Blog Données personnelles
La durée de conservation des données personnelles : un aspect important de la responsabilisation des acteurs parfois délicat à mettre en œuvre.
La récente délibération de la CNIL du 12 novembre 2019 mettant en demeure le ministère de l’intérieur notamment de veiller au respect des durées de conservation prévues par les textes et de procéder à la suppression des données conservées au-delà de la durée nécessaire au respect des finalités pour lesquelles elles sont traitées illustre bien les deux difficultés auxquelles sont confrontées les acteurs : savoir quelle durée appliquer à quelle donnée et gérer le sort des données au-delà.
Le principe d’une durée de conservation limitée des données est un des principes essentiels de la protection des données ; rappelé à l’article 5 e) du RGPD et repris à l’article 4 5° de la loi Informatique et Libertés modifiée, il représente pour la personne la garantie que ses données ne seront plus utilisées pour justifier une décision alors erronée ou pour lui opposer des éléments devenus obsolètes.
Sans durée limitée de conservation des données, la protection des données devient un leurre : la finalité devient imprécise, la pertinence des données disparaît, l’information de la personne est une mascarade et la confidentialité des données impossible à garantir.
Principe fondateur de la protection des données, il devient aujourd’hui une préoccupation pour les acteurs depuis que la loi pour une République numérique en 2016 a exigé que cette information figure parmi celles devant être portées à la connaissance des personnes concernées. Repris à l’article 13 du RGPD, les responsables de traitement doivent donc mentionner sur leurs notes d’information la durée de conservation des données ou « les critères utilisés pour déterminer cette durée ». C’est au surplus une information qui doit figurer dans les registres des activités de traitement à travers l’information relative aux délais prévus pour l’effacement des données.
Comment répondre à cette obligation ?
D’abord le principe de la durée de conservation limité des données connaît des exceptions : (i) la poursuite d’un intérêt public, scientifique, historique ou statistique à des fins archivistiques, (ii) le consentement de la personne concernée, ou (iii) une obligation légale qui contraint le responsable du traitement à prolonger la durée de conservation des données.
Ensuite, la CNIL a développé une doctrine précisée dans une délibération du 11 octobre 2005 qu’elle a actualisée dans une note publiée sur son site « Limiter la conservation des données » en mai 2018.
Ainsi, au-delà de la durée de conservation définie et limitée des données, par un texte ou de façon proportionnée au regard de la finalité poursuivie par le traitement, c’est la durée applicable à la base active, l’autorité distingue deux autres niveaux d’archivage correspondant au cycle de vie des données et qui vont permettre de conserver les données au-delà de la durée initialement définie.
L’archivage intermédiaire avec un accès restreint aux données et justifié par un texte ou par la nécessité de conserver les données le temps des règles de prescription en matière commerciale, civile et fiscale, ou encore et sous réserves de garanties appropriées pour les droits et libertés des personnes pour des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.
L’archivage définitif pour des données dont l’intérêt public justifie qu’elles ne soient jamais détruites, dans les conditions du Livre 2 du code du Patrimoine.
C’est sur ces différents fondements que chaque organisation doit définir et mettre en œuvre les mesures techniques et organisationnelles de nature à respecter le principe d’une durée de conservation limitée des données personnelles.