La règlementation pose un principe fondamental selon lequel les données à caractère personnel ne peuvent être traitées que pour une durée limitée. En ce sens, le RGPD indique que les données ne doivent être conservées « sous une forme permettant l’identification des personnes concernées » que le temps d’accomplir la finalité du traitement en question.
La durée de conservation comprend deux notions :
- La conservation des données en base active, le temps d’accomplir l’objectif du traitement
- La conservation des données en archive intermédiaire, pour des raisons contentieuses notamment.
Ainsi, la durée de conservation s’entend des deux durées additionnées. Pour rappel, toutes les durées de conservation ne comprennent pas nécessairement d’archivage intermédiaire. En effet, cette notion n’intervient que lorsque le responsable de traitement a des obligations légales à remplir, qui impliquent de conserver les données. De surcroit, en cas d’archivage intermédiaire, il faut effectuer un tri. Seules les données nécessaires au respect de l’obligation légale doivent être conservées. Il ne faut donc pas faire basculer toutes les données de la base en archive.
Il convient donc de déterminer la durée de conservation des données préalablement à la mise en œuvre de tout traitement. Pour ce faire, le responsable de traitement dispose de ressources diverses dont notamment :
- la règlementation : Par exemple, le code de la santé publique exige que les dossiers médicaux soient conservés pendant 20 ans à compter de la dernière visite du patient (il existe des conditions particulières concernant les mineurs).
- les référentiels et doctrines de la CNIL, comme par exemple les méthodologies de référence qui proposent certaines durées de conservation
A défaut de textes ou de référentiel, il reviendra au responsable de traitement de déterminer cette durée eu égard à la finalité du traitement.
Pour ce faire, il s’interrogera sur la durée nécessaire dans le cadre de l’utilisation courante des données, ainsi que les durées de prescription éventuelles qui pourraient justifier une conservation plus longue.
Il est également possible d’anonymiser les données afin de les conserver plus longtemps. En effet, les dispositions du RGPD ne s’appliquent qu’aux données à caractère personnel, c’est-à-dire celles permettant l’identification des personnes concernées. Dès lors que les données ne permettent aucunement d’identifier les personnes concernées, et sont donc anonymes, elles sortent du champ du RGPD. Il est donc permis de les conserver sans limite de temps.
Attention toutefois à la notion d’anonymisation : l’identification des personnes concernées doit être « complètement » impossible, même en combinant les données avec d’autres.
Dans tous les cas, dans une démarche d’accountability, il est plus que recommandé de documenter le raisonnement ayant abouti au choix d’une durée de conservation : par le biais de procédures internes, de document tel que le registre ou un document référençant les différentes durées de conservation de l’organisme.
A noter : ce n’est pas tout de définir les durées de conservation, il est important de les respecter !
En cas de contrôle, la CNIL vérifie que des durées sont définies, et cohérentes, mais aussi et surtout respectées. Ainsi, a été sanctionnée, dans le cadre de la procédure simplifiée en octobre 2024, une société commercialisant des portefeuilles de cryptomonnaie pour manquement à l’obligation de durée de conservation limitée.
- Article 5 du RGPD – Principes relatifs au traitement des données à caractère personnel
- Article 25 du RGPD – Protection des données dès la conception et protection des données par défaut
- Article 4 – Loi relative aux fichiers, à l’informatique et aux libertés n°78-17 du 6 janvier 1978
Date de mise à jour : 03.12.2024