Dans le cadre du RGPD (Règlement général sur la protection des données), les professionnels ont l’obligation de respecter le principe de limitation de durée : il oblige à définir une durée de conservation des données personnelles afin que celles-ci soient supprimées à l’issue d’une certaine période. Découvrez comment fixer cette durée, notamment en fonction de la finalité du traitement.
Quel est le cycle de vie des données personnelles ?
Les informations personnelles ne peuvent pas être conservées de manière indéfinie. Une durée de conservation doit être fixée, de manière cohérente par rapport à l'objectif de traitement de ces informations.
Pour définir la durée de conservation d'une donnée, il faut tout d'abord comprendre le cycle de vie d'une information personnelle. Celui-ci compte trois phases successives.
- Usage courant : durant cette période, la donnée est utilisée par les services en charge du traitement. L'information est donc accessible à toutes les personnes habilitées.
- Archivage intermédiaire : à partir de cette phase, les informations ne sont plus utilisées pour atteindre l'objectif initialement fixé. Malgré tout, elles présentent toujours un intérêt pour l'entreprise ou doivent être conservées en raison d'une obligation légale. La consultation de cette donnée peut être réalisée de façon ponctuelle, uniquement par des personnes spécifiquement habilitées.
- Archivage définitif : cette période s'applique lorsque les informations personnelles sont archivées de manière indéfinie. Cela ne concerne toutefois que certains secteurs d'activité, tel que le secteur public par exemple.
Bon à savoir : les deux dernières étapes ne sont pas systématiques. À l'issue de l'usage courant, les données doivent en principe être effacées.
Comment fixer la durée de conservation des données ?
La durée de conservation est parfois fixée par la réglementation. Dans les autres situations, un travail d’analyse est nécessaire. Cette réflexion peut d’ailleurs s’appuyer sur différentes ressources et recommandations.
Une obligation d’analyse
C'est au responsable du traitement de déterminer la durée de conservation des données : le plus souvent, il doit donc analyser l'usage qui est fait des informations personnelles. La durée de conservation sera alors déterminée en fonction de la finalité du traitement, à l'issue de cette phase d'analyse.
Dans certains cas, la durée de conservation est fixée réglementairement : le responsable du traitement doit donc obligatoirement respecter la période requise. À l'issue de celle-ci, les données concernées devront être archivées ou supprimées. À titre d'exemple, la copie d'un bulletin de paie doit impérativement être conservée par l'employeur durant 5 ans.
Les documents sur lesquels appuyer sa réflexion
L’entreprise a le devoir de s’appuyer sur un ensemble de documents et outils pour déterminer la durée de conservation des données. Une raison l’explique : le RGPD ne précise pas de durée spécifique pour chaque type de donnée.
- Le corpus réglementaire : Code de la santé publique, Code du travail, Code de la sécurité intérieure... autant de dispositions légales et réglementaires qui peuvent encadrer la durée de conservation pour certaines informations. Ces textes peuvent d'ailleurs fixer une durée minimale ou une durée maximale de conservation. Charge à l'entreprise de les respecter.
- Les délibérations de la Cnil : la Cnil (Commission nationale de l'informatique et des libertés) a édité un ensemble de documents visant à aider les professionnels à fixer la durée de conservation. Les responsables du traitement peuvent notamment s'appuyer sur des référentiels sectoriels ou encore des cadres de référence.
- Les archives publiques : vous pouvez également vous référer aux préconisations réalisées par les Archives de France, mais également sur les tableaux de gestion des archives.
- Les référentiels : il existe enfin des référentiels, notamment sectoriels, qui permettent de simplifier la fixation d'une durée pertinente. Ils sont présentés sous la forme de tableaux et indiquent les durées de conservation recommandées ou obligatoires pour les traitements les plus courants. Les référentiels actuellement édités portent notamment sur les domaines de la santé et de la recherche en santé.
Si ces documents ne permettent pas de fixer une durée de conservation, c'est au responsable du traitement de la déterminer en fonction de la finalité du traitement de la donnée. Ce choix doit pouvoir être justifié au regard du but poursuivi à travers la collecte.
