qu’elles ont permis d’atteindre l’objectif initialement poursuivi. Ce n’est que par exception qu’elles peuvent être gardées plus longtemps par l’organisme.

PHASE 2 : L’archivage intermédiaire 

Cet archivage intervient lorsque la donnée n’est plus utile pour poursuivre le but pour lequel elle avait été recueillie, mais qu’entre-temps sa conservation présente encore un intérêt pour le responsable de traitement (pour des raisons administratives ou lui permettre de répondre à ses obligations légales, notamment).

Exemple : les indications portées sur le registre unique du personnel doivent être conservées pendant 5 ans après le départ du salarié, conformément à l’art. R.1221-26 du Code du travail

RAPPEL: le responsable de traitement doit prendre les mesures nécessaires pour assurer la protection des données personnelles qu’il exploite. En archivage intermédiaire, il doit donc s’assurer que ces informations sont stockées de manière sécurisée et qu’elles ne peuvent être consultées que de manière ponctuelle, pour des motifs spécifiques et par des personnes spécialement habilitées.

PHASE 3 : éventuellement en archivage définitif

Exceptionnellement, certaines données peuvent être conservées sans limitation de durée alors même qu’elles ont déjà fait leur temps. Tel est le cas d’archives publiques, qui présentent un intérêt historique, scientifique ou statistique justifiant qu’elle ne fasse l’objet d’aucune destruction[3].

En matière de durées de conservation comme ailleurs, chaque chose en son temps donc !

Dans un dernier temps : comment déterminer la durée de conservation d’une donnée ?

S’il appartient au responsable de traitements de déterminer la durée de conservation qu’il souhaite appliquer aux données qu’il manipule, RGPD-Experts vous livre le raisonnement à tenir pour obtenir en temps utiles des durées convenables de conservation :

① Rechercher l’existence d’un texte ou d’une législation imposant un délai de conservation spécifique

Exemple : les images de vidéoprotection ne peuvent en principe pas être conservées plus d’un mois. (art. L252-3 du Code de la sécurité intérieure).

Les délais de prescription d’éventuelles actions en justice peuvent également être des indicateurs précieux pour déterminer les durées de conservations, lorsque les informations sont conservées pour se prémunir d’un éventuel contentieux ou se défendre en cas d’action en justice.

 

② À défaut, rechercher l’existence de normes ou d’une doctrine de la CNIL

En l’absence de textes légaux, il est aussi possible de se référer aux anciennes normes simplifiées ou autorisations uniques de la Commission, voire aux référentiels sectoriels qu’elle publie et à ses recommandations.

Exemple : la CNIL estime que les CV recueillis lors de recrutements peuvent être conservés pour une durée maximale de 2 ans avec l’accord de la personne, pour que l’organisme puisse recontacter les profils qui l’intéressent si besoin.

③ À défaut, seule la finalité de la collecte de la donnée personnelle permet de choisir un délai de conservation adéquat

De manière générale, plus les données sont sensibles, moins il est toléré de les conserver longtemps.

Soyez vigilant : la CNIL ne vérifie pas uniquement que le responsable de traitement a bien fixé des durées de conservation théoriques selon les catégories de données traitées. Elle contrôle aussi et surtout la mise en œuvre concrète de ces mesures, à savoir l’archivage progressif et sécurisé des données jusqu’à leur suppression totale, dans les délais impartis.

* * *

Depuis le temps que le RGPD est entré en vigueur, nous ne vous ferons pas l’offense de vous rappeler que bien d’autres règles encadrent la gestion des durées de conservation de vos données, et que celles-ci doivent entre autres :

• Être portées à la connaissance des personnes concernées ;
• Mentionnées dans le registre des activités de traitement de l’organisme et votre documentation de conformité ;
• Appliquées même dans l’hypothèse d’une sous-traitance des données, etc.

Il n’est pas inutile de refaire de temps en temps un point sur ses connaissances ! Si vous avez négligé ces règles de base de la protection des données au point de ne plus être certain de votre conformité, notre équipe d’experts vous consacrera tout le temps nécessaire pour vous former et vous accompagner dans vos démarches. Pour plus d’informations, rendez-vous sur notre site Internet : https://www.rgpd-experts.com/

L.H

[1]  La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2]  Pour rappel, ce principe sous-tend que vous vous conformiez aux règles applicables en matière de protection des données personnelles, mais aussi que vous soyez en capacité de démontrer de votre conformité en toutes occasions.

[3] La gestion de ces archives est régie par des dispositions spécifiques, prévues en particulier par le Code du patrimoine.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.