Published on 17 juin 2022 (Updated 28 février 2024)
Les données personnelles ne doivent pas être conservées plus longtemps que nécessaire à la finalité pour laquelle elles ont été collectées par l’entreprise, dans le cadre du RGPD.
Définitions et explications.
Une fois cet objectif atteint, vous devez supprimer ces données personnelles, ou les archiver en les anonymisant.
Ce processus d’archivage ou de suppression est nouveau, et nombreuses sont les personnes non informées. Elle nécessite de se doter d’une « politique de conservation des données », qui devra être communiquée à la CNIL en cas de contrôle.
Il faudra aussi pouvoir démontrer la suppression effective des données conformément à cette politique, une fois la période d’archivage autorisée expirée.
L’entreprise devra alors déterminer une durée de conservation pour les données collectées. Parfois un texte de loi impose une durée précise. Lorsque ce n’est pas le cas, la durée dépend de la nature des données et des objectifs poursuivis.
Les différents types de données.
1 – Les données sensibles
Comme définit dans l’article 9 du RGPD, ces données correspondent aux traitements des données à caractère personnel qui révèle l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique. De plus, les données concernant la santé, la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdites.
2 – Les données non sensibles
Les données non sensibles représentent toutes les autres données qui peuvent être collectées, comme par exemple le nom, le prénom, la date de naissance, le sexe, etc.
Combien de temps conserver les données personnelles.
1 – Le principe de limitation de la durée de conservation
Il s’agit d’un principe général énoncé à l’article 5 du RGPD qui impose à chaque responsable de traitement de déterminer une durée de conservation des données personnelles cohérente et justifiée au regard de l’objectif de leur traitement. Un organisme ne peut donc conserver des données personnelles de manière illimitée, sauf dans certains cas spécifiques et limités à ce qui est strictement nécessaire.
2 – Les différentes phases du cycle de vie d’une donnée
Le cycle de vie d’une donnée peut se décomposer en trois phases successives :
- L’utilisation courante « base active » : il s’agit des données personnelles collectées par les services chargés de la mise en œuvre de leur traitement. Les données sont accessibles, dans l’environnement de travail immédiat, par tous ceux qui sont en charge du traitement des affaires courantes.
- L’archivage intermédiaire : les données personnelles ne sont plus utilisées pour atteindre l’objectif fixé mais présentent encore un intérêt administratif pour l’organisme ou doivent être conservées pour répondre à une obligation légale. Les données peuvent alors être consultées de manière ponctuelle et motivée par des personnes spécifiquement habilitées.
- L’archivage définitif : ce sont les données qui sont archivées sans limitation de durée. Cette phase concerne uniquement les traitements mis en œuvre à des fins archivistiques dans l’intérêt public. Cette dernière phase concerne essentiellement le secteur public soumis aux dispositions du livre II du code du patrimoine.
3 – Quelques exemples
DURÉE FIXE
- 1 mois : Durée de conservation des images de vidéosurveillance ;
- 5 ans : Durée de conservation d’un double des bulletins de paie à compter de leur remise au salarié ;
- 10 ans : Durée de conservation des données contenues dans un dossier médical à compter de la consolidation du dommage.
DURÉE LIÉE À L’OBJECTIF À ATTEINDRE
- jusqu’à la liquidation des droits à la retraite : durée de conservation de certaines données figurant dans les fichiers de gestion du personnel d’une entreprise ;
- jusqu’à la fin d’une relation commerciale (c’est-à-dire par exemple à compter d’un achat, de la date d’expiration d’une garantie, du terme d’un contrat de prestations de services, du dernier contact émanant du client) ;
- jusqu’au terme des délais légaux afin d’établir la preuve d’un droit ou d’un contrat ; ou conservées au titre du respect d’une obligation légale pouvant être archivées conformément aux dispositions en vigueur (notamment celles prévues par le code de commerce, le code civil et le code de la consommation).
Et ensuite ?
À la fin du délai de conservation défini pour atteindre la finalité souhaitée, appelé « base active », les données personnelles devront être supprimées, anonymisées ou archivées.
Un archivage temporaire peut être nécessaire pour répondre à une obligation de garantie ou à un recours juridique, par exemple. On peut qualifier ce temps comme une « phase d’archivage intermédiaire des données ». De plus, ces données doivent par ailleurs être séparées des données de la base active.
Certains types de données ne doivent jamais être supprimées, notamment si elles présentent un intérêt public, historique, scientifique ou encore statistique, comme par exemple les données d’état civil. Elles font donc l’objet d’un « archivage définitif » qui est strictement encadré par la loi.
Voilà ! Vous savez tout sur la conservation des données.