Article réservé aux abonnés Archimag.com

Quelle est la durée de conservation des données personnelles détenues par une entreprise ?

  • conservation_donneesperso.jpg

    conservation-donnees-personnelles
    Au départ, on conserve les données pour permettre leur traitement dans le cadre de la finalité choisie. La Cnil qualifie cette période d’exploitation en base de données active. (Freepik/Rawpixel)
  • Jusqu’au 25 mai 2018, date d’entrée en vigueur du Règlement général sur la protection des données (RGPD) (1), la plupart des entreprises ont préparé leur mise en conformité en se focalisant sur le consentement des personnes à la collecte des données les concernant et en remettant à plus tard la question complexe de la durée de conservation de ces données collectées : comment savoir quand l’entreprise est obligée d’effacer les données personnelles qu’elle exploite ? (avec un tableau des prescriptions à télécharger en fin d'article).

    Pour en savoir plus : découvrez les bases de données des durées de conservation (secteurs public et privé) réalisées par Archimag.

    La réponse à la question de la durée de conservation des données personnelles est simple lorsqu’elle est imposée par la loi comme c’est le cas pour les systèmes de vidéoprotection où les données collectées ne doivent pas être conservées plus d’un mois sauf procédure judiciaire en cours (2). Lorsqu’un incident est constaté par vidéosurveillance, les informations obtenues doivent être extraites du dispositif et conservées sur un support distinct remis aux autorités.

    Dans le cadre du droit Informatique et Libertés, le RGPD et la loi de 1978 disposent que les données à caractère personnel ne peuvent être conservées que pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (3). Elles sont conservées le temps nécessaire à l’accomplissement de l’objectif poursuivi lors de leur collecte. Ainsi, la durée de conservation dépend de la finalité du traitement que l’on fait des données et, quand la finalité est atteinte, on efface sauf pour les traitements destinés à des fins archivistiques (infra § 3).

    1. Conservation en base de données active

    Au départ, on conserve donc les données pour permettre leur traitement dans le cadre de la finalité choisie. La Cnil qualifie cette période d’exploitation en base de données active. La durée de cette conservation est extrêmement variable puisqu’elle dépend de la nature des données et des finalités poursuivies. Par exemple, certaines données collectées par un bailleur dans le cadre d’une demande de logement social devraient être supprimées, selon un guide de la Cnil, à compter de la radiation de la demande ou en cas d’attribution d’un logement, comme le périmètre géographique souhaité qui ne semble présenter d’intérêt pour attribuer un logement compatible avec les souhaits du demandeur ou les pièces justificatives demandées pour instruire une demande qui ne présentent plus d’intérêt une fois le logement attribué (4).

    Conservation au regard d’autres finalités

    Il est vrai que ces informations ne servent plus directement dans ces situations et même vont devenir obsolètes. Toutefois, nous considérons que tous ces documents doivent être conservés au regard d’autres finalités, en particulier le contrôle a posteriori de la bonne foi et surtout de l’honnêteté des demandeurs qui ont pu mentir et fournir des faux.

    D’ailleurs, la Cnil explique pertinemment dans ce guide que des données recueillies dans le cadre d’une demande de logement peuvent encore présenter un intérêt pour une nouvelle finalité comme la gestion locative (nom des occupants, coordonnées, ressources déclarées…). Elles seront alors conservées dans le cadre de cette seconde finalité jusqu’à ce que celle-ci soit atteinte. Bien évidemment, les personnes concernées doivent être informées de cette seconde finalité.

    2. Archivage intermédiaire

    La Cnil n’ignore pas que les données permettant d’établir la preuve d’un droit ou d’un contrat, ou conservées au titre du respect d’une obligation légale, doivent être conservées au-delà des finalités premières (gestion de la base de donnée des clients ou des prospects, gestion des ressources humaines, gestion des paiements par carte bancaire…), soit pour satisfaire aux dispositions légales, en particulier aux obligations de conservation (conservation des pièces comptables que l’on devra présenter en cas de contrôle fiscal), soit pour préserver la preuve d’un droit ou d’un fait juridique jusqu’au terme de la prescription (revendication d’une créance impayée ou au contraire paiement de sa dette). La Cnil reconnaît que l’on ne va évidemment pas jeter des informations une fois leur exploitation terminée alors que le droit n’a pas encore dit son dernier mot, mais elle demande que cette conservation fasse l’objet d’une politique d’archivage intermédiaire (5).

