Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Archivage électronique des données de l’entreprise : quelles contraintes par rapport aux données personnelles ?

Publié le par

Les obligations légales en matière de gestion fiscale, comptable ou sociale imposent souvent aux entreprises de conserver sur de longues périodes des documents contenant des données à caractère personnel. Et les entreprises préfèrent, à tout prendre, envisager un archivage électronique souvent synonyme de coûts diminués. L’archivage électronique des données de l’entreprise n’est pas innocent par…

Les obligations légales en matière de gestion fiscale, comptable ou sociale imposent souvent aux entreprises de conserver sur de longues périodes des documents contenant des données à caractère personnel. Et les entreprises préfèrent, à tout prendre, envisager un archivage électronique souvent synonyme de coûts diminués. L’archivage électronique des données de l’entreprise n’est pas innocent par rapport à la loi de 1978 sur la protection des données à caractère personnel. Dans une recommandation du 11 octobre 2005, la CNIL rappelle l’application de la loi, souligne les problèmes majeurs qui peuvent se poser, et dévoile ce qu’elle considère être de bonne pratique en la matière.

Les données archivées tombent-elles sous le coup de la loi de 1978 ?

L’article 2 de la loi de 1978 fixe le champ d’application :

« La présente loi s’applique aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l’exception des traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l’article 5.

(…)

Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.

Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés. »

En d’autres termes, le champ d’application de la loi diffère selon que le traitement est automatisé ou non :

  • La loi s’applique au traitement automatisé dès l’instant où la donnée est à caractère personnel (à l’exception des traitements exclusivement domestiques).

  • La loi s’applique au traitement non automatisé dès l’instant où la donnée est à caractère personnel (à l’exception des traitements exclusivement domestiques), pour autant que les données soient contenues ou appelées à figurer dans des fichiers.

Par rapport à l’archivage, la dualité du champ d’application de la loi crée donc deux hypothèses :

  1. D’une part, l’archivage électronique de données à caractère personnel qui étaient à l’origine sous forme électronique et qui étaient déjà soumise à la loi de 1978 ;

  2. D’autre part, l’archivage sous forme électronique de données et qui faisaient à l’origine l’objet d’un traitement non automatisé et dont le basculement dans l’univers électronique crée un traitement automatisé qui entraîne application de la loi.

Quelle que soit l’hypothèse visée, la loi de 1978 s’applique aussi à l’archivage électronique, ce que la recommandation du 11 octobre 2005 de la CNIL souligne.

La recommandation de la CNIL

La CNIL, réunie en séance plénière le 11 octobre 2005, a par conséquent adopté une recommandation visant à sensibiliser les professionnels sur certaines règles générales de bonnes pratiques à mettre en œuvre ; elle pose les principes suivants :

  • Encadrer les archives courantes, intermédiaires et définitives

    La CNIL distingue trois types d’archives :

    1. Les archives « courantes » : les données d’utilisation courante par les services concernés dans les entreprises, organismes ou établissements privés (par exemple les données concernant un client dans le cadre de l’exécution d’un contrat) ;

    2. Les archives intermédiaires : les données qui présentent encore pour les services concernés un intérêt administratif, comme par exemple en cas de contentieux, et dont les durées de conservation sont fixées par les règles de prescription applicables ;

    3. Les archives définitives : les données présentant un intérêt historique, scientifique ou statistique justifiant qu’elles ne fassent l’objet d’aucune destruction.
  • Respecter le principe du « droit à l’oubli »

    Les archives courantes et intermédiaires doivent respecter le « droit à l’oubli » fixé par les articles 6-5° et 24 de la loi du 6 janvier 1978 modifiée en août 2004 :

    • Article 6-5° : Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : (…) Elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

    • Article 24 : Pour les catégories les plus courantes de traitements de données à caractère personnel, dont la mise en œuvre n’est pas susceptible de porter atteinte à la vie privée ou aux libertés, la Commission nationale de l’informatique et des libertés établit et publie, après avoir reçu le cas échéant les propositions formulées par les représentants des organismes publics et privés représentatifs, des normes destinées à simplifier l’obligation de déclaration.

      Ces normes précisent : (…) La durée de conservation des données à caractère personnel. (…)

    La CNIL recommande à cet égard que les responsables de traitements établissent, dans le cadre de leurs moyens d’archivage, des procédures aptes à gérer des durées de conservation distinctes selon les catégories de données qu’ils collectent et soient en mesure d’effectuer, le cas échéant, toute purge ou destruction sélective de données à caractère personnel.

  • Eviter la « dilution » des données archivées dans le système informatique de l’entreprise

    En application de l’article 34 de la loi du 6 janvier 1978 modifiée, les responsables de traitements doivent mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les données archivées notamment contre la diffusion ou l’accès non autorisés ainsi que contre toute autre forme de traitement illicite. Ces mesures doivent assurer un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.

    La CNIL recommande que l’accès aux archives intermédiaires soit limité à un service spécifique (par exemple un service du contentieux) et qu’il soit procédé, a minima, à un isolement des données archivées au moyen d’une séparation logique (gestion des droits d’accès et des habilitations).

    Elle recommande également que les archives définitives soient conservées sur un support indépendant, non accessible par les systèmes de production, n’autorisant qu’un accès distinct, ponctuel et précisément motivé auprès d’un service spécifique seul habilité à consulter ce type d’archives (par exemple la direction des archives de l’entreprise).

    Elle recommande enfin de mettre en œuvre des dispositifs sécurisés lors de tout changement de support de stockage des données archivées ainsi que de mettre en œuvre des dispositifs de traçabilité des consultations des données archivées.

  • Droit d’accès et procédés d’anonymisation en cas de conservation à long terme de documents d’archives

    Pour la CNIL, les archives courantes et intermédiaires sont soumises au droit d’accès de l’article 39-I-4° : « Toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données à caractère personnel en vue d’obtenir (…) la communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l’origine de celles-ci ».

    Et les archives définitives ? La réponse est complexe. A contrario, on peut déduire de la recommandation que le droit d’accès doit être modalisé.

    La base juridique de cette modalisation est l’article 39-II de la loi : « Les dispositions du présent article ne s’appliquent pas lorsque les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d’atteinte à la vie privée des personnes concernées et pendant une durée n’excédant pas celle nécessaire aux seules finalités d’établissement de statistiques ou de recherche scientifique ou historique. Hormis les cas mentionnés au deuxième alinéa de l’article 36, les dérogations envisagées par le responsable du traitement sont mentionnées dans la demande d’autorisation ou dans la déclaration adressée à la Commission nationale de l’informatique et des libertés ».

    Dès lors, pour la CNIL :

    « Si, en application de la loi informatique et libertés modifiée, il peut exister pour les archives dites définitives une exception au principe du droit d’accès aux données archivées, la CNIL recommande néanmoins d’utiliser, en particulier en cas de données sensibles au sens de l’article 8 de la loi précitée, des procédés d’anonymisation.

  • Développer, dans les entreprises, des procédures formalisées

    Un archivage ne s’improvise pas : il se prépare et se pense. Dès lors la CNIL recommande que les entreprises définissent, dans le cadre de procédures formalisées, des règles d’archivage soucieuses de la loi Informatique & Libertés, et qu’une information puisse être fournie sur ces règles, en cas de demande exprimée de leur part, aux individus faisant l’objet des traitements archivés.

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK