open-lefebvre-dalloz

Droit des affaires - Protection des données personnelles (RGPD)
glyph

Définir les durées de conservation des données personnelles

file
Fiche thématique
timer
19 min de lecture
agenda
1 janvier 2023

Parmi les règles applicables à la protection des données à caractère personnel, la définition d’une durée de conservation adéquate et proportionnée tient une place essentielle. En effet, limiter dans le temps la conservation des données permet d’éviter qu’elles soient conservées et traitées indéfiniment et que cela porte atteinte aux droits et libertés des personnes concernées.

A cet égard, l’article 5, § 1, e) du RGPD précise que les données doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».

Pour autant, ni la loi Informatique et libertés ni le RGPD ne fixent de durée précise laissant aux autorités de contrôle et aux organismes qui traitent des données une marge d’interprétation au regard des circonstances entourant un traitement de données.

darkmode
Sommaire

Pendant combien de temps le responsable du traitement peut-il conserver les données ?

Le plus souvent, il reviendra aux organismes qui traitent des données personnelles de définir au cas par cas la durée de conservation appropriée aux finalités poursuivies, dans le respect des droits et libertés des personnes. Dans d’autres cas, les autorités de contrôle ont pu fournir des instructions ou des éléments permettant de fixer la durée de conservation des données. Puisque les données doivent être conservées le temps d’accomplir l’objectif fixé (via les finalités) du traitement, la durée de conservation (archives courantes) doit être fixée en fonction de cet objectif.

Point de départ du délai de conservation des données

Ni le RGPD ni la loi Informatique et libertés ne donnent d’indications quant au point de départ du délai de conservation. Cependant, l’analyse des délibérations de la CNIL permet de trouver des indices permettant de le déterminer.

Ainsi, dans les cas où la personne concernée entretient une relation commerciale suivie avec le responsable du traitement, la CNIL estime que la durée de conservation commence à courir à compter de la fin de la relation entre le responsable du traitement et la personne concernée ( Délib. CNIL no 2021-131, 23 sept. 2021 ).

Quant aux données relatives à un prospect non client, le point de départ de la durée de conservation court, selon la CNIL, à partir de la collecte des données ou du dernier contact émanant du prospect ( Délib. CNIL no 2015-155, 1er juin 2015 ). Sur ce point, la CNIL considère, que « la simple ouverture d'un courriel ne devrait pas être considérée comme un contact émanant du prospect » ( Délib. CNIL no 2021-131, 23 sept. 2021 ).

Détermination de la durée de conservation des données

C’est au responsable du traitement que revient la mission de déterminer cette durée de conservation. Pour cela, il doit mener une réflexion visant à déterminer pendant combien de temps la conservation des données à caractère personnel qu’il a collectées est raisonnablement nécessaire pour réaliser l’objectif fixé, à savoir accomplir les finalités poursuivies. Le sous-traitant, quant à lui, ne peut pas traiter les données pour une durée allant au-delà de celle fixée par le responsable du traitement et indiquée dans le contrat le liant à ce responsable du traitement.

La CNIL a ainsi été amenée à sanctionner la société SERGIC d’une amende de 400 000 euros pour avoir conservé en base active l’ensemble des documents transmis par les candidats n’ayant pas accédé à la location au-delà de la durée nécessaire à l’attribution des logements ( CNIL, délib., 28 mai 2019, SAN-2019-005 ). Le recours de SERGIC en annulation de cette délibération a été rejeté par le Conseil d’État qui a estimé que les manquements auraient pu être prévenus « par des mesures d’archivage » ( CE, 4 nov. 2020, no 433311 ). En septembre 2022, la CNIL a infligé une amende de 250 000 euros à Infogreffe notamment pour manquements à l’obligation de conserver les données pour une durée proportionnée à la finalité du traitement. Elle a constaté que les données de nombreux membres et abonnés avaient été conservées au-delà des 36 mois à compter de la dernière commande, prévus par la Charte de confidentialité du site web www.infogreffe.fr (CNIL, délib., no SAN-2022-018, 8 sept. 2022).