    Un archivage sélectif

    Tout d’abord, la Cnil demande que le responsable de traitement veille à archiver les seules données permettant de respecter l’obligation prévue par le texte à l’origine de l’archivage ou, lorsque c’est la raison de l’archivage, pour faire valoir un droit en justice. Il doit, dès lors, opérer un tri parmi la totalité des données collectées pour ne garder que les seules données indispensables.

    Un archivage limité dans le temps

    La durée de conservation des données à caractère personnel en archivage intermédiaire obéit au même paradigme que celui applicable en période d’exploitation active : c’est la durée n’excédant pas celle nécessaire aux nouvelles finalités pour lesquelles on continue à les garder et qui résulte de la législation applicable : Code de commerce, Code civil, Code de la consommation, Code général des impôts… Les données nécessaires pour répondre à une obligation légale ou règlementaire ne peuvent être archivées que le temps correspondant à l’accomplissement de l’obligation en cause. Et ces données doivent être supprimées lorsque la raison justifiant leur archivage n’a plus raison d’être. Ainsi, les données archivées pour faire valoir un droit en justice doivent être supprimées lorsque cette action est prescrite, sauf encore une fois archivage à des fins archivistiques (infra § 3).

    Un mode d’archivage libre

    Le choix du mode d’archivage intermédiaire est laissé à l’appréciation du responsable de traitement. Pour la Cnil, il peut s’agir soit d’une base de données d’archives intermédiaire dédiée à cette nouvelle finalité, soit de la base de données active, à condition qu’il existe une séparation logique dans la base de données active et que l’on ait bien opéré un tri des données pertinentes à archiver.
    Dans tous les cas, les accès doivent être restreints aux seules personnes ayant un intérêt à en connaître en raison de leurs fonctions (par exemple, le service du contentieux). Si on choisit l’option de la base active avec isolement des données archivées au moyen d’une séparation logique, il faut prévoir des droits d’accès pour les rendre inaccessibles aux personnes n’ayant plus d’intérêt à les traiter.

    Il faut aussi mettre en place des mesures techniques pour protéger les données archivées contre leur destruction, perte, altération, diffusion ou accès non autorisés et des mesures organisationnelles telles que la traçabilité des consultations des données archivées et l’habilitation des personnes y ayant accès. Lorsque l’archivage est confié à un sous-traitant, le responsable du traitement doit obligatoirement conclure avec lui une convention dite de l’article 28, c’est-à-dire un contrat conforme à l’article 28 du RGPD prévoyant les garanties que le sous-traitant apporte en matière de sécurité et de confidentialité des données qui lui sont confiées.

    3. Archivage définitif à fins archivistiques

    C’est un archivage qui peut être sans limitation de durée, mais exclusivement dans l’intérêt public et à des fins de recherche scientifique ou historique ou à des fins statistiques pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le RGPD afin de garantir les droits et libertés des personnes concernées.
    La Cnil demande une conservation sur un support indépendant, non accessible par les systèmes de production, n’autorisant qu’un accès distinct, ponctuel et précisément motivé auprès d’un service spécifique seul habilité à les consulter, par exemple, la direction des archives de l’entreprise lorsqu’elle existe (6).

    <<< Pour télécharger le tableau de prescriptions pour la conservation des données personnelles, cliquez-ici >>>


    Sylvain Martin, Avocat à la Cour
    membre de l’Adij
    www.juristechnologie.com
     
    (1) Règlement européen 2016/679 du 27 avril 2016 dit « RGPD » – Règlement général sur la protection des données (personnelles) complété par la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée dernièrement par la loi 2016-1321 du 7 octobre 2016, dite « loi Informatique et Libertés ».
    (2) Code de la sécurité intérieure, art. L252-5 (ancien art. 10 IV de la loi 95-73 d’orientation et de programmation relative à la sécurité).
    (3) RGPD, art. 5 1 e) ; loi de 1978, art. 6 5°.
    (4) Guide Cnil « Pack de conformité – Logement social », juillet 2014.
    (5) Délibération 2016-264 du 21 juillet 2016 portant modification de la norme simplifiée n° 48 concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects.
    (6) Délibération 2005-213 du 11 octobre 2005 portant adoption d’une recommandation concernant les modalités d’archivage électronique dans le secteur privé de données à caractère personnel.

    À lire sur Archimag
    Le chiffre du jour
    C'est le nombre de dossiers médicaux partagés ouverts par les assurés.
    Publicité

    Data 2020.PNG