Les accompagnements possibles
Dans le cadre de votre activité, plusieurs acteurs sont en mesure d'accompagner votre entreprise et votre responsable de traitement dans la définition d'une durée de conservation appropriée. Vous pouvez notamment faire appel :
- au Délégué à la protection des données (DPO) éventuellement nommé au sein de votre société ;
- un conseil interne ou externe (direction juridique, juriste, avocat, consultant, etc.) ;
- votre fédération professionnelle.
Comment informer les individus de la durée de conservation de leurs données ?
Dans le cadre de leur droit à l'information, les individus doivent être informés de la durée de conservation de leurs données personnelles. Cela impose notamment de leur indiquer les différentes phases de conservation de leurs informations (usage courant, archivage intermédiaire, etc.).
Dans certaines situations, il n'est pas possible de communiquer une durée de conservation chiffrée. Il faut malgré tout informer les individus des modalités de calcul de cette durée. À titre d'exemple, vous pouvez indiquer à vos salariés que leurs informations personnelles utiles à la gestion administrative du personnel sont conservées durant toute la durée de la relation de travail.
Quelles sanctions en cas de non-respect de la limitation de conservation ?
Comme le dispose l'Article 83.5 du Règlement général sur la protection des données, une amende administrative est prévue en cas de non-respect du principe de limitation de la conservation des données. Son montant est compris au maximum entre 2 et 4 % du chiffre d'affaires annuels mondial de l'entreprise, réalisé lors de l'exercice précédent, dans la limite de 20 millions d'euros.
Des manquements peuvent être constatés à l'issue d'une mission de contrôle de la Cnil, mais également à la suite d'un signalement ou d'un dépôt de plainte. Quel que soit son motif, le contrôle portera notamment sur les durées de conservation des données et sur les processus en vigueur pour les définir. Le plus souvent, les sanctions sont prononcées car :
- l'entreprise n'a pas défini de durée de conservation des données ;
- les durées de conservation sont excessives ;
- les informations sont supprimées manuellement sans périodicité définie.
Comment déterminer concrètement une durée de conservation ?
Pour une application concrète de l’ensemble de ces principes, la Cnil a édité un tableau synthétique rassemblant tous les points sur lesquels il est nécessaire de s'interroger lors de la fixation de la durée de conservation applicable à une donnée personnelle. Cette analyse a minima peut être complétée par d'autres démarches, notamment selon les spécificités de l'entreprise, des informations personnelles ou du traitement réalisé par exemple.
1. Le contexte de traitement
Pour mieux appréhender la nature de la collecte et du traitement des données, vous devez vous poser plusieurs questions contextuelles :
- Quelle est la nature du traitement réalisé ?
- Quelle est la finalité de ce traitement ?
- Quelles ressources peuvent être utiles pour déterminer la durée (donnée sensible, réglementation applicable, etc.) ?
2. L'utilisation courante des informations
Ensuite, il est nécessaire d'identifier l'existence ou non d'un texte législatif ou réglementaire imposant une durée type pour le traitement concerné. On distingue donc deux cas de figure.
- Existence d'une réglementation : vous devez vous intéresser au périmètre de cette obligation, aux données concernées et aux durées recommandées et obligatoires de conservation en base active.
- Absence de réglementation : vous devez identifier d'éventuelles préconisations de la Cnil ou des recommandations sectorielles pour le traitement opéré. En leur absence, intéressez-vous à la finalité du traitement pour identifier une durée de conservation adéquate.
3. L'archivage intermédiaire
À l'issue de la phase d'utilisation courante, vous devez identifier les réglementations et préconisations encadrant l'archivage des données. Cela doit notamment vous permettre d'identifier :
- les données concernées par l'éventuelle obligation d'archivage ;
- la durée de conservation recommandée ou obligatoire des archives ;
- l'éventuel intérêt administratif ou juridique pouvant conduire à l'archivage des données (et non à leur suppression) ;
- les membres de l'entreprise spécifiquement habilités à consulter les données archivées.