Point de vue de l’AFCDP…

Les données sur des personnes physiques ne peuvent être conservées de manière indéfinie. Si la loi ne prévoit pas une durée de conservation précise, celle-ci doit être définie proportionnellement à la finalité du traitement ( Déc. CNIL MED-2018-043, 8 oct. 2018 ). De façon opérationnelle, c’est en général à la MOA métier de définir la durée de conservation, aidée voire « challengée » par le DPO. Cette durée doit être argumentée et documentée.

Remarque

Le Royaume-Uni a fait valoir devant la Cour européenne des droits de l’homme qu’il pouvait conserver les données biométriques d’un ressortissant britannique, arrêté pour conduite en état d’ivresse, de manière illimitée, et ce, afin de lutter contre la criminalité. A noter que dans le cadre des marges d’appréciation laissées aux États pour fixer une durée de conservation des données de personnes condamnées pénalement, le Royaume-Uni est l’un des rares États membres du Conseil de l’Europe à prévoir une durée indéfinie. La Cour a estimé, à l’inverse des juridictions britanniques qui estimaient légitime et proportionnée cette ingérence dans la vie privée du requérant, que le choix de détenir les données personnelles d’un individu pénalement sanctionné doit être assorti de garanties pour celui-ci. Or, en l’espèce, les données du conducteur fautif ont été conservées sans faire référence à la gravité de l’infraction et sans tenir compte de la nécessité de conserver ses données sur le long terme. Pour la CEDH, cela ne traduit pas un juste équilibre entre les intérêts publics et privés concurrents, le Royaume-Uni a outrepassé la marge d’appréciation dont il disposait concernant la conservation des empreintes digitales, de l’ADN et des photographies des personnes condamnées pour infraction. Il y a donc bien eu ingérence disproportionnée dans la vie privée du requérant au sens de l’article 8 de la Convention européenne des droits de l’homme ( CEDH, 13 févr. 2020, aff. 45245/15, Gaughran c/ Royaume-Uni ).

Les durées fixées par les dispositions législatives ou réglementaires

Il existe des cas où des dispositions législatives ou réglementaires fixent des durées de conservation des données anticipant la mission confiée au responsable du traitement.

Par exemple, la conservation des données par les opérateurs de communication électronique est fondée sur l’article L. 34-1 du code des postes et des communications électroniques.

De même, plusieurs dispositions du code du travail précisent les durées de conservation relatives à certaines données :

  • l’article R. 1221-26 du code du travail fixe un délai de conservation de 5 ans pour le registre du personnel ;
  • l’article L. 3243-4 du code du travail fixe un délai de conservation de 5 ans des bulletins de paie et des reçus de solde de tout compte ;
  • l’article D. 3171-16 du code du travail fixe un délai de conservation de 3 ans pour les documents relatifs à la comptabilisation des jours de travail des salariés au forfait ainsi qu’un délai, cette fois, d’un an pour les comptabilisations des horaires de travail de chaque employé ;
  • l’article D. 4711-3 du code du travail fixe un délai de conservation de 5 ans pour les documents relatifs aux registres de sécurité, de contrôle et de vérification.

Par ailleurs, l’article L. 244-3 du code de la sécurité sociale prévoit un délai de conservation de 3 ans pour les documents relatifs aux charges sociales.

Enfin, d’autres dispositions fixent également des durées de conservation en fonction de la nature de données en cause. C’est le cas par exemple de l’article L. 123-22 du code de commerce qui impose une durée de conservation de 10 ans pour les documents comptables et les pièces justificatives pour la tenue des comptes bancaires clients.

Les durées fixées ou recommandées par la CNIL

Les responsables de traitement pourront utilement se reporter à certaines délibérations de la CNIL, qui mentionnent des durées de conservation des données pour certains traitements particuliers.

C’est par exemple le cas de la recommandation du 17 septembre 2020 relative aux cookies et autres traceurs, où la CNIL recommande que la durée de vie des traceurs de mesure d’audience soit limitée à une durée permettant une comparaison pertinente des audiences dans le temps, comme c’est le cas d’une durée de treize mois, et qu’elle ne soit pas prorogée automatiquement lors des nouvelles visites. Les informations collectées par l'intermédiaire de ces traceurs devraient être conservées pour une durée maximale de vingt-cinq mois ( Délib. CNIL no 2020-092, 17 sept. 2020 ).

