L’essentiel : La CNIL a publié un guide sur la durée de conservation des données personnelles, en collaboration avec le SIAF. Ce guide précise que les données ne peuvent être conservées indéfiniment et doivent être limitées en fonction de l’objectif de leur collecte, conformément au RGPD. Le cycle de vie des données personnelles comprend trois phases : la conservation en base active, l’archivage intermédiaire et l’archivage définitif. La durée de conservation doit être déterminée par le responsable de traitement, qui doit également évaluer la nécessité de chaque phase pour chaque traitement, en tenant compte des obligations légales.

La CNIL a publié son guide sur la durée de conservation des données personnelles.  Élaboré en partenariat avec le service interministériel des archives de France (SIAF), ce guide pratique explicite comment  articuler les obligations du RGPD et celles imposées par le Code du patrimoine.

Limiter la conservation des données personnelles

Les données personnelles ne peuvent être conservées indéfiniment : une durée de conservation doit être déterminée par le responsable de traitement en fonction de l’objectif ayant conduit à la collecte de ces données. Ce principe de conservation limitée des données personnelles est prévu par le RGPD et la loi Informatique et Libertés.

Pour un même traitement, les données personnelles poursuivent des phases successives. On parle de « cycle de vie » de la donnée personnelle. Ce cycle connaît trois phases :

Conservation en base active: il s’agit de la durée nécessaire à la réalisation de l’objectif (finalité du traitement) ayant justifié la collecte/enregistrement des données. Par exemple, dans une entreprise, les données d’un candidat non retenu seront conservées pendant 2 ans maximum (sauf s’il en demande l’effacement) par le service des ressources humaines. En pratique, les données seront alors facilement accessibles dans l’environnement de travail immédiat pour les services opérationnels qui sont en charge de ce traitement (ex : le service des ressources humaines pour les opérations de recrutement) ;

Archivage intermédiaire: les données personnelles ne sont plus utilisées pour atteindre l’objectif fixé (« dossiers clos ») mais présentent encore un intérêt administratif pour l’organisme (ex : gestion d’un éventuel contentieux, etc.) ou doivent être conservées pour répondre à une obligation légale (par exemple, les données de facturation doivent être conservées dix ans en application du Code de commerce, même si la personne concernée n’est plus cliente). Les données peuvent alors être consultées de manière ponctuelle et motivée par des personnes spécifiquement habilitées ;

Archivage définitif: en raison de leur « valeur » et intérêt, certaines informations sont archivées de manière définitive et pérenne.

À la différence de la conservation en base active, les deux dernières étapes ne sont pas systématiquement mises en place. Leur nécessité doit être évaluée pour chaque traitement, et, pour chacune de ces phases, un tri sera opéré entre les données.

Identification de la durée de conservation des traitements

La définition de la durée de conservation relève de l’analyse de conformité que le responsable doit mener pour son traitement. Dans certains cas, la durée de conservation est fixée par la règlementation (par exemple, l’article L3243-4 du Code du travail impose à l’employeur de conserver un double du bulletin de paie du salarié pendant 5 ans). Toutefois, pour de nombreux traitements de données, la durée de conservation n’est pas fixée par un texte. Il appartient alors au responsable du fichier de la déterminer en fonction de la finalité du traitement.

Q/R juridiques soulevées :

Pourquoi est-il important de limiter la conservation des données personnelles ?

La limitation de la conservation des données personnelles est essentielle pour plusieurs raisons. Tout d’abord, cela respecte les principes fondamentaux du RGPD (Règlement Général sur la Protection des Données) et de la loi Informatique et Libertés, qui stipulent que les données ne doivent pas être conservées indéfiniment.

En limitant la durée de conservation, les organisations réduisent également le risque de violation de données. Plus les données sont conservées longtemps, plus elles sont susceptibles d’être exposées à des cyberattaques ou à des accès non autorisés.

De plus, cela permet de garantir que les données restent pertinentes et à jour. En effet, des données obsolètes peuvent mener à des décisions erronées, tant pour les entreprises que pour les individus concernés.

Quelles sont les phases du cycle de vie des données personnelles ?

Le cycle de vie des données personnelles se compose de trois phases distinctes : la conservation en base active, l’archivage intermédiaire et l’archivage définitif.

La première phase, la conservation en base active, concerne la durée nécessaire pour atteindre l’objectif de traitement. Par exemple, les données d’un candidat non retenu peuvent être conservées pendant deux ans maximum par le service des ressources humaines.

Ensuite, l’archivage intermédiaire intervient lorsque les données ne sont plus utilisées pour l’objectif initial, mais qu’elles conservent un intérêt administratif. Par exemple, les données de facturation doivent être conservées pendant dix ans, même si la personne n’est plus cliente.

Enfin, l’archivage définitif concerne les données qui, en raison de leur valeur, sont conservées de manière pérenne. Cette phase n’est pas systématique et doit être évaluée au cas par cas.

Comment déterminer la durée de conservation des données ?

La détermination de la durée de conservation des données repose sur une analyse de conformité que le responsable de traitement doit effectuer. Dans certains cas, la réglementation fixe explicitement cette durée. Par exemple, l’article L3243-4 du Code du travail impose la conservation des bulletins de paie pendant cinq ans.

Cependant, pour de nombreux traitements, aucune durée de conservation n’est spécifiée par la loi. Dans ces situations, il incombe au responsable de déterminer la durée appropriée en fonction de la finalité du traitement.

Cette évaluation doit prendre en compte divers facteurs, tels que les obligations légales, les besoins administratifs et les droits des personnes concernées. Une bonne pratique consiste à documenter cette analyse pour assurer la transparence et la conformité.