STOCKAGE DES DONNÉES PERSONNELLES, QUELLE DURÉE DE CONSERVATION ?

Applicable depuis le 25 mai 2018, le Règlement Général sur la Protection des Données Personnelles (RGPD) a pour vocation d’encadrer le traitement des données personnelles par l’ensemble des professionnels.

Dense et complexe, cette règlementation soulève de nombreuses interrogations. Aujourd’hui nous répondons à la question de la durée de conversation des données !

-

Les droits offerts par le RGPD aux personnes dont les données sont collectées conditionnent les modalités d’archivage de celles-ci, tant du point de vue de sa forme que de sa durée.

En bref La question de la conservation des données personnelles collectées nécessite donc de se poser une double question :

• • • pendant combien de temps dois-je/puis-je conserver les données collectées ?
    • quelles sont les obligations qui m’incombent dans ce cadre ?

ARCHIVAGE DES DONNÉES : COMBIEN DE TEMPS ?

L’archivage des données collectées peut revêtir 3 formes distinctes :

3 formes d’archivage… au choix ?

Toute collecte de données ne donne pas forcément lieu à la mise en place cumulative de ces 3 phases d’archivage : tout va en effet dépendre de la nécessité, pour chacune d’entre elle, d’être mise en œuvre au regard du type d’information enregistrée et de la finalité du fichier de collecte.

Le rôle du responsable du traitement

C’est à la personne responsable du traitement des données de déterminer la durée pendant laquelle celles-ci vont être conservées. Il doit également impérativement en informer les personnes concernées.

Des outils à disposition

Pour aider les entreprises et les organismes à déterminer la durée pendant laquelle elles/ils sont tenu(e)s de conserver les données qu’elles/ils ont collectées, la CNIL a mis en place plusieurs outils disponibles en ligne sur son site (https://www.cnil.fr/professionnel), parmi lesquels :

• • • un guide pratique à destination des entreprises ;
    • un référentiel des durées de conservation des données (qui peuvent être impératives ou fortement recommandées).

ARCHIVAGE DES DONNÉES : COMMENT ?

La conservation des données collectées par toute personne responsable du traitement doit impérativement présenter certaines garanties :

• • • les données doivent demeurer accessibles et lisibles, notamment afin que les personnes auxquelles elles sont afférentes puissent demander leur modification ou leur effacement ;
    • l’intégrité et la confidentialité des données collectées doivent être préservées, ce qui nécessite de pouvoir gérer et maîtriser les pannes ou défaillances du système qui les stocke (que celles-ci soient matérielles, dues aux erreurs humaines ou à d’éventuelles cyberattaques).

Attention à l’obligation de documentation !

La conservation des données doit impérativement faire l’objet d’une documentation précise, destinée à regrouper l’ensemble des éléments qui y sont afférents (documents écrits formalisant les démarches effectuées en interne, textes et fondements utilisés pour déterminer la durée de traitement, procédures à suivre pour l’archivage des données, etc.).

Bref…

Archiver les données collectées est une décision lourde d’enjeux qui nécessite la maîtrise de l’ensemble des paramètres évoqués pour être conforme à la règlementation.

Sources :  

• - Règlement général sur la protection des données (RGPD)
• - Guide pratique : Les durées de conservation (cnil.fr)
• - Arrêt de la CJUE du 16 juillet 2020 affaire 311/18, Data Protection Commissioner c/ Facebook Ireland Ltd 621