Par ailleurs, un certain nombre de normes simplifiées énonçant des durées de conservation ont été adoptées par la CNIL sous le régime antérieur à l’entrée en application du RGPD. Elles n’ont plus de valeur juridique, mais les responsables de traitement peuvent s’en inspirer dans l’attente de production de référentiels RGPD. C ’est le cas :

  • de la norme simplifiée NS-056 applicable aux fichiers des clients-prospects des assureurs ( Délib. CNIL no 2013-213, 11 juill. 2013 ) :

    • le principe est celui de la conservation le temps nécessaire à la gestion de la relation commerciale ;
    • les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant un délai de 3 ans à compter de la fin de la relation commerciale ;
    • les données relatives à un prospect non-client peuvent être conservées pendant un délai de 3 ans à compter de leur collecte par le responsable du traitement ou à partir du dernier contact émanant du prospect ;
    • concernant la gestion des listes d’opposition à recevoir de la prospection : la durée de conservation est de 3 ans au minimum à compter de l’exercice du droit d’opposition ;
  • de la norme simplifiée NS-047 applicable à la gestion de la téléphonie sur le lieu de travail ( Délib. CNIL no 2005-019, 3 févr. 2005 ) : conservation des données pendant un an courant à la date de l’exigibilité des sommes dues en paiement des prestations des services de téléphonie.

Conservation des données bancaires dans le cadre d’une vente à distance

La CNIL a adopté une recommandation ( Délib. CNIL no 2018-303, 6 sept. 2018 ) sur les données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance. Après avoir rappelé que les données bancaires sont des données à caractère hautement personnel appelant la réalisation d’une AIPD compte tenu de la gravité des impacts pour les personnes concernées que leur violation pourrait engendrer, la Commission recommande les durées de conservation suivantes :

Finalités du traitement

Durée de conservation recommandée

Paiement unique (achat ponctuel ou abonnement sans tacite reconduction)

Délai nécessaire à la réalisation de la transaction (paiement effectif) qui peut être différé à la réception du bien ou à l’exécution de la prestation de services, augmenté, le cas échéant, du délai de rétractation prévu pour les ventes de biens et fournitures de prestations de services à distance

Abonnement avec paiements échelonnés sans tacite reconduction

Conservation justifiée jusqu’à la dernière échéance de paiement

Abonnement avec paiements échelonnés renouvelé par tacite reconduction

Conservation justifiée jusqu’à résiliation de l’abonnement, sous réserve d’informer les personnes concernées avant le renouvellement

Gestion des réclamations (pour les commerçants en ligne)

Conservation en archives intermédiaires du numéro de carte et de sa date de validité dès lors que cette conservation est nécessaire pour la gestion des éventuelles réclamations des titulaires de cartes de paiement. Les données peuvent être conservées 13 mois suivant la date de débit (jusqu’à 15 mois pour les cartes à débit différé).

Lutte contre le blanchiment

Les données peuvent être conservées jusqu’à la clôture du compte puis, le cas échéant, archivées conformément aux obligations légales en la matière.

Autres finalités (simple option pour faciliter un achat ultérieur, abonnement donnant accès à des services additionnels, traitement de lutte contre la fraude, etc.)

La durée de conservation ne saurait excéder la durée nécessaire à l’accomplissement de cette finalité

En tout état de cause, ces données doivent être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. De plus, la conservation du cryptogramme après la réalisation de la première transaction est interdite, dans tous les cas de figure, y compris pour les abonnements nécessitant différents paiements.

Enfin, la CNIL recommande que, lorsque les données relatives à la carte de paiement sont conservées afin de faciliter la réalisation ultérieure de transactions, les accès ou utilisations de ces données doivent faire l’objet de mesures de traçabilité spécifiques permettant de détecter a posteriori tout accès ou utilisation illégitime des données et de l’imputer à la personne responsable.

Remarque

La société Cdiscount a demandé au Conseil d’État l’annulation de cette délibération ainsi que le réexamen par la CNIL du régime de conservation des données de cartes bancaires des clients non abonnés, nécessaire selon elle aux fins de son intérêt légitime consistant à faciliter des paiements ultérieurs « en un clic ». Le juge administratif a estimé que l’intérêt légitime du responsable de traitement « ne saurait prévaloir sur l’intérêt des clients de protéger ces données, compte tenu de la sensibilité de ces informations bancaires et des préjudices susceptibles de résulter pour eux de leur captation et d’une utilisation détournée, et alors que de nombreux clients qui utilisent des sites de commerce en ligne en vue de réaliser des achats ponctuels ne peuvent raisonnablement s’attendre à ce que les entreprises concernées conservent de telles données sans leur consentement ». Il considère donc que « la CNIL a pu à bon droit estimer que devait être soumise au consentement explicite de la personne concernée la conservation des numéros de cartes bancaires des clients des sites de commerce en ligne pour faciliter des achats ultérieurs » ( CE, 10 déc. 2020, no 429571 ).

