Fil d ariane > Limiter la conservation des données

Limiter la conservation des données

28 mai 2018

Les données personnelles ne peuvent être conservées de façon indéfinie dans les fichiers informatiques : une durée de conservation doit donc être déterminée en fonction de l’objectif ayant conduit à la collecte de ces données. Une fois cet objectif atteint, ces données devraient être archivées, supprimées ou anonymisées (afin notamment de produire des statistiques).

Limiter la conservation des données

Le principe de durée de conservation définie et limitée

La durée de conservation doit être définie par le responsable du fichier, sauf si un texte impose une durée précise. Cette durée va dépendre de la nature des données et des objectifs poursuivis.

Exemples de durées de conservation :
  • Dans le cas d'un dispositif de vidéosurveillance poursuivant un objectif de sécurité des biens et des personnes, la conservation des images ne peut excéder 1 mois.
  • Les données relatives à gestion de la paie ou au contrôle des horaires des salariés peuvent être conservées pendant 5 ans.
  • Les données figurant dans un dossier médical doivent être conservées 10 ans à compter de la consolidation du dommage.
  • La Cnil recommande que les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans soient  supprimées.

Les données personnelles doivent donc être conservées et accessibles par les services opérationnels uniquement le temps nécessaire à l’accomplissement de l’objectif poursuivi lors de leur collecte.

Par exemple, lors d’un achat sur internet, les coordonnées de la carte bancaire du client ne peuvent être conservées que le temps de réalisation de l’opération de paiement.

Ainsi, au terme de la réalisation de cet objectif (l’achat du bien dans l’exemple précédent), les données doivent être :

  • effacées ou ;
  • archivées (voir ci-dessous) ou ;
  • faire l’objet d’un processus d’anonymisation des données, afin de rendre impossible la « ré-identification » des personnes. Ces données, n’étant plus des données à caractère personnel, peuvent ainsi être conservées librement et valorisées notamment par la production de statistiques.

En cas de procédure de suppression automatique, le responsable du fichier doit s’assurer que les données sont effectivement supprimées.

L'archivage des données

Le cycle de vie des données

Le cycle de conservation des données à caractère personnel peut être divisé en trois phases successives distinctes :

  1. La base active ;
  2. L’archivage intermédiaire ;
  3. L’archivage définitif.

  1. 1ère phase : La base active.

C’est la durée d'utilisation courante des données ou autrement dit, la durée nécessaire à la réalisation de la finalité du traitement.

  1. 2ème phase : L’archivage intermédiaire

Il peut être justifié que les données personnelles soient conservées pour des durées plus longues en archivage intermédiaire distinctement de la base active, avec accès restreint, dans la mesure où :

  • Il existe une obligation légale de conservation de données pendant une durée fixée ;
  • En l’absence d’obligation de conservation, ces données présentent néanmoins un intérêt administratif, notamment en cas de contentieux, justifiant de les conserver le temps des règles de prescription/forclusion applicables, notamment en matière commerciale, civile et fiscale ;
  • Enfin, sous réserve de garanties appropriées pour les droits et libertés des personnes concernées, certaines données peuvent être traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.

Par exemple, une fois la transaction effectuée, les numéros de carte bancaire pourront être conservés en « archivage intermédiaire » en cas d’éventuelle contestation de la transaction pour une durée de 13 mois conformément à l’article L133-24 du Code monétaire et financier.

  1. 3ème phase : l’archivage définitif

Enfin, dans les conditions du Livre 2 du Code du Patrimoine, l’intérêt public peut parfois justifier que certaines données ne fassent l’objet d’aucune destruction : c’est l’archivage définitif. Ces archives sont gérées par les services des archives territorialement compétents.

Un archivage sélectif

Dans le cas d’un archivage intermédiaire, le responsable du fichier doit veiller à ne conserver que les données nécessaires au respect de l’obligation prévue ou lui permettant de faire valoir un droit en justice : un tri doit donc être effectué parmi la totalité des données collectées pour ne garder que les seules données indispensables. 

Attention : les données ainsi archivées ne peuvent pas continuer à être utilisées par les services opérationnels. Ces données ne sont désormais conservées que dans une optique contentieuse et ne sont accessibles que de façon restreinte.

Un archivage limité dans le temps

Les données ainsi archivées ne sont conservées que le temps nécessaire à l’accomplissement de l’objectif poursuivi : elles doivent donc être supprimées lorsque le motif justifiant leur archivage n’a plus raison d’être.

Par exemple, des données archivées pour se prémunir d’une action en justice durant le temps d’une prescription ou d’une forclusion doivent être supprimées lorsque cette action est prescrite forclose.

Les modalités techniques d’archivage

Pour les archives intermédiaires, le choix du mode d’archivage est laissé à l’appréciation du responsable du fichier. Des données peuvent ainsi être archivées :

  • dans une base d’archive spécifique, distincte de la base active, avec des accès restreints aux seules personnes ayant un intérêt à en connaitre en raison de leurs fonctions (par exemple, le service du contentieux) ;
  • ou dans la base active, à condition de procéder à un isolement des données archivées au moyen d’une séparation logique (gestion des droits d’accès et des habilitations) pour les rendre inaccessibles aux personnes n’ayant plus d’intérêt à les traiter.

Pour les archives définitives (c’est- à-dire les données conservées dans l’intérêt public), il est recommandé de les conserver sur un support physique indépendant, non accessible par les systèmes de production, n’autorisant qu’un accès distinct, ponctuel et précisément motivé auprès d’un service spécifique seul habilité à les consulter (par exemple, la direction des archives lorsqu’elle existe).

Un archivage sécurisé

Des mesures techniques et organisationnelles doivent être prévues pour protéger les données archivées (destruction, perte, altération, diffusion ou accès non autorisés...). Ces mesures doivent assurer un niveau de sécurité approprié aux risques et à la nature des données.

Si des mesures de sécurité informatiques sont indispensables, n’oubliez pas de prévoir également des mesures de sécurité physique, notamment lorsque des dossiers sont archivés sous format papier.

Lorsque l’archivage est confié à un sous-traitant, le responsable du fichier doit s’assurer que son prestataire présente des garanties suffisantes en matière de sécurité et la confidentialité des données qui lui sont confiées.

Quel que soit le type d’archive, la consultation des données archivées doit être tracée.

Une personne qui exerce son droit d’accès doit obtenir la communication de l’intégralité des données qui la concernant, qu’elles soient stockées en base active ou archivées.

Concrètement, comment faire ?

Les bonnes questions à se poser

  • Jusqu’à quand ai-je vraiment besoin des données pour atteindre l’objectif fixé ?
  • Ai-je des obligations légales de conserver les données pendant un certain temps ?
  • Dois-je conserver certaines données en vue de me protéger contre un éventuel contentieux ? Lesquelles ?
  • Jusqu’à quand puis-je faire valoir ce recours en justice ?
  • Quelles informations doivent être archivées ? Pendant combien de  temps ?
  • Quelles sont les règles de suppression des données.
  • Quelles sont les règles d’archivage des données ?

Que dit le Règlement ?

 Les données à caractère personnel doivent être :

[…]

c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);

e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation);

f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité); 

Article 5 du Règlement général sur la protection des données
Texte reference

Voir aussi

> Recommandation concernant les modalités d'archivage électronique, dans le secteur privé, de données à caractère personnel
> Archives publiques sur Internet : quelles sont les données personnelles concernées ?

Ceci peut également vous intéresser ...

Garantir la sécurité des données
Garantir la sécurité des données
Respecter le droit des personnes
Respecter les droits des personnes