La limitation de la conservation constitue l’un des principes phares du RGPD. Les données personnelles doivent être collectées pour une durée déterminée et ne peuvent être conservées de manière indéfinie. Cette obligation complète l’exigence sur la minimisation des données selon laquelle seules les données personnelles nécessaires selon la finalité doivent être collectées. En effet, une donnée ne peut être recueillie que si elle est indispensable dans le cadre d’un projet, voire d’un traitement. Ceci implique d’identifier les différentes durées de conservation et de mettre en place en interne un processus permettant de les respecter.
Une durée limitée
Les données personnelles ne doivent être conservées que pendant une durée qui ne dépasse pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Il est donc exigé de définir une période de conservation pour chaque donnée, qui soit appropriée à la finalité du traitement.
La personne concernée doit être informée de cette durée. Mais dans le cas où cette période ne peut être définie au moment de la collecte, les critères permettant de la déterminer doivent a minima être mis à disposition des personnes concernées.
Le CEPD précise dans ses lignes directrices sur la transparence que les éléments communiqués doivent permettre à la personne d’évaluer la période de conservation, et le responsable de traitement ne peut se contenter de préciser de manière générale que les données personnelles seront conservées le temps nécessaire pour atteindre la finalité du traitement.
Une fois cette durée atteinte, les données ne doivent pas forcément être supprimées. L’anonymisation des données peut être privilégiée dans le cas où le responsable de traitement souhaite les réutiliser à d’autres fins telles que la recherche. Il est également possible d’opter pour l’archivage des données dans certains cas.
Le cycle de vie de la donnée connaît en effet trois phases :
- La conservation en base active, qui se fait pendant la durée nécessaire à la réalisation de l’objectif ayant justifié la collecte de la donnée.
- L’archivage intermédiaire, qui intervient lorsque l’objectif fixé est atteint mais que les données présentent encore un intérêt administratif pour l’organisme.
- L’archivage définitif, qui concerne des cas rares tels que les traitements réalisés à des fins d’archivage dans l’intérêt public.
Un choix contextuel
La détermination de la durée de conservation dépend dès lors des raisons pour lesquelles la collecte a eu lieu.
Deux cas peuvent être distingués. Dans certains cas, la durée de conservation est fixée par un texte légal. Toutefois, pour de nombreux traitements de données, la durée de conservation n’est pas fixée par un texte et doit être déterminée en fonction de la finalité du traitement.
A titre d’exemple, le bulletin de salaire peut être conservé en moyenne pendant 1 mois en base active. Il peut par ailleurs être archivé pendant 5 ans en archivage intermédiaire s’il s’agit d’une version papier et 50 ans en version dématérialisée, au titre respectivement des articles L. 3243-4 et D. 3243-8 du Code du Travail. Autre exemple, selon le code du commerce, une facture qui contient généralement des données personnelles doit être conservée pendant 10 ans.
Si aucun texte légal ne prévoit une période de conservation, le responsable du traitement de traitement doit définir une période de conservation appropriée. Ce choix doit être proportionné et adéquat à la finalité du traitement et doit être justifié. A titre d’exemple, lorsque des données personnelles sont collectées pour organiser un événement, il n’est plus nécessaire de les conserver une fois l’événement terminé. Les données doivent alors être supprimées.
La CNIL met à disposition des outils afin d’aider les organismes dans la formalisation de ces choix. On peut citer le guide sur les durées de conservation ou encore les différents référentiels dans le domaine de la santé.
Une sanction possible
Le non-respect de cette obligation sur la conservation des données peut faire l’objet d’une sanction.
La CNIL a ainsi sanctionné la société Discord Inc. pour, entre autres :
- Absence d’une information adaptée sur la conservation des données.
- L’information sur la durée de conservation étant présentée de manière générique et n’étant pas suffisamment explicite.
Elle considère d’ailleurs que cette information est importante pour assurer « un traitement équitable et transparent », dans la mesure où elle contribue à garantir la maîtrise des utilisateurs sur les traitements de leurs données.
De même, la CNIL a prononcé une sanction à l’encontre de la RATP en raison de plusieurs manquements dont notamment le non-respect du principe de limitation de la durée de conservation, les données ayant été conservées en base active pour une durée qui excède celle nécessaire pour accomplir les finalités.
Quelles étapes suivre ?
Il faudrait dès lors anticiper, mettre en place des process clairs et faire des tris de manière régulière pour assurer un respect effectif de cette obligation.
La mise en place d’une politique de conservation de données s’avère indispensable. Elle doit préciser notamment les éléments suivants :
- Les données collectées.
- Les personnes traitant les données.
- Les modalités de stockage des données.
- Les durées de conservation associées à chaque catégorie de données.
- Les textes légaux et guides/référentiels CNIL.
- Les modalités de gestion de l’anonymisation/l’archivage/la suppression des données.
