Comprendre et appliquer les règles du RGPD pour la conservation des données personnelles

Selon l'article 5, paragraphe 1, point e) du RGPD, les données à caractère personnel doivent être "conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées". En d'autres termes, les responsables de traitement sont tenus de définir et de respecter des délais de conservation proportionnés aux objectifs poursuivis par le traitement des données.

Ce principe vise à prévenir la conservation excessive ou injustifiée des informations personnelles, qui pourrait porter atteinte aux droits et libertés des individus concernés. Il s'agit d'un garde-fou essentiel contre les abus potentiels et les risques liés à la conservation prolongée de données sensibles.

Bien que le RGPD établisse le principe de limitation de la durée de conservation, il n'impose pas de délais précis ou uniformes. Au contraire, il incombe aux responsables de traitement d'évaluer et de déterminer les durées de conservation adéquates en fonction des circonstances spécifiques de chaque traitement.

Cette tâche nécessite une analyse approfondie des finalités poursuivies, des obligations légales applicables, des risques potentiels et des intérêts légitimes en jeu. Les responsables de traitement doivent prendre en compte divers facteurs, tels que la nature des données, leur sensibilité, les besoins opérationnels, les exigences réglementaires et les éventuelles contestations ou litiges.

Pour faciliter la détermination des durées de conservation appropriées, il est utile de considérer le cycle de vie des données personnelles. Ce cycle comprend généralement trois phases distinctes :

Conservation en Base Active

Cette phase correspond à la durée nécessaire à la réalisation de l'objectif initial ayant justifié la collecte des données. Par exemple, dans le cadre d'un processus de recrutement, les données des candidats non retenus peuvent être conservées pendant une période limitée, généralement de deux ans, pour répondre à d'éventuelles contestations ou pour permettre une nouvelle candidature ultérieure.

Pendant cette phase, les données sont facilement accessibles aux services opérationnels chargés de leur traitement.

Archivage Intermédiaire

Une fois que les données ne sont plus nécessaires pour atteindre l'objectif initial, elles peuvent être conservées pour une période supplémentaire en raison d'intérêts administratifs ou d'obligations légales. C'est le cas, par exemple, des données de facturation qui doivent être conservées pendant dix ans conformément au Code de commerce, même si le client concerné n'est plus actif.

Lors de cette phase, l'accès aux données est limité à un nombre restreint de personnes spécifiquement habilitées, et leur consultation ne se fait que de manière ponctuelle et motivée.

Archivage Définitif

Certaines données peuvent présenter une valeur historique, scientifique ou statistique justifiant leur conservation à long terme ou permanente. Toutefois, cette conservation prolongée n'est autorisée que si des mesures techniques et organisationnelles appropriées sont mises en place pour garantir les droits et libertés des personnes concernées, notamment par l'anonymisation des données.

Consciente des défis que représente la définition des durées de conservation adéquates, la Commission Nationale de l'Informatique et des Libertés (CNIL) a développé des outils et des ressources pour accompagner les professionnels dans cette tâche.

Guide Pratique sur les Durées de Conservation

La CNIL a élaboré un guide pratique qui répond aux questions fréquemment posées par les professionnels concernant le principe de limitation de la conservation des données et sa mise en œuvre concrète. Ce guide présente également un outil appelé "référentiel durées de conservation", qui fournit des recommandations sectorielles sur les durées de conservation appropriées pour différents types de traitements.

Référentiels Sectoriels des Durées de Conservation

Les référentiels sectoriels proposés par la CNIL constituent une base de travail précieuse pour les responsables de traitement. Sous forme de tableaux, ces référentiels présentent, pour les traitements les plus courants dans un secteur donné, les durées recommandées pour chaque phase du cycle de vie des données (base active, archivage intermédiaire, archivage définitif).

Il est important de noter que ces durées sont fournies à titre indicatif et constituent un point de repère. Les responsables de traitement peuvent s'en écarter s'ils le jugent nécessaire, à condition de documenter et de justifier leur choix.

Les premiers référentiels adoptés concernent les domaines suivants :

• Santé (hors recherche)
• Recherche en santé
• Secteur social et médico-social

Afin de garantir le respect du principe de limitation de la durée de conservation, les responsables de traitement sont encouragés à suivre les bonnes pratiques suivantes :

• Documenter le processus de détermination des durées : Consigner par écrit les analyses et les justifications ayant conduit au choix des durées de conservation pour chaque traitement.
• Impliquer les parties prenantes concernées : Collaborer avec les services juridiques, opérationnels et techniques pour prendre en compte les différentes perspectives et contraintes.
• Examiner régulièrement les durées en vigueur : Procéder à des révisions périodiques des durées de conservation pour s'assurer de leur pertinence et de leur adéquation avec les évolutions réglementaires ou opérationnelles.
• Sensibiliser et former les équipes concernées : Assurer une formation adéquate des employés impliqués dans le traitement des données afin qu'ils comprennent et respectent les durées de conservation définies.
• Mettre en place des procédures de suppression et d'archivage : Établir des processus clairs pour la suppression ou l'archivage des données à l'issue des délais de conservation définis.

Le non-respect des durées de conservation appropriées peut exposer les responsables de traitement à des sanctions de la part des autorités de contrôle, telles que la CNIL en France. Ces sanctions peuvent prendre la forme d'amendes administratives substantielles, pouvant aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial, selon le montant le plus élevé.