Conservation des données RH

La durée de conservation des données, sous une forme permettant l’identification des personnes concernées, doit être fixée au regard de la finalité de cette conservation, et en amont du traitement. Deux durées distinctes peuvent être prévues pour la base active d’une part, et l’archivage intermédiaire (avec accès restreint) d’autre part.

Dans sa délibération du 21 novembre 2019, la CNIL a adopté un référentiel relatif aux traitements de données mis en œuvre à des fins de gestion du personnel. Elle y propose, à titre indicatif, les durées de conservation suivantes ( Délib. CNIL no 2019-160, 21 nov. 2019 : JO, 15 avr.) :

Activités de traitement

Détails du traitement

Base active

Archivage intermédiaire

Texte de référence

Gestion de la paie

Bulletin de salaire

1 mois

5 ans

(C. trav., art. L. 3243-4 )

50 ans en version dématérialisée

(C. trav., art. D. 3243-8 )

Éléments nécessaires au calcul de l’assiette

1 mois

6 ans

(CSS, art. L. 243-16 )

Saisie des données calculées (DSN)

Le temps nécessaire à l'accomplissement de la déclaration

6 ans

(CSS, art. L. 243-16 )

Ordre de virement pour paiement

Le temps nécessaire à l’émission du bulletin de paie

10 ans à compter de la clôture de l’exercice comptable

(C. com., art. L. 123-22 )

Registre unique du personnel

La durée pendant laquelle le salarié fait partie des effectifs

5 ans à compter du départ du salarié de l’organisme

(C. trav., art. R. 1221-26 )

Gestion des mandats des représentants du personnel

Nature du mandat et syndicat d’appartenance

6 mois après la fin du mandat

6 ans (prescription pénale pour délit)

(C. trav., art. L. 2411-5 )

Les données relatives aux sujétions particulières ouvrant droit à congés spéciaux ou à crédit d’heures de délégation (ex. : exercice d’un mandat électif ou représentatif syndical)

Le temps de la période de sujétion de l’employé concerné

6 ans (prescription pénale pour délit)

(C. trav., art. L. 2142-1-3 )

Conservation des données dans le secteur de la santé

La CNIL a adopté deux référentiels le 18 juin 2020 :

  • un référentiel relatif aux durées de conservation des données à caractère personnel traitées à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé ( Délib. CNIL no 2020-077, 18 juin 2020 : JO, 28 juill.)  ;
  • un référentiel relatif aux durées de conservation des données à caractère personnel traitées dans le secteur de la santé pour les activités suivantes ( Délib. CNIL no 2020-076, 18 juin 2020 : JO, 28 juill.) :

    • la prise en charge des patients par les établissements de santé ;
    • la gestion des cabinets médicaux et paramédicaux ;
    • la gestion d’une pharmacie d’officine ;
    • les activités de traitements des laboratoires d’analyse médicale ;
    • l’activité des opticiens lunetiers ;
    • la télétransmission des feuilles de soin ;
    • le dossier pharmaceutique ;
    • le dossier médical partagé (DMP) ;
    • le dépistage organisé du cancer du sein, du cancer colorectal et du cancer du col de l’utérus ;
    • les vigilances sanitaires.

