Toute donnée à caractère personnel passe par plusieurs étapes, depuis sa collecte jusqu’à sa suppression. On parle du cycle de vie de la donnée qui représente la succession des phases que connaît une donnée ou un ensemble de données. Une donnée relative à une personne ne peut en effet être conservée indéfiniment et une durée de vie doit en principe être définie lors de sa création.
Les étapes du cycle de vie d’une donnée peuvent être interprétées de plusieurs manières. Les obligations qu’impose le RGPD permettent une représentation générale en 4 étapes principales. Toutes les données traitées ne sont pas forcément concernées par toutes ces étapes et cela dépend de plusieurs paramètres liés tant aux traitements concernés qu’aux obligations légales. La conservation des données en base active concerne toutefois tout type de donnée, indépendamment du contexte de son exploitation.
Création
Le cycle de vie d’une donnée prend naissance au moment de sa collecte. Lors de cette étape, plusieurs obligations doivent être respectées, qui conditionnent par la suite la licéité du traitement. Ces obligations dépendent des objectifs de la collecte et des traitements qui seront mis en place. Elles varient également selon la modalité de la collecte.
Il existe en effet deux types de collecte : directe et indirecte. Les exigences à respecter ne sont pas identiques dans ces deux cas. Lorsque les données sont recueillies auprès de la personne concernée, un certain nombre d’informations doivent lui être fournies au moment de l’obtention des données. Ces informations ne sont pas tout à fait identiques lorsque les données sont récupérées auprès d’un tiers. Dans ce cas, la personne concernée doit en plus avoir connaissance des catégories des données et de la source des données. Le moment de fourniture de cette information n’est pas le même dans ces deux cas. Il peut correspondre à un délai raisonnable et au plus tard à un mois après l’obtention des données, au moment de la première communication avec la personne concernée ou encore dans le cas où il est envisagé de transmettre les données à un autre destinataire, concerner le moment où elles sont communiquées pour la première fois.
Traitement
Cette phase correspond à toute opération effectuée sur des données. Il peut s’agir d’une simple utilisation, de leur organisation, ou encore porter sur la transmission à des tiers. Quoi qu’il en soit, un traitement de données doit être licite. Les principes de licéité de l’article 6 du RGPD doivent dès lors être respectées et les mesures permettant de s’y conformer doivent être identifiées et mises en place. Ainsi, les données personnelles ne peuvent être traitées que si l’organisme a le droit de le faire et qu’une base légale a bien été définie pour le traitement concerné. Les autres obligations relatives à la protection des données doivent également être prises en compte à cette étape, dont notamment celles portant sur la transparence, les finalités, les droits des personnes, les mesures techniques et organisationnelles, etc…
Suppression / Anonymisation
Toute donnée personnelle doit avoir une durée de conservation au-delà de laquelle elle doit être, selon le cas, supprimée, anonymisée ou encore archivée. La détermination de cette durée dépend des raisons pour lesquelles la collecte a eu lieu. Cette durée de conservation doit être communiquée à la personne concernée. Ainsi, afin de se conformer au principe de transparence, la personne doit être informée de cette durée lui permettant de choisir en connaissance de cause si elle accepte ou pas de révéler ses données. Dans le cas où cette durée ne peut être déterminée au moment de la collecte, les informations portant sur les éléments pouvant la définir doivent, a minima, être mis à disposition des personnes concernées. Cette durée de conservation doit être respectée et les données ne peuvent être conservées de manière indéfinie. Certains textes de lois fixent une durée de conservation. Mais en l’absence d’une durée légale, le responsable de traitement est tenu de fixer une durée proportionnée au regard de l’objectif et du but poursuivi.
Une fois ce délai passé, le responsable de traitement doit obligatoirement supprimer ou anonymiser les données personnelles. La suppression des données doit se faire manuellement ou de manière automatique. L’anonymisation des données peut être privilégiée dans le cas où le responsable de traitement souhaite réutiliser les données à d’autres fins telles que la recherche. Un véritable processus doit donc être mis en place au sein de l’organisme afin de garantir le respect de ces durées.
Archivage
L’archivage des données intervient une fois la durée de conservation atteinte et que les données présentent un intérêt pour l’organisme. On distingue deux types d’archivage : l’archivage en base intermédiaire et l’archivage définitif.
L’archivage intermédiaire concerne le cas où la conservation des données est pertinente dans le cadre d’un intérêt administratif pour l’organisme ou pour se conformer à une obligation légale. Il permet la conservation des données au-delà de la durée prévue initialement. A titre d’exemple, des données qui peuvent présenter un intérêt en cas de contentieux doivent être archivées. La CNIL recommande ainsi que les documents nécessaires au calcul de l’assiette soient conservés pendant un mois en base active. Un archivage intermédiaire de ces éléments est aussi nécessaire. L’article L243-16 du Code de la sécurité sociale prévoit une durée de conservation de 6 ans pour ces documents. De même, le bulletin de salaire en version papier peut être conservé un mois en base active et pendant 5 ans en archivage intermédiaire.
L’archivage définitif concerne, quant à lui, certaines données qui ne peuvent faire l’objet d’aucune destruction définitive. C’est notamment le cas des données d’intérêt public (historique, scientifique, statistique).
