Combien de temps peut-on conserver des données personnelles ?
Publié le 01/09/2020 par Etienne Wery , Olivia Guerguinov
La durée de conservation est une des questions les plus épineuses. La CNIL vient de dévoiler un intéressant guide pratique pour aider les professionnels à déterminer les durées de conservation à appliquer aux données personnelles qu’ils collectent. Elle le complète de référentiels pratiques orientés vers le secteur de la santé et de la recherche, proposant des durées concrètes.
Les données personnelles (celles susceptibles de permettre d’identifier, directement ou indirectement, une personne physique) ne peuvent être conservées éternellement. Une durée de conservation doit être déterminée par le responsable de traitement en fonction de l’objectif pour lequel il a collecté ces données. Ce principe de limitation de conservation des données personnelles est prévu par le RGPD qui interdit de conserver les données personnelles pour une durée plus longue que celle qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (art. 5.1.e)).
Pour guider le responsable du traitement à déterminer cette durée de conservation « nécessaire », la CNIL a publié un guide pratique élaboré en partenariat avec le Service interministériel des archives de France (SIAF) qui répond aux questions les plus fréquentes : qu’est-ce que le principe de limitation de la durée de conservation ? Comment faire si les données sont traitées par un sous-traitant ? Sur quels documents s’appuyer pour définir la durée de conservation des données utilisées dans le traitement ? etc. ;
Il y archive et … archive
La CNIL distingue dans son guide, trois étapes du cycle de vie de la donnée personnelle :
- L’utilisation courante (« base active ») : c’est la durée nécessaire à la réalisation de l’objectif (finalité du traitement) qui a justifié la collecte des données.
- L’archivage intermédiaire : les données personnelles ne sont plus utilisées pour atteindre l’objectif fixé (dossiers clos) mais présentent encore un intérêt administratif pour l’organisme (par exemple : gestion d’un éventuel contentieux, etc.) ou doivent être conservées pour répondre à une obligation légale (par exemple : les données de facturation doivent être conservées dix ans en application du code de commerce, même si la personne concernée n’est plus cliente). Les données peuvent alors être consultées de manière ponctuelle et motivée par des personnes spécifiquement habilitées.
- L’archivage définitif : en raison de leur valeur et intérêt, certaines informations sont archivées sans limitation de durée. Pour la CNIL, cette phase concerne essentiellement les traitements mis en œuvre à des fins archivistiques dans l’intérêt public et concerne donc principalement le secteur public.
On peut ne pas être convaincu par la méthodologie proposée, qui fait fi des innombrables cas particuliers et crée une articulation très délicate (voire impossible) avec les traitements à des fins de recherche scientifique, statistique et historique dans le secteur privé, mais elle a le mérite d’exister.
La CNIL rappelle que par principe, les données doivent être effacées à l’issue de l’utilisation courante, qui correspond à la durée nécessaire à l’objectif du traitement.
Elle nuance cependant : cette règle n’implique pas de supprimer les données systématiquement et en toutes circonstances. En effet, une donnée personnelle obéit à un cycle de vie durant lequel une même donnée peut avoir plusieurs utilités successives. Cela signifie que, pour chacune de ces utilités, une durée différente peut s’appliquer. Prenons l’exemple d’un responsable du traitement qui fait de l’e-commerce. Lorsqu’il vend un produit sur internet, il a besoin de collecter le numéro de compte bancaire du client, ses coordonnées (pour lui livrer le produit), etc. : c’est l’utilisation courante. A-t-il besoin de conserver ces données une fois le produit livré ? Oui et non. Un éventuel contentieux avec ce client nécessite de conserver certaines données plus longtemps (par exemple jusqu’à ce que l’action en responsabilité contractuelle soit prescrite), pais peut-être pas toutes les données.
La CNIL précise que lorsque les données ne sont plus utiles pour atteindre l’objectif opérationnel fixé, on peut les archiver sous certaines conditions (voir le point 1.6 du guide « pour les archives publiques, que se passe-t-il à l’issue de la DUA ? »).
En dehors de cette hypothèse d’archivage définitif (peu courante car soumise à des conditions strictes), le responsable du traitement qui ne souhaite pas effacer les données peut les anonymiser (en rendant impossible pour quiconque la « ré-identification » des personnes concernées). Les données peuvent être anonymisées tant à l’issue de la phase d’utilisation courante qu’à l’issue de la phase d’archivage intermédiaire (si les données ne font pas l’objet d’un archivage définitif). C’est utile pour les responsables du traitement qui souhaitent réaliser des statistiques.
En pratique, quelle durée ?
La CNIL explique dans son guide que le RGPD ne définit pas la durée précise pendant laquelle les données personnelles doivent être conservées mais que d’autres textes permettent de définir une durée à appliquer aux données collectées :
Les dispositions légales ou réglementaires (par exemple, les législations applicables en matière de droit du travail, etc.) :
Certains textes imposent une durée minimale de conservation. Par exemple, les données relatives aux bulletins de paie des salariés doivent être conservées au moins 5 ans (cfr articles L. 3243-4 du code du travail pour en France et 25 de l’arrêté royal du 8 août 1980 relatif à la tenue des documents sociaux en Belgique), ou une durée maximale. Par exemple, la durée de conservation des images de vidéosurveillance est en principe limitée à un mois (cfr. les articles L. 252-3 du code la sécurité intérieure en France et 5, § 4, al. 5, 6, § 3, al. 3, 7, § 3, al. 3, et 7/3, § 4, al. 2 de la loi du 21 mars 2007 réglant l’installation et l’utilisation de caméras de surveillance en Belgique) ;
Les délibérations de la CNIL :
En même temps que son guide, la CNIL propose trois référentiels : durée de conservation dans le domaine de la santé hors recherche ; durée de conservation dans le domaine de la recherche en santé ; Référentiel relatif aux traitement de données personnelles pour les cabinets médicaux et paramédicaux. Ces référentiels présentent sous forme de tableaux les durées à appliquer pour chacune des étapes de la vie de la donnée pour les traitements les plus récurrents dans le secteur concerné.
Ils s’ajoutent aux référentiels déjà disponibles, par exemple sur la « gestion des vigilances sanitaires », ou celui sur les dispositifs d’alertes professionnelles;
Les références sectorielles:
On songe par exemple à un code de conduite.
la CNIL précise que si aucune de ces sources ne permet de fixer une durée, il appartient au responsable du traitement de données à caractère personnel, en application du principe général de responsabilité, de définir cette durée. Pour cela, il devra se fonder sur la finalité pour laquelle le traitement des données personnelles est mis en œuvre (càd. le but qu’il poursuit). Il convient donc d’identifier et évaluer ses besoins opérationnels. Sur la base de ces éléments, une durée à appliquer, ou, a minima, les critères pour la fixer (par exemple : le temps de la relation commerciale) seront ainsi définis.
En savoir plus ?
En lisant le guide pratique de la CNIL sur les durées de conservation disponible en annexe.