Conservation des données dans le cadre de la gestion locative

La CNIL a adopté un référentiel relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de la gestion locative, dans lequel elle préconise des durées de conservation des données au regard des finalités du traitement concerné ( CNIL, délib., no 2021-057, 6 mai 2021 ) :

  • pour les données collectées préalablement à une candidature à la location traitées à des fins de prospection (données d’identification, coordonnées, critères de recherche), est considérée comme adéquate une durée de conservation de 3 ans à compter du dernier contact des personnes concernées avec l’organisme ;
  • pour les données collectées au stade de l’appréciation de la solvabilité des candidats à la location, la durée de conservation de 3 mois en base active est en principe adéquate ;
  • pour les données relatives au candidat à la location retenu : la durée contractuelle et jusqu’à la clôture des comptes du locataire en base active est en principe adéquate, puis en archivage intermédiaire pendant une durée ne pouvant en principe excéder :

    • 3 ans en cas de gestion directe ;
    • 5 ans en cas de gestion déléguée ou semi-déléguée.
  • pour les données du locataire collectées depuis la conclusion du bail jusqu’à sa résiliation : la durée contractuelle jusqu’à la clôture des comptes du locataire est en principe une durée de conservation en base active adéquate. A l’issue de cette période, les données peuvent être archivées, en archivage intermédiaire, selon les durées suivantes :

    • 3 ans dans le cadre d’une gestion directe ou semi-déléguée (temps de la prescription en matière de contrat de bail) (selon la répartition des tâches entre le mandataire et le mandant) ;
    • 5 ans dans le cadre d’une gestion déléguée ou semi-déléguée (temps de la prescription commerciale) (selon la répartition des tâches entre le mandataire et le mandant).
  • les données collectées dans le cadre de la résiliation du contrat justifiant la fin de solidarité ou la réduction du préavis ne peuvent par principe faire l’objet d’une conservation et peuvent uniquement être consultées par l’organisme, sauf à justifier d’un besoin particulier.

Conservation des données dans le cadre de la gestion des activités commerciales

Dans sa délibération du 23 septembre 2021, la CNIL a adopté un référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des activités commerciales. Elle y propose, à titre indicatif, les durées de conservation suivantes ( Délib. CNIL no 2021-131, 23 sept. 2021 ) :

Finalité

Base légale

Durée de conservation recommandée

Gestion des contrats / programmes de fidélité

Gestion des commandes, de la livraison, de l'exécution du service ou fourniture du bien, etc.

Exécution du contrat

Durée de la relation contractuelle

Tenue de la comptabilité

Obligations comptables, fiscales, etc.

Respect d'une obligation légale de conservation des données (par exemple, l'obligation de s'assurer de l'identité de la personne en demandant la fourniture d'un justificatif d'identité)

Sous la forme d'archive intermédiaire : durée légale de conservation (par exemple, obligation comptable de 10 ans). La pièce d'identité est conservée le temps nécessaire pour procéder à la vérification de l'identité de la personne concernée. Une copie d'un titre d'identité peut être conservée pendant la durée de 6 ans si celle-ci est nécessaire à des fins de preuve ou pour répondre à une obligation légale

Suivi de la relation client

Enquêtes de satisfaction

Intérêt légitime de l'organisme ou Consentement (*)

Durée nécessaire pour la réalisation de l'objectif de l'enquête ou jusqu'à l'exercice du droit d'opposition ou le retrait du consentement

Gestion des réclamations

Exécution du contrat

Durée de la relation contractuelle

Service après-vente

Exécution du contrat

Durée de la relation contractuelle

Sélection de clients / Études / Enquêtes

Études sur la qualité des produits

Intérêt légitime de l'organisme ou Consentement (*)

Durée nécessaire pour la réalisation de l'objectif de l'étude ou jusqu'à l'exercice du droit d'opposition ou le retrait du consentement

Tests de produits

Statistiques de vente

Intérêt légitime de l'organisme

Durée nécessaire pour la réalisation de l'objectif visé par les statistiques ou jusqu'à l'exercice du droit d'opposition

Actions de prospection commerciale, (messages publicitaires, jeux concours, parrainage, promotion, etc.).

Par voie électronique (en vue de l'envoi de courriel, SMS, système automatisé de communication électronique sans intervention humaine, etc.), pour des biens ou services qui n'ont pas déjà été achetés par les personnes visées

Consentement (voir art. L. 34-5 du CPCE)

Jusqu'au retrait du consentement ou 3 ans à compter du dernier contact des personnes avec l'organisme

Par voie postale ou système automatisé d'appels donnant lieu à intervention humaine et appels téléphoniques

Intérêt légitime de l'organisme ou consentement (1)

À destination de professionnels (par voie électronique, postale ou téléphone)

Par voie électronique, pour des biens et services analogues déjà achetés / souscrits auprès du responsable de traitement

  1. Conformément au RGPD, il revient au responsable de traitement de déterminer, en fonction des caractéristiques du traitement mis en œuvre, la base légale la plus appropriée.

Conservation des données d ans le cadre de la gestion des impayés dans une transaction commerciale

Dans sa délibération du 23 septembre 2021, la CNIL a adopté un référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des impayés dans une transaction commerciale ( Délib. no 2021-130, 23 sept. 2021 ). Elle y propose des durées de conservations. Si l’organisme choisit de conserver les données pour une durée plus longue que celle proposée par le référentiel, il devra s’assurer que cette durée n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées :

  • en cas de régularisation de l’impayé, les informations relatives à la personne concernée devraient être effacées du fichier recensant les personnes en situation d’impayé dans les 48 heures suivant le constat de la régularisation par l’organisme ou à partir du moment où l’impayé a été effectivement soldé ;
  • en cas de non-régularisation, les informations peuvent être conservées dans le fichier recensant les personnes en situation d’impayés et les excluant de ce fait du bénéfice d’une prestation, dans la limite de 5 ans à compter de la survenance de l’impayé.

En tout état de cause, elles peuvent être archivées si l’organisme en a l’obligation légale (par exemple, pour répondre à des obligations comptables ou fiscales) ou si l’organisme souhaite se constituer une preuve en cas de contentieux et dans la limite du délai de prescription applicable.

Obligation d’informer les personnes sur la durée de conservation de leurs données

La loi no 2016-1321 pour une République numérique du 7 octobre 2016 a renforcé l’obligation d’information incombant au responsable de traitement ( L. no 78-17, 6 janv. 1978, art. 48). En effet, ce dernier est désormais tenu d’informer les personnes concernées de la durée pendant laquelle leurs données seront conservées et traitées. Cette obligation a également été reprises aux articles 13, § 2, a) et 14, § 2, a) du RGPD. Le règlement précise que lorsqu’il n’est pas possible d’indiquer précisément pendant combien de temps les données seront conservées, le responsable du traitement devra alors communiquer aux personnes concernées les critères utilisés pour déterminer cette durée.

Dérogations prévues pour certains types de traitements particuliers

L’article 5, § 1, e) du RGPD et l’article 4 de la loi Informatique et libertés prévoient une hypothèse dans laquelle les données à caractère personnel peuvent être conservées pour des durées plus longues que celles nécessaires au regard de la finalité initiale. Il s’agit des traitements à des fins archivistiques dans l’intérêt public, à des fins de recherches scientifiques ou historiques ou à des fins statistiques. Le choix des données conservées à des fins archivistiques dans l’intérêt public est opéré dans les conditions prévues à l’article L. 213-3 du code du patrimoine.

Cette possibilité est soumise à la condition que soient mises en œuvre des mesures techniques et organisationnelles appropriées afin de garantir les droits et les libertés de la personne concernée (RGPD, art. 89 ).

Actions à mettre en œuvre à l’expiration du délai de conservation des données

Les données devant être collectées et traitées le temps de la réalisation des finalités poursuivies par le responsable du traitement, ce dernier devra, une fois son objectif atteint, procéder à l’effacement des données, à leur archivage ou recourir à un procédé d’anonymisation.

Effacement des données

Si le responsable du traitement décide de supprimer les données une fois la durée de conservation expirée, il devra alors s’assurer que les données ont été effectivement effacées. Il devra donc veiller à ce qu’aucune copie des données ne subsiste au sein de son organisation et auprès de ses éventuels sous-traitants.

Archivage des données

Dans certains cas, le responsable du traitement ne pourra pas supprimer directement les données une fois les finalités du traitement atteintes. Cela peut être le cas lorsqu’il lui est nécessaire de conserver les données le temps de l’écoulement du délai de prescription à des fins de preuves. Dans de telles situations, le responsable du traitement pourra recourir à la technique de l’archivage. La CNIL distingue les archives intermédiaires des archives définitives.

Point de vue de l’AFCDP

L’AFCDP recommande que le DPO documente la durée de conservation en archives intermédiaires.

