Une des situations récurrentes que l’on retrouve au sein des sociétés est l’absence de durée de conservation des données ou des durées de conservation qui ne sont pas clairement établies contrairement à ce qu’imposait déjà la Loi informatique et liberté ou la directive 95/46/CE. Dès aujourd’hui les pratiques vont devoir changer car au titre des grands principes du RGPD figurant à l’article 5 du RGPD [1] nous retrouvons le principe de limitation des durées de conservation érigé en grand principe essentiel à la protection des données.
Ce principe [2] pose d’une part que les données doivent être conservées sous une forme permettant l’identification de la personne et, d’autre part, qu’elles doivent être conservées pendant une durée qui n’excède pas celle nécessaire à la finalité du traitement. Par exemple, il n’est pas nécessaire de conserver le CV d’un candidat non retenu et auquel on ne proposera aucun autre poste, puisque la finalité étant le recrutement, si ce dernier n’est pas retenu pour ce poste ou un autre, il n’est plus nécessaire de conserver le CV (gardez-vous les cartes de visites des personnes dont les services ne présentent pas d’intérêt pour vous et que vous ne rappellerez jamais ? CQFD).
Le principe est simple : la durée de conservation des données doit être limitée au strict minimum. Donc une fois l’objectif du traitement pour lequel les données collectées est atteint, il n’est plus nécessaire a priori de conserver les données. Dans de nombreux cas, les durées de conservation sont fixées de façon numéraire par une loin un acte réglementaire ou selon les recommandations de la CNIL. Mais il est également possible que cette durée ne soit pas définie de façon numéraire mais selon une situation de fait (par exemple conservation des données le temps de la relation commerciale ou le temps de l’opération).
Il appartient donc aux responsables de traitement, avant de décider de fixer une durée de conservation, de s’assurer qu’une disposition légale ne les a pas devancés sur ce point (Dura lex sed lex).
À quel moment supprimer les données ?
Le principe est simple, il convient de supprimer les données :
– lors de l’expiration de la durée de conservation qui peut être fixée dans une disposition légale ou réglementaire de droit national (Codes, décrets).
– lorsqu’une demande de droit d’effacement (« droit à l’oubli ») est exercé et que cette demande remplie les conditions requises pour y faire droit.
Néanmoins à l’instar d’Albert Einstein qui a démontré que le temps était relatif, il en va de même pour la durée de conservation des données et donc le moment de leur suppression. En effet le cycle de vie des données peut être relatif à la situation en cause, tout n’est pas fixé dans le marbre.
Il est possible voir obligatoire pour le responsable du traitement (que ce soit un DPO externe ou interne à l’entreprise), à l’issue de la durée de conservation des données et si la situation le permet, de ne pas supprimer les données immédiatement.
Quelles sont ces situations où il est possible de prolonger la durée de conservation ?
Plusieurs exceptions permettent une conservation des données au-delà de la durée de conservation initialement prévue :
– le traitement est conduit à des fins archivistiques dans l’intérêt du public, scientifiques, statistiques ou historiques [3];
– le traitement est effectué avec le consentement de la personne [4] [5] [6] ;
– Une obligation légale contraint le responsable du traitement à conserver les données (par exemple les opérateurs de télécommunication [7]).
D’autres cas permettent de justifier la conservation des données par le responsable du traitement. En effet, au-delà des exceptions légalement prévues, la CNIL a reconnu la possibilité de conserver des données dans certaines circonstances, moyennant des garanties appropriées.
Quelles sont les options possibles de conservation une fois la finalité atteinte afin de ne pas supprimer immédiatement les données ?
A) L’archivage intermédiaire pour « intérêt administratif », motif de report de la suppression
La CNIL dans ses délibérations a distingué plusieurs degrés d’archivage [8] [9] :
Le 1er degré est l’archivage en base active : il s’agit de la conservation des données dans une base d’utilisation courante qui est à disposition des opérationnels pour accomplir leurs missions au quotidien. Dans ce cas, les données sont conservées car elles répondent à un objectif précis qu’a fixé le responsable du traitement et qui s’appuie sur un fondement juridique (par exemple : fournir un service ou un bien en vertu de l’exécution de mesure contractuelle, contacter la personne car elle y a consenti, etc…).
Le 2nd degré est l’archivage intermédiaire : il s’agit du cas où les données ne sont plus nécessaires car l’objectif pour lequel elles ont été collectées a été atteint ou n’existe plus, néanmoins il subsiste pour le responsable du traitement une nécessité de les conserver, notamment en considération de certains « intérêts administratifs ».
Ces « intérêts administratifs » doivent s’entendre comme l’intérêt pour le responsable de traitement à respecter une obligation légale et/ou à se défendre d’un contentieux/faire valoir un droit. En effet, pour des raisons liées à des questions de preuve, la durée de conservation de certaines données peut être prorogée jusqu’aux délais de prescription applicables dans le ou les domaine(s) en cause (civil, fiscal, commercial, etc…).
