Le RGPD, le règlement général européen relatif à la protection des données personnelles, pose en son article 5 un principe général imposant à tout responsable de traitement de déterminer une durée de conservation justifiée au regard de tout traitement de données personnelles qu’il réalise.
Cette durée de conservation doit être définie au cas par cas par le responsable du traitement en fonction du traitement concerné. En ce sens, l’article 25 du RGPD pose quant à lui le principe du “privacy by default”, selon lequel le responsable de traitement doit mettre en place des mesures techniques et organisationnelles permettant de garantir le respect des durées de conservation applicables à chaque traitement dont il a la responsabilité.
Cette obligation légale trouve ainsi une application très concrète au sein de l’entreprise. Toute organisation doit ainsi non seulement définir une durée de conservation applicable à chaque traitement dont elle a la responsabilité, mais aussi mettre en place des mesures internes visant à garantir le respect de cette durée, via notamment des mécanismes de suppression, purge et archivage des données personnelles.
Mais quelle est donc la durée appropriée au regard d’un traitement donné ? Quelles sont les obligations concrètes à la charge du responsable de traitement ? Comment garantir le respect de ces obligations au sein de l’entreprise ?
Me Benjamin Znaty, avocat spécialiste du droit du numérique et du droit des données personnelles décrypte pour vous ce sujet.
Comment définir la durée de conservation applicable à chaque traitement ?
La durée de conservation de toute donnée personnelle collectée doit donc être déterminée par le responsable de traitement qui doit, au cas par cas, s’interroger sur la finalité de chacun des traitements associés. En d’autres termes, selon le type de traitement mis en œuvre, le responsable de traitement doit définir la durée au cours de laquelle les données collectées seront utiles à l’entreprise et devront en ce sens être conservées.
La réponse à ces questions dépend d’une part de la finalité du traitement envisagé, mais également des obligations légales et réglementaires en la matière. A cet égard, il faut garder une vigilance particulière concernant la durée de prescription applicable au traitement concerné.
A titre d’exemple, si un traitement de données personnelles porte sur l’exécution d’un contrat de vente, on peut à juste titre partir du principe que les données de l’acheteur, notamment ses coordonnées postales, sont uniquement utiles à la réalisation de la vente, et ce jusqu’à la livraison de la chose vendue. Toutefois, la réalité est plus complexe que cela puisqu’en cas de litige concernant cette même vente, l’acheteur dispose d’un délai de 5 ans à compter de celle-ci pour agir en responsabilité contractuelle à l’encontre du vendeur. Ainsi le responsable de traitement, à savoir le vendeur, doit impérativement anticiper ce type de situation. Il est donc en réalité justifié pour le responsable de traitement d’archiver les données pour la durée de prescription applicable, à savoir cinq 5 ans à compter de l’exécution de la vente.
Par ailleurs, il convient de porter une attention particulière aux obligations légales applicables et pouvant exiger également des obligations d’archivage des documents comportant de telles données personnelles. C’est notamment le cas de certains documents comptables qui doivent être conservés pendant une durée pouvant aller jusqu’à 10 ans à compter de l’exercice comptable concerné.
Il est par ailleurs recommandé de se référer aux référentiels publiés par la CNIL comportant des informations et recommandations précieuses pour les entreprises dans la détermination des durées de conservation applicables aux divers traitements de données personnelles dont elles ont la responsabilité.
La mise en œuvre de mesures techniques et organisationnelles garantissant le respect des durées de conservation
Il est ensuite important pour le responsable de traitement de mettre en place des mesures internes permettant de garantir le respect effectif des durées de de conservation établies. C’est ce que le RGPD désigne par des mesures techniques et organisationnelles.
La CNIL a notamment sanctionné dans le passé à plusieurs reprises des responsables de traitement ne respectant pas en pratique les durées de conservation qu’ils ont eux même déterminées au titre de leurs traitements.
Il est notamment ici recommandé de se coordonner avec le service informatique de l’organisation afin de mettre en place de telles mesures. En effet, le DPO ou service conformité de l’entreprise peut par exemple mettre en place avec la DSI des systèmes de purge et d’archivage automatique des données afin de garantir l’effectivité des durées de conservation déterminées en amont.
En ce qui concerne les mesures liées à l’archivage des données, la CNIL recommande également de distinguer entre la conservation en base active et l’archivage intermédiaire ou définitif.
La conservation qui se fait en base active correspond à la durée nécessaire à la réalisation de l’objectif ayant conduit à la collecte. Les données restent donc relativement accessibles au personnel qui est susceptible d’en avoir besoin jusqu’à réalisation de l’objectif. A titre d’exemple, lorsqu’une personne candidate à une offre d’emploi, les données du candidat sont conservées pendant une durée maximale de deux ans par les services des ressources humaines, à moins que l’effacement des données ait été demandé par le candidat.
L’archivage des données à l’issue de cette conservation en base active devient alors intermédiaire ou définitif. Il est intermédiaire lorsque la finalité du traitement a été réalisée mais que les données restent encore nécessaires à l’entreprise. C’est notamment le cas de la vente qui a été réalisée mais pour laquelle les données du client sont conservées jusqu’à prescription de toute action en justice. Dans ce cas de figure, il est intéressant de mettre en place des mécanismes permettant à des personnes habilitées de les consulter en cas de besoin. On parle d’archivage définitif lorsque certaines informations sont archivées de manière définitive en raison de leur valeur pour l’entreprise. L’archivage définitif implique néanmoins d’anonymiser à terme les données personnelles contenues dans les documents archivés.
Documenter la conservation, la suppression et l’archivage des données
En tout état de cause, les opérations de conservation, suppression et archivage des données doivent être documentées et justifiées par le responsable de traitement.
Le RGPD impose en effet au responsable de traitement non seulement de déterminer une durée de conservation applicable à chaque traitement mais également que celle-ci soit documentée, en application des principes d’accountability et de transparence du RGPD.
Il convient ainsi de renseigner au sein des politiques de confidentialité, mais également au sein du registre des traitements, les durées de conservation applicables et ce, au titre de chaque traitement réalisé par l’entreprise. Il est également recommandé d’inclure au sein de ces mêmes documents une brève description des mesures techniques et organisationnelles mises en place aux fins de suppression ou archivage des données.
En pratique, les entreprises vont également formaliser ces opérations par une politique interne spécifique d’archivage et de suppression des données et documents.
En effet, en cas de contrôle de la CNIL, il convient de pouvoir démontrer que chaque traitement a bien une durée de conservation déterminée et que les mesures techniques et organisationnelles sont mises en place en interne afin de supprimer ou le cas échéant, archiver les données concernées à l'expiration de la durée de conservation établie.
L’importance de se faire accompagner
Le respect des obligations du RGPD au regard de la durée de conservation des données suppose une certaine acuité pour être mis en place de façon conforme et efficace au sein d’une entreprise.
Seul un expert en données personnelles ou un juriste qualifié sont à même de définir le cadre de cette réglementation et les processus à mettre en place au sein d’une entreprise en fonction de ses spécificités, et ce, en collaboration avec les nombreuses parties prenantes dont notamment la DSI.
Ainsi, il est vivement conseillé de se faire accompagner par une personne spécialisée et notamment un avocat ou expert spécialiste de telles questions.
Une question ? Laissez votre commentaire