Avant qu’une administration, association ou entreprise n’entreprenne la destruction de documents confidentiels, lesdits documents ou leurs données sont conservés pendant une durée définie. En effet, il n’existe pas de donnée sensible qui puisse être conservée de façon illimitée. La durée de conservation des données traitées doit être établie par le délégué à la protection des données (DPO) en fonction de l’objectif ayant conduit à leur collecte. Il se trouve que le principe de conservation limitée des données personnelles est prévu par le Règlement Général sur la Protection des Données (RGPD) et la loi Informatique et Libertés.
Limitation de la durée de conservation des données et RGPD
Dans le RGPD figurent plusieurs obligations parmi lesquelles on trouve le principe de limitation de la durée de conservation des données à caractère personnel. Cependant, ce principe mériterait d’être élucidé. On peut probablement tenter de le faire en répondant à la question suivante : qu’est-ce qu’une durée de conservation pertinente au vu des différentes finalités ?
Comprendre les phases successives qui constituent le cycle de vie des données
Toute donnée à caractère personnel a un cycle de vie spécifique. Ce dernier se décompose en trois phases successives que sont : l’utilisation, la mise de côté et l’archivage. Ces étapes ne sont pas nécessairement communes à une même donnée.
1. Les données sont en cours d’utilisation
Dans un premier temps, on trouve la durée d’utilisation courante des données, soit la durée nécessaire à la réalisation de l’objectif