Au-delà des sanctions financières, le non-respect des durées de conservation peut également nuire à la réputation et à l'image de l'entreprise, ainsi qu'à la confiance des clients et des partenaires. Il est donc essentiel de prendre cette obligation au sérieux et de mettre en place les mesures nécessaires pour assurer une gestion responsable des données personnelles.

Dans le cadre de la mise en œuvre des exigences du RGPD, y compris la limitation de la durée de conservation des données, le rôle du Délégué à la Protection des Données (DPO) est crucial. Le DPO est chargé de conseiller et de contrôler la conformité de l'organisme en matière de protection des données.

Pour les entreprises qui ne disposent pas de ressources internes suffisantes ou d'expertise spécialisée, il peut être judicieux de faire appel à un DPO externe. Ces professionnels indépendants, comme CODPO offrent une perspective objective et une expertise approfondie dans la mise en œuvre du RGPD, y compris pour la définition et le suivi des durées de conservation.

Voici quelques avantages clés de l'externalisation du rôle de DPO :

• Expertise spécialisée : Les DPO externes sont des experts formés et expérimentés dans la protection des données, offrant une expertise pointue et à jour sur les évolutions réglementaires.
• Objectivité et indépendance : En tant que tiers indépendants, les DPO externes peuvent fournir des conseils impartiaux et objectifs, sans conflits d'intérêts potentiels.
• Flexibilité et disponibilité : Les DPO externes peuvent s'adapter aux besoins spécifiques de l'entreprise et offrir une disponibilité accrue, sans les contraintes liées à la gestion d'un employé interne.
• Partage des meilleures pratiques : Grâce à leur expérience auprès de multiples clients, les DPO externes peuvent partager les meilleures pratiques et les leçons apprises dans différents secteurs.

Qu'il soit interne ou externe, le DPO joue un rôle essentiel dans la mise en place d'une stratégie de conservation des données conforme au RGPD, en guidant et en contrôlant les processus et les durées de conservation définis par l'organisme.

Pour illustrer la mise en pratique des principes de limitation de la durée de conservation, voici quelques exemples de bonnes pratiques adoptées par des organisations soucieuses de se conformer au RGPD :

• Entreprise de services en ligne : Cette entreprise a mis en place un système de suppression automatique des données de compte inactif après une période de 24 mois d'inactivité. Cette mesure permet de garantir que les données ne sont pas conservées indéfiniment lorsqu'elles ne sont plus nécessaires.

• Cabinet médical : Conformément aux recommandations du référentiel de la CNIL pour le secteur de la santé, ce cabinet médical a défini des durées de conservation distinctes pour les différents types de dossiers médicaux. Par exemple, les dossiers des patients mineurs sont conservés jusqu'à leur majorité plus 10 ans, tandis que les dossiers des patients adultes sont conservés pendant 20 ans après le dernier suivi.

• Agence de recrutement : Cette agence a mis en place une procédure de suppression des données des candidats non retenus après une période de 24 mois suivant le processus de recrutement. Cependant, si un candidat consent expressément à la conservation prolongée de ses données pour de futures opportunités, celles-ci peuvent être conservées pour une durée supplémentaire de 36 mois.

• Organisme de recherche : Conformément aux exigences du référentiel de la CNIL pour la recherche en santé, cet organisme a défini des durées de conservation différenciées pour les différentes phases de la recherche. Les données sont d'abord conservées en base active pendant la durée de l'étude, puis archivées pour une période supplémentaire de 10 ans après la fin de l'étude pour permettre la vérification et la réutilisation des données.

Ces exemples illustrent la diversité des approches possibles pour mettre en œuvre le principe de limitation de la durée de conservation, en fonction des spécificités de chaque secteur et des besoins opérationnels de chaque organisation.

Le principe de limitation de la durée de conservation des données personnelles, tel que défini par le RGPD, constitue un pilier essentiel de la protection des droits et libertés individuelles. En imposant aux responsables de traitement de définir et de respecter des délais de conservation proportionnés, ce principe vise à prévenir la conservation excessive ou injustifiée des données, qui pourrait porter atteinte à la vie privée des individus.

Bien que le RGPD n'impose pas de durées de conservation uniformes, il incombe aux responsables de traitement d'évaluer et de déterminer les délais appropriés en fonction des circonstances spécifiques de chaque traitement. Cette tâche nécessite une analyse approfondie des finalités, des obligations légales, des risques potentiels et des intérêts légitimes en jeu.

Pour faciliter cette démarche, la CNIL a développé des outils et des ressources précieux, tels que le guide pratique sur les durées de conservation et les référentiels sectoriels. Ces ressources fournissent des recommandations et des points de repère utiles, tout en laissant une marge de manœuvre aux responsables de traitement pour s'adapter aux spécificités de leur contexte.

Au-delà du respect des exigences réglementaires, la mise en œuvre de la limitation de la durée de conservation contribue à renforcer la confiance des clients, des partenaires et du public envers les pratiques de l'entreprise en matière de protection des données. C'est un gage de transparence, de responsabilité et de respect des droits fondamentaux.

Enfin, il est essentiel de souligner le rôle crucial du Délégué à la Protection des Données (DPO), qu'il soit interne ou externe, dans la mise en place d'une stratégie de conservation des données conforme au RGPD. Le DPO apporte son expertise, son objectivité et son accompagnement tout au long du processus, depuis la définition des durées jusqu'au suivi de leur application effective.

En adoptant une approche proactive et en mettant en place les bonnes pratiques en matière de limitation de la durée de conservation, les entreprises démontrent leur engagement envers la protection des données personnelles et contribuent à bâtir un environnement numérique plus sûr et plus respectueux des droits individuels.