Les durées de conservation des données
Les données personnelles ne peuvent être conservées indéfiniment : une durée de conservation doit être déterminée par le responsable de traitement en fonction de l’objectif ayant conduit à la collecte de ces données. Ce principe de conservation limitée des données personnelles est prévu par le RGPD et la loi Informatique et Libertés.
Le cycle de vie de la donnée
Pour un même traitement, les données personnelles poursuivent des phases successives. On parle de « cycle de vie » de la donnée personnelle.
Ce cycle connaît trois phases :
-
Conservation en base active
Il s’agit de la durée nécessaire à la réalisation de l’objectif (finalité du traitement) ayant justifié la collecte/enregistrement des données. Par exemple, dans une entreprise, les données d’un candidat non retenu seront conservées pendant 2 ans maximum (sauf s’il en demande l’effacement) par le service des ressources humaines.
En pratique, les données seront alors facilement accessibles dans l’environnement de travail immédiat pour les services opérationnels qui sont en charge de ce traitement (ex : le service des ressources humaines pour les opérations de recrutement) ;
-
Archivage intermédiaire
Les données personnelles ne sont plus utilisées pour atteindre l’objectif fixé (« dossiers clos ») mais présentent encore un intérêt administratif pour l'organisme (ex : gestion d’un éventuel contentieux, etc.) ou doivent être conservées pour répondre à une obligation légale (par exemple, les données de facturation doivent être conservées dix ans en application du Code de commerce, même si la personne concernée n’est plus cliente). Les données peuvent alors être consultées de manière ponctuelle et motivée par des personnes spécifiquement habilitées ;
-
Archivage définitif
En raison de leur « valeur » et intérêt, certaines informations sont archivées de manière définitive et pérenne.
À la différence de la conservation en base active, les deux dernières étapes ne sont pas systématiquement mises en place. Leur nécessité doit être évaluée pour chaque traitement, et, pour chacune de ces phases, un tri sera opéré entre les données.
L’identification de la durée de conservation des traitements
La définition de la durée de conservation relève de l’analyse de conformité que le responsable doit mener pour son traitement.
Dans certains cas, la durée de conservation est fixée par la règlementation (par exemple, l’article L3243-4 du Code du travail impose à l’employeur de conserver un double du bulletin de paie du salarié pendant 5 ans).
Toutefois, pour de nombreux traitements de données, la durée de conservation n’est pas fixée par un texte. Il appartient alors au responsable du fichier de la déterminer en fonction de la finalité du traitement.
Les outils pour aider à définir les durées
Dans le cadre de sa mission d’accompagnement des professionnels, la CNIL a élaboré des outils d’aide à l’identification des durées applicables à la conservation des données, ainsi qu’un guide pour faciliter la mise en œuvre de ce principe.
Ces outils sont destinés à tout professionnel, quel que soit son secteur (public ou privé) et quelle que soit la taille de sa structure.
Un guide pratique
Le guide pratique des durées de conservation répond aux questions que se posent fréquemment les professionnels, tant sur le principe de la limitation de la conservation des durées que sur sa mise en pratique.
Il présente également l’outil « référentiel durées de conservation », du point de vue contenu et utilisation.
Élaboré en partenariat avec le service interministériel des archives de France (SIAF), ce guide pratique explicite comment articuler les obligations du RGPD et celles imposées par le Code du patrimoine.
Des référentiels de durées de conservation
L’objectif de ces référentiels est de faciliter la recherche de la durée pertinente, effectuée par le responsable de traitement.
Sous forme de tableaux, ils présentent, pour les traitements les plus récurrents dans le secteur concerné, les étapes de la vie des données (base active, voire archivage intermédiaire).
Les durées mentionnées pour chacune des phases de la vie de la donnée sont :
- soit obligatoires, car imposées par un texte législatif ou réglementaire ;
- soit recommandées au regard de la doctrine de la CNIL (anciennes normes simplifiées ou autorisations uniques, référentiels sectoriels, recommandations…), elles constituent alors un point de repère dont le responsable de traitement peut s’éloigner sous réserve de documenter son choix.
Cet outil a été conçu comme une base de travail, à partir de laquelle le responsable du traitement peut mener sa propre analyse, selon les spécificités du traitement concerné et du contexte spécifique de la structure.
Les premiers référentiels adoptés concernent le domaine de la santé (hors recherche), celui de la recherche en santé, ainsi que le secteur social et médico-social.
Les bonnes questions à se poser
- Jusqu’à quand ai-je vraiment besoin des données pour atteindre l’objectif fixé ?
- Ai-je des obligations légales de conserver les données pendant un certain temps ?
- Dois-je conserver certaines données en vue de me protéger contre un éventuel contentieux ? Lesquelles ?
- Jusqu’à quand puis-je faire valoir ce recours en justice ?
- Quelles informations doivent être archivées ? Pendant combien de temps ?
- Quelles sont les règles de suppression des données.
- Quelles sont les règles d’archivage des données ?