S’agissant des archives intermédiaires, le responsable du traitement est libre de choisir le mode d’archivage le plus adapté à ces besoins. Ainsi, le responsable du traitement peut tout d’abord choisir de conserver les données dans une base d’archive spécifique, distincte de la base active, pour laquelle l’accès est limité aux seules personnes disposant d’un intérêt à pouvoir consulter les données en raison de leur fonction. Il peut aussi choisir de continuer à conserver les données dans la base active. Dans ce cas, il devra procéder à un isolement des données afin de les rendre inaccessibles aux personnes n’ayant plus d’intérêt à les traiter.

En cas d’archivage définitif, c’est l’intérêt public qui peut justifier que les données ne fassent l’objet d’aucune destruction. Ces archives sont gérées par les services d’archives territorialement compétents.

Point de vue de l’AFCDP

Le DPO doit se rapprocher de l’archiviste, s’il existe.

Des mesures techniques et organisationnelles doivent être mises en place afin d’assurer un niveau de sécurité approprié. Dans le cas où l’archivage est confié à un sous-traitant, des garanties appropriées doivent être fournies au responsable du traitement.

Anonymisation des données

Une fois la durée de conservation expirée, le responsable du traitement peut, au lieu d’effacer les données, procéder à leur anonymisation. Dans de tels cas, les procédés mis en place devront respecter les règles applicables en la matière et donc rendre impossible la réidentification des personnes.

L’anonymisation est une technique qui vise, en effet, à briser le lien entre des données et une personne physique de façon irréversible, afin d’empêcher toute identification d’un individu. C’est une opération complexe, car de nombreux types de données peuvent conduire à l’identification des personnes ; au cours des dernières années, les travaux sur la réidentification ont démontré qu’en reliant des données supposées anonymes à des informations extérieures un « attaquant » pouvait réussir à réidentifier ces informations.

A l’heure actuelle, les principales recommandations existantes en matière d’appréciation des techniques d’anonymisation proviennent principalement du groupe de travail de l’article 29 sur la protection des données ( Avis du G29 no 5/2014, 10 avr. 2014 ), endossé par le CEPD. Celles-ci préconisent d’apprécier l’anonymisation par l’usage de solutions techniques résistant exhaustivement à trois critères :

  • l’individualisation, à savoir l’impossibilité d’isoler un individu dans un ensemble de données ;
  • la corrélation, à savoir l’impossibilité de relier entre eux des ensembles de données distincts concernant un même individu ;
  • l’inférence, à savoir l’impossibilité de déduire de l’information sur un individu.

Une solution qui résisterait cumulativement à ces trois risques offrirait alors une protection fiable contre les tentatives de réidentification pouvant être raisonnablement mises en œuvre par le responsable du traitement des données ou par des tiers.

Point de vue de l’AFCDP

L’idée consiste à ne pas permettre de remonter vers la personne tout en cassant le lien qui existe entre une donnée ou une combinaison de données et cette personne. Pour établir l’anonymat des traitements, il faudrait tenir compte de plusieurs éléments : le coût de l’identification, le temps nécessaire à cette identification ainsi que les technologies disponibles au moment du traitement et de leur évolution ( Règl. no (UE) 2016/679 du Parlement européen et du Conseil, 27 avr. 2016, considérant 26). Dès lors que les données ne permettent plus d’identifier la personne, la réglementation portant sur les données à caractère personnel ne s’applique pas.

  • print
  • linkedin
Aller plus loin
Code de la protection des données personnelles, annoté et commenté
Tout le droit applicable à la protection de la vie privée et son articulation avec la protection des données
75,00 € TTC
Questions fréquemment posées

Qu’est-ce que l’archivage intermédiaire ?

Il s’agit d’une phase dans le cycle de vie des données collectées au cours de laquelle ces données ne sont plus utilisées dans la « base active » mais sont néanmoins conservées dans un but juridique ou administratif (par exemple, en prévision d’un contentieux pendant la délai de prescription) ou en vue de répondre à une obligation légale (les données de facturation doivent être conservées 10 ans, par exemple). Leur accès est alors restreint.

Comment fixer la durée de conservation des données ?

La durée de conservation des données est parfois fixée par la réglementation mais pas toujours. Dans ce cas, la durée de conservation doit être fixée par le responsable du traitement et correspondre à la durée strictement nécessaire pour atteindre l’objectif poursuivi par le traitement. Pour certaines données, il existe des référentiels, publiés par la Cnil.