Un exemple est celui des données bancaires d’un client dans le cadre d’un achat sur un site de e-commerce. Dans ce contexte, le collecte et le traitement des coordonnées bancaires de l’acheteur ont pour finalité la réalisation du paiement de l’achat. En principe les données ne devraient donc être conservées que le temps nécessaire à l’opération de paiement. Or, pour des raisons de preuve en cas de contestations du paiement, il est possible (et légitime) pour le responsable de traitement de conserver les coordonnées bancaires pendant 13 mois et cet archivage complémentaire sera fait en base intermédiaire (le délai de prescription de ces actions étant de 13 mois [10])
Attention, il convient de ne conserver que les données strictement nécessaires à l’objectif de l’archivage intermédiaire. Ainsi un tri doit être opéré par le responsable du traitement entre les données archivées et celles qui seront supprimées car n’étant pas nécessaires pour se protéger d’un contentieux. En outre, une fois le délai de prescription écoulé, il convient de supprimer les données archivées si l’objectif était de se prémunir d’un contentieux.
L’archivage en base définitive : Il s’agit des données dont la nature justifie qu’elles ne fassent l’objet d’aucune destruction. Pour entrer dans cette catégorie l’archivage en cause doit être fait pour « l’intérêt public » et présenter un intérêt statistique, historique ou scientifique. Ces archives sont gérées par les « services des archives territorialement compétent » et relèvent du Code du patrimoine [11].
L’anonymisation, une alternative à la suppression définitive.
À l’échéance de la durée de conservation initiale ou lorsque l’archivage pour intérêt administratif n’a plus lieu d’être il convient de supprimer les données définitivement. Il existe deux solutions : la suppression pure et simple ou l’anonymisation.
Le RGPD donne une définition des données anonymes [12]. Par définition, une donnée anonyme est :
– une donnée qui, de base, ne concerne pas une personne physique identifiée ou identifiable, ou
– une donnée à laquelle un opération d’anonymisation a été appliquée et qui ne permet donc plus d’identifier la personne.
Attention, si les données anonymisées échappent à l’application du RGPD, l’opération d’anonymisation est en revanche considérée comme un traitement de données.
Comment déterminer si un procédé d’anonymisation est efficace ?
Selon le G29 [13] l’effectivité de l’anonymisation se mesure en prenant en compte la possibilité pour le responsable du traitement d’identifier la personne en ayant recourt « à l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre ». C’est-à-dire notamment « les coûts de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celle-ci ».
A cela s’ajoute trois autres critères cumulatifs permettant d’apprécier l’efficacité d’une technique d’anonymisation :
– L’individualisation : possibilité d’isoler une partie ou la totalité des informations identifiant une personne dans un ensemble de données.
– La corrélation : possibilité de relier entre elles au moins deux informations se rapportant à la même personne ou au même groupe. Si la corrélation permet d’établir que les informations sont relatives au même groupe d’individus mais ne permet pas d’isoler une personne, la technique d’anonymisation résiste alors à l’individualisation mais non à la corrélation
– L’inférence : Capacité de déduire la valeur d’un attribut à partir des valeurs d’un ensemble d’autres attributs. Ainsi il va être possible de « déduire » des données identifiantes (donc personnelles) grâce à la mise en lien de plusieurs autres données anonymisées.
Ainsi le cycle de vie de la donnée peut être décomposée en plusieurs phases. Les données se voient attribuer des durées de conservation en ce qui concerne les finalités principales pour lesquelles ont les collectes mais il sera également possible ou obligatoire de reporter le moment de leur suppression selon la situation qui se présente et dans laquelle se trouve le responsable du traitement. Après avoir vu combien de temps conserver les données nous verrons comment ces données doivent être conservées selon la base dans laquelle elle se trouve ainsi que les procédés d’anonymisation les plus courants et ce qu’ils recouvrent.
Retrouvez le second article sur anonymiser et conserver les données ou encore la formation RGPD obligatoire
Florian Godde
Télécharger notre Fiche Pratique « Determination des durées de conservation modalités de stockage et suppressions des données » pour vous aider à y voir plus clair et avoir les bonnes méthodes pour agir.
[1], [2] [3] Article 5.e du Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD).
[4] Article 6.4 du Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD).
[5] Article 40-1 II de Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
[6] Article L34-1 V du Code des postes et télécommunications électroniques.
[7] Article L34-1 V du Code des postes et télécommunications électroniques.
[8] Délibération n°88-52 du 10 mai 1988 portant adoption d’une recommandation sur la compatibilité entre les lois n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, et n° 79-18 du 3 janvier 1979 sur les archives.
[9] Délibération n°2005-213 du 11 octobre 2005 portant adoption d’une recommandation concernant les modalités d’archivage électronique, dans le secteur privé, de données à caractère personnel.
[10] Article L133-27 du Code monétaire et financier.
[11] Article L211-1 et suivants du Code du patrimoine.
[12] Considérant 26 du Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD).
[13] Avis 05/2014 sur les techniques d’anonymisation du Groupe de travail Article 29 sur la protection des données.