Combien de temps conserver les données ?

 

Une des situations récurrentes que l’on retrouve au sein des sociétés est l’absence de durée de conservation des données ou des durées de conservation qui ne sont pas clairement établies. Dès aujourd’hui un changement de paradigme s’impose car au titre des grands principes du RGPD figurant à l’article 5 [1], nous trouvons le principe de limitation des durées de conservation.

Ce principe pose d’une part que les données doivent être conservées sous une forme permettant l’identification de la personne et, d’autre part, qu’elles doivent être conservées pendant une durée qui n’excède pas celle nécessaire à la finalité du traitement.

Par exemple, il n’est pas nécessaire de conserver le CV d’un candidat non retenu et auquel on ne proposera aucun autre poste, puisque la finalité étant le recrutement, si ce dernier n’est pas retenu pour ce poste ou un autre, il n’est plus nécessaire de conserver le CV (gardez-vous les cartes de visites des personnes dont les services ne présentent pas d’intérêt pour vous et que vous ne rappellerez jamais ? CQFD).

1) Le principe de limitation de la durée de conservation

Le principe est simple : la durée de conservation des données doit être limitée au strict minimum. Donc une fois l’objectif du traitement pour lequel les données collectées est atteint, il n’est plus nécessaire a priori de conserver les données. Dans de nombreux cas, les durées de conservation sont fixées de façon numéraire par une loi ou un acte réglementaire. Mais il est également possible que cette durée ne soit pas définie de façon numéraire mais selon une situation (par exemple conservation des données le temps de la relation commerciale ou le temps de l’opération).

Il appartient donc aux responsables de traitement, avant de décider de fixer une durée de conservation, de s’assurer qu’une disposition légale ne les a pas devancés sur ce point (Dura lex sed lex).

À quel moment supprimer les données ?
Le principe est simple, il convient de supprimer les données :

  • Lors de l’expiration de la durée de conservation qui peut être fixée dans une disposition légale ou réglementaire de droit national (Codes, décrets).
  • Lorsqu’une demande de droit d’effacement (« droit à l’oubli ») est exercé et que cette demande remplie les conditions requises pour y faire droit.

Néanmoins à l’instar d’Albert Einstein qui a démontré que le temps était relatif, il en va de même pour la durée de conservation des données et donc le moment de leur suppression. En effet la durée de conservation peut être relative à la situation en cause, tout n’est pas fixé dans le marbre.

2) Les alternatives à la suppression des données

Il est donc possible pour le responsable du traitement, à l’issue de la durée de conservation et si la situation le permet, de ne pas supprimer les données.

Quelles sont ces situations où il est possible de conserver les données ?
Deux exceptions figurent à l’article 5.e du RGPD et permettent une conservation des données au-delà de la durée légale de conservation :

  • Le traitement est conduit à des fins archivistiques dans l’intérêt du public, scientifiques, statistiques ou historiques
  • Soit le traitement est effectué avec le consentement de la personne.

D’autres cas permettant de justifier la conservation des données par le responsable du traitement. En effet la CNIL avait déjà reconnu la possibilité de conserver des données si cela permettait de défendre un droit en justice ou si cela répondait à un objectif historique, scientifique ou statistique.

Quelles sont donc les alternatives à la suppression ?

A) L’archivage :

La CNIL[2;3] ses délibérations a distingué plusieurs degrés d’archivage :

L’archivage en base active : Il s’agit de la conservation des données dans une base qui peut être à disposition des opérationnels pour accomplir leurs missions. Dans ce cas les données sont conservées car elles répondent à un objectif précis qu’a fixé le responsable du traitement et qui s’appuie sur un fondement juridique (par exemple : fournir un service ou un bien en vertu de l’exécution de mesure contractuelle, contacter la personne car elle y a consenti, etc…).

L’archivage intermédiaire : Il s’agit du cas où les données ne sont plus nécessaires car l’objectif pour lequel elles ont été collectées a été atteint ou n’existe plus, néanmoins il subsiste pour le responsable du traitement une nécessité de les conserver notamment en considération de certains « intérêts administratifs ».

Dans ce cas, les données sont conservées pour permettre de se défendre d’un contentieux ou de faire valoir un droit. En effet pour des raisons liées à des questions de preuve, la durée de conservation de certaines données peut être prorogée jusqu’aux délais de prescription applicables dans le ou les domaine(s) en cause (civil, fiscal, commercial, etc…).
L’exemple type est celui des cartes bancaires : en principe les données sont conservées le temps nécessaire à l’opération. Or pour des raisons de preuve en cas de contestations du paiement, il est possible de conserver le numéro de carte pendant 13 mois en base intermédiaire (le délai de prescription de ces actions étant de 13 mois [4])

Attention, il convient de ne conserver que les données strictement nécessaires pour faire valoir un droit en justice. Ainsi un tri doit être opéré par le responsable du traitement entre les données archivées et celles qui seront supprimées car n’étant pas nécessaires pour se protéger d’un contentieux.

3) L’archivage en base définitive

Il s’agit des données dont la nature justifie qu’elles ne fassent l’objet d’aucune destruction. Pour entrer dans cette catégorie l’archivage en cause doit être fait pour « l’intérêt public » et présenter un intérêt statistique, historique ou scientifique. Ces archives sont gérées par les « services des archives territorialement compétent » et relèvent du Code du patrimoine[5].

B) L’anonymisation :

Le RGPD donne une définition des données anonymes [6] d’une part puis écarte ces données du champ d’application du Règlement d’autre part.

Ainsi une donnée anonyme est :

  • Une donnée ne concernant pas une personne physique identifiée ou identifiable
  • Une donnée à laquelle une opération d’anonymisation a été appliquée et ne permettant pas ou plus d’identifier la personne.

Attention, si les données anonymisées échappent à l’application du RGPD, l’opération d’anonymisation est en revanche quant à elle considérée comme untraitement de données.

Comment déterminer si un procédé d’anonymisation est efficace ?
Selon le G29 [7] l’effectivité de l’anonymisation se mesure en prenant en compte la possibilité pour le responsable du traitement d’identifier la personne en ayant recourt « à l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre ». C’est-à-dire notamment « les coûts de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celle-ci ».

A cela s’ajoute trois autres critères cumulatifs permettant d’apprécier l’efficacité d’une technique d’anonymisation :

  • L’individualisation : possibilité d’isoler une partie ou la totalité des informations identifiant une personne dans un ensemble de données.
  • La corrélation : possibilité de relier entre elles au moins deux informations se rapportant à la même personne ou au même groupe. Si la corrélation permet d’établir que les informations sont relatives au même groupe d’individus mais ne permet pas d’isoler une personne, la technique d’anonymisation résiste alors à l’individualisation mais non à la corrélation
  • L’inférence : Capacité de déduire la valeur d’un attribut à partir des valeurs d’un ensemble d’autres attributs.

[1] Article 5 du Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD).

[2] Délibération n°88-52 du 10 mai 1988 portant adoption d’une recommandation sur la compatibilité entre les lois n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, et n° 79-18 du 3 janvier 1979 sur les archives.

[3] Délibération n°2005-213 du 11 octobre 2005 portant adoption d’une recommandation concernant les modalités d’archivage électronique, dans le secteur privé, de données à caractère personnel.

[4] Article L133-27 du Code monétaire et financier.

[5] Article L211-1 et suivants du Code du patrimoine.

[6] Considérant 26 du Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD).

[7] Avis 05/2014 sur les techniques d’anonymisation du Groupe de travail Article 29 sur la protection des données.

Retour