RGPD : Combien de temps peut-on conserver les données ?
La limitation de la durée de conservation des données constitue l’un des grands principes prônés par le RGPD. Le nouveau règlement considère cette limitation temporelle comme un principe fondamental dans la protection des données. Si l’on résume, ce principe peut être scindé en 2 points : les données doivent être conservées sous un format permettant d’identifier la personne concernée, de plus, les données ne peuvent être conservées que le temps de réalisation de la finalité du traitement. Bien évidemment, dans la pratique, la mise en application de ce principe connaît de nombreuses subtilités.
Description du principe de limitation de la durée de conservation
Le principe de la limitation de la durée de conservation est un principe simple : « la durée de conservation des données doit être limitée au strict minimum ». Corolaire, une fois que la finalité du traitement pour lequel les données ont été collectées a été réalisée, la conservation des données n’a plus lieu d’être.
Il faut néanmoins noter qu’il existe de nombreux cas où cette durée est fixée par une loi, un règlement ou par une recommandation de la CNIL. Ce n’est qu’en cas d’imprécision que la durée de conservation des données sera déterminée suivant la situation de fait (le temps de la réalisation de la relation commerciale, le temps de l’opération). Ainsi, avant de fixer des délais de conservation, tout responsable devrait vérifier si des dispositions légales ou règlementaires précisent les délais qu’ils doivent respecter pour le type de traitement réalisé.
Quand supprimer les données ?
Le principe est qu’une fois la finalité du traitement réalisée, le responsable du traitement doit supprimer les données. Il doit également supprimer certaines des données qu’il traite suite à une demande en règle de l’exercice du droit à l’effacement.
Le principe de la limitation de la durée de conservation des données connaît néanmoins de nombreuses exceptions.
Les atténuations au principe de la limitation de la conservation des données
La loi prévoit qu’il est possible, voire obligatoire, pour le responsable du traitement de ne pas procéder à la suppression des données dans des situations particulières :
- Le traitement est justifié par l’intérêt public, scientifique, historique ou statistique à des fins archivistiques ;
- Le traitement a reçu le consentement de la personne concernée ;
- Il existe une obligation légale qui contraint le responsable du traitement à prolonger la durée de conservation des données (durée de prescription légale qui impose l’archivage intermédiaire des données) ;
Outre ces exceptions légales, la CNIL précise dans ses délibérations qu’il est possible de conserver les données au-delà de la durée légale dans certaines circonstances et si des garanties appropriées sont mises en place. Ainsi, la CNIL distingue 3 niveaux d’archivage :
- L’archivage en base active : la durée de conservation des données correspond à la durée nécessaire à la réalisation de la finalité du traitement ;
- L’archivage intermédiaire : les données peuvent être conservées au-delà de la durée nécessaire pour la réalisation si la loi prévoit une durée de conservation plus longue, si les données présentent un intérêt administratif (utilité en cas de contentieux, prescription…) et si le traitement présente un intérêt public, historique, scientifique ou statistique ;
- L’archivage définitif : en raison de leur nature, certaines données ne peuvent faire l’objet d’une destruction. Pour entrer dans un processus d’archivage définitif, les données doivent présenter un intérêt public, statistique, historique ou scientifique important. Les données faisant l’objet d’un archivage définitif sont généralement gérées par les services des archives territorialement compétentes et relèvent du Code du patrimoine ;
L’anonymisation : une autre option à la suppression des données
Une fois que la durée de conservation est passée ou lorsque l’intérêt administratif n’a plus lieu d’être, les données doivent être supprimées ou faire l’objet d’une anonymisation. Le RGPD définit les données anonymes comme :
- Toutes données ne concernant pas une personne physique identifiée ou identifiable ;
- Toutes données personnelles ayant fait l’objet d’une opération d’anonymisation ;
Attention, la procédure d’anonymisation doit être efficace. L’efficacité est mesurée par plusieurs critères :
- L’utilisation des moyens permettant d’identifier la personne concernée ;
- Les coûts de l’identification et le temps nécessaire à celle-ci, tout en prenant en considération les technologies disponibles au moment du traitement ;
- L’individualisation : la possibilité d’isoler une partie ou la totalité des informations sur une personne dans un amas de données ;
- La corrélation : la possibilité de mettre en lien au moins 2 informations se rapportant à une personne ou à un même groupe ;
- L’inférence : la possibilité de déduire des données identifiantes grâce à la mise en relation de plusieurs données anonymisées ;