Les durées de conservation des données
28 juillet 2020
Les données personnelles ne peuvent pas être conservées indéfiniment : une durée de conservation doit être déterminée par le en fonction de l’objectif ayant conduit à la collecte de ces données. Ce principe de conservation limitée des données personnelles est prévu par le RGPD et la loi Informatique et Libertés.
Le cycle de vie de la donnée
Pour un même traitement, les données personnelles poursuivent des phases successives. On parle de « cycle de vie » de la .
Ce cycle connaît trois phases :
-
Conservation en base active
Il s’agit de la durée nécessaire à la réalisation de l’objectif (finalité du traitement) ayant justifié la collecte/enregistrement des données. Par exemple, dans une entreprise, les données d’un candidat non retenu seront conservées pendant 2 ans maximum (sauf s’il en demande l’effacement) par le service des ressources humaines.
En pratique, les données seront alors facilement accessibles dans l’environnement de travail immédiat pour les services opérationnels qui sont en charge de ce traitement (ex : le service des ressources humaines pour les opérations de recrutement).
-
Archivage intermédiaire
Les données personnelles ne sont plus utilisées pour atteindre l’objectif fixé (« dossiers clos ») mais présentent encore un intérêt administratif pour l'organisme (ex : gestion d’un éventuel contentieux, etc.) ou doivent être conservées pour répondre à une obligation légale (par exemple, les données de facturation doivent être conservées dix ans en application du Code de commerce, même si la personne concernée n’est plus cliente). Les données peuvent alors être consultées de manière ponctuelle et motivée par des personnes spécifiquement habilitées.
Si l’archivage intermédiaire est nécessaire et justifié, une séparation avec la base active doit être opérée. Cette séparation peut être physique (extraction des données du système d’information pour les conserver séparément dans une base d’archivage dédiée à laquelle seules des personnes spécifiquement habilitées pourront accéder) ou logique (les données sont isolées des autres données par une limitation des habilitations afin de les rendre inaccessibles aux personnes n’ayant plus d’intérêt à les traiter).
-
Archivage définitif
En raison de leur « valeur » et intérêt, certaines informations sont archivées de manière définitive et pérenne.
À la différence de la conservation en base active, les deux dernières étapes ne sont pas systématiquement mises en place. Leur nécessité doit être évaluée pour chaque traitement, et, pour chacune de ces phases, un tri sera opéré entre les données.
Une même donnée est utilisée dans deux traitements distincts. Comment conjuguer les deux durées de conservation applicables ?
Une même donnée personnelle peut être utilisée pour des traitements distincts et être ainsi soumise à des durées différentes. L’archivage ou la suppression de cette donnée dans l’un des traitements n’interdit pas de continuer à utiliser cette donnée dans un autre traitement.
L’identification de la durée de conservation des traitements
La définition de la durée de conservation relève de l’analyse de conformité que le responsable doit mener pour son traitement.
Dans certains cas, la durée de conservation est fixée par la règlementation (par exemple, l’article L3243-4 du Code du travail impose à l’employeur de conserver un double du bulletin de paie du salarié pendant 5 ans).
Toutefois, pour de nombreux traitements de données, la durée de conservation n’est pas fixée par un texte. Il appartient alors au responsable du de la déterminer en fonction de la finalité du traitement.
Les outils pour aider à définir les durées
Dans le cadre de sa mission d’accompagnement des professionnels, la CNIL a élaboré des outils d’aide à l’identification des durées applicables à la conservation des données, ainsi qu’un guide pour faciliter la mise en œuvre de ce principe.
Ces outils sont destinés à tout professionnel, quel que soit son secteur (public ou privé) et quelle que soit la taille de sa structure.
Un guide pratique
Le guide pratique des durées de conservation répond aux questions que se posent fréquemment les professionnels, tant sur le principe de la limitation de la conservation des durées que sur sa mise en pratique.
Il présente également l’outil « référentiel durées de conservation », du point de vue contenu et utilisation.
Élaboré en partenariat avec le service interministériel des archives de France (SIAF), ce guide pratique explicite comment articuler les obligations du RGPD et celles imposées par le Code du patrimoine.
Des référentiels de durées de conservation
L’objectif de ces référentiels est de faciliter la recherche de la durée pertinente, effectuée par le .
Sous forme de tableaux, ils présentent, pour les traitements les plus récurrents dans le secteur concerné, les étapes de la vie des données (base active, voire archivage intermédiaire).
Les durées mentionnées pour chacune des phases de la vie de la donnée sont :
- soit obligatoires, car imposées par un texte législatif ou réglementaire ;
- soit recommandées au regard de la doctrine de la CNIL (référentiels sectoriels, recommandations…), elles constituent alors un point de repère dont le responsable de traitement peut s’éloigner sous réserve de documenter son choix. Le fait d'appliquer ces durées recommandées constitue une présomption de conformité.
Ces référentiels constituent un outil d’aide à la décision pour les organismes, en leur fournissant des durées et des références textuelles afin de déterminer, au regard de leurs propres activités et obligations, les durées de conservation adaptées et justifiées. Ils doivent donc être utilisés comme une base de travail, à partir de laquelle le responsable du traitement peut mener sa propre analyse, selon les spécificités du traitement concerné et du contexte spécifique de la structure.
Les référentiels de durées de conservation disponibles concernent :
- le secteur de la santé (hors recherche)
- la recherche en santé
- le secteur social et médico-social
- la gestion des ressources humaines
Ces documents ne sont pas exhaustifs : ils ne listent que les traitements les plus fréquents. Il est donc possible qu’un traitement ne figure pas dans le référentiel, ou qu’une réglementation sectorielle applicable à une activité n’y soit pas mentionnée.
Il est recommandé de vérifier si l’organisme est soumis à une réglementation sectorielle spécifique, et le cas échéant, appliquer les durées prévues par celle-ci. En l’absence de réglementation, la durée doit être définie en fonction de la finalité du traitement (voir la grille d’analyse dans le guide sur les durées de conservation, pages 13 et 14).
De plus, les dispositions législatives et réglementaires recensées dans les référentiels de la CNIL ne concernent que le droit national. Par conséquent, une société établie dans plusieurs États devra vérifier si d’autres législations nationales différentes lui sont applicables.
Avant d’utiliser la dernière version du référentiel, nous vous recommandons de vérifier sa date de mise à jour.
Les bonnes questions à se poser
- Jusqu’à quand ai-je vraiment besoin des données pour atteindre l’objectif fixé ?
- Ai-je des obligations légales de conserver les données pendant un certain temps ?
- Dois-je conserver certaines données en vue de me protéger contre un éventuel contentieux ? Lesquelles ?
- Jusqu’à quand puis-je faire valoir ce recours en justice ?
- Quelles informations doivent être archivées ? Pendant combien de temps ?
- Quelles sont les règles de suppression des données.
- Quelles sont les règles d’archivage des données ?
