Politique de conservation des données : pas toujours simple de s'y retrouver !

La conformité au RGPD suppose la maîtrise des données personnelles que l'on détient. Cette maîtrise concerne aussi bien les catégories de données collectées, que les destinataires des données ou encore la durée de leur conservation.

En effet, si la définition de durées de conservation n'est pas une nouveauté, elle l'est désormais pour beaucoup d'organisations qui ne s'étaient jamais préoccupées de protection des données personnelles avant l'entrée en vigueur du RGPD et de son arsenal de sanctions...

Et définir des durées de conservation peut s'avérer particulièrement ardu...

En effet, de nombreuses actions sont à mener et de nombreux facteurs sont à prendre en compte pour concevoir une Politique de conservation des données.

Politique de conservation des données : pour quoi faire ?

Elle a pour principal objectif de satisfaire aux exigences de l'article 5 §1 e) du RGPD qui dispose que les données personnelles doivent être "conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées".

Dès lors, toute conservation illimitée de données personnelles est proscrite et constitue une violation de l'article 5 du RGPD.

Aussi, ne pas disposer d'une Politique de conservation des données, c'est prendre le risque de ne pas maîtriser la durée de conservation des données et, par suite, de se faire sanctionner par la CNIL...

Pour mémoire, l'article 83 §5 a) permet aux autorités de contrôle d'infliger des "amendes administratives pouvant s'élever jusqu'à 20 000 000 euros ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent".

L'actualité nous a apporté une parfaite illustration le 28 mai dernier, avec l'amende administrative de 400 000 euros infligée par la CNIL à la société SERGIC pour, entre autres, conservation illimitée des données [1].

Enfin, le fait de recourir à une telle Politique permet de disposer d’un document de référence, opposable à tous, et d’alimenter la documentation devant être tenue par le responsable de traitement au titre de l’Accountability.

Politique de conservation des données : quels prérequis ?

Avant de définir les durées de conservation des données, il est nécessaire de réaliser un certain nombre d'actions.

En effet, puisque la durée de conservation d'une donnée dépend de la finalité pour laquelle elle est traitée, il convient d'identifier l'ensemble des traitements mis en œuvre par le responsable de traitement ainsi que, pour chacun d'entre eux, les caractéristiques essentielles du traitement comme les finalités poursuivies, le fondement juridique, les différents types de personnes concernées et les catégories de données traitées (à l’occasion d’un audit).

De même, lorsque le traitement de données personnelles est sous-traité, il appartient également au responsable de traitement de s'interroger sur les durées de conservation effectivement pratiquées par son prestataire (via la consultation du contrat de sous-traitance de données personnelles lorsqu'il existe ou en se rapprochant du prestataire).

Politique de conservation des données : quels critères ?

Pour déterminer une durée de conservation non excessive au regard des finalités poursuivies par un traitement, il convient de s'interroger sur les besoins de conservation.

Ces besoins de conservation peuvent être de natures différentes.

En effet, il convient, tout d’abord, de déterminer si les données traitées par le responsable de traitement font l'objet d'une obligation légale de conservation des données. C'est, par exemple, le cas des données des bulletins de paie ou encore des factures qui doivent être conservées, respectivement, 5 et 10 ans. Dans une telle hypothèse, la conservation des données personnelles ne peut être inférieure à la durée légale.

Ensuite, il convient de s'interroger, traitement par traitement, sur la durée de conservation nécessaire pour permettre d'atteindre les objectifs du traitement. Par exemple, dans le cadre d'un recrutement, les données d'un candidat non retenu et dont le profil n'est pas susceptible d'être retenu dans le cadre d'un futur recrutement n'ont plus d'utilité et doivent donc être supprimées sans attendre.

De plus, lorsque le traitement de données personnelles est susceptible de concerner différents profils de personnes, il est nécessaire de déterminer si la durée de conservation des données est identique, ou non, en fonction du type de personne concernée. A titre d’exemple, les données relatives aux prospects dans le cadre d’un traitement de prospection commerciale ne devraient pas obéir aux même règles de conservation que celles relatives aux clients.

En ce qui concerne le besoin de conservation de données personnelles à titre de preuve : il ne s’agit pas d’un motif justifiant une plus longue conservation en base active des données. En effet, de telles données ne peuvent être conservées à cette fin uniquement en archivage intermédiaire, dans un environnement logique séparé avec politique d’habilitation restreinte.

Enfin, attention à ne pas commettre l'erreur de partir de la nature des données au lieu des finalités pour déterminer la durée de conservation ! En effet, une même donnée peut être conservée plus ou moins longtemps en fonction des finalités poursuivies (ex : le matricule d'un employé dans le cadre de la paie se conserve plus longtemps que dans le journal des logs/connexions).

Politique de conservation des données : quelle durée ?

La détermination d'une durée n'étant pas toujours possible, la fin de conservation des données peut également correspondre à la réalisation d'un événement.

En effet, si l'on prend le cas des données collectées dans le cadre de la gestion du personnel, il est impossible de déterminer une durée de conservation car la date à laquelle les données ne seront plus nécessaires n'est pas connue. Dans une telle hypothèse, c'est la survenance d'un événement qui détermine la fin de la conservation des données, en l'espèce, le départ du salarié.

Par ailleurs, il n’est pas inhabituel de prévoir un délai de gestion supplémentaire afin de prendre en compte des contraintes opérationnelles ou organisationnelles et à condition qu’il ne soit pas trop long…

Politique de conservation des données : quelle articulation avec le droit à l'oubli ?

Une fois les durées de conservation définies, celles-ci ne sont pas pour autant immuables. 

En effet, l'exercice du droit à l'oubli par les personnes concernées, peut venir perturber la durée de conservation initialement définie. 

Le droit à l'oubli (ou droit à l'effacement) consiste en le fait, pour la personne concernée, de demander au responsable de traitement l'effacement de ses données personnelles lorsque cette-dernière retire son consentement, lorsqu'elle exerce son droit d’opposition ou lorsque les données font l’objet d’un traitement illicite (non exhaustif).

Ainsi, dès lors que les critères d'applicabilité du droit à l'oubli sont réunis, le responsable de traitement n'a pas d'autre choix que de supprimer de manière anticipée les données.

Le délai dont dispose le responsable de traitement pour y donner suite étant très court (1 mois ou 3 mois pour les demandes complexes), il est indispensable que la Politique de conservation des données traite de ces questions en permettant de distinguer les données devant être supprimées de celles pouvant (ou devant, dans le cadre d'une obligation légale de conservation) être conservées.

La constitution d'une Politique de conservation des données est, par conséquent, un outil indispensable pour toute structure souhaitant se conformer au RGPD. Si sa conception est susceptible de constituer un investissement important, elle vous permettra d'en gagner beaucoup par la suite et de retrouver la maîtrise de vos données !

[1] https://www.cnil.fr/fr/sergic-sanction-de-400-000eu-pour-atteinte-la-securite-des-donnees-et-non-respect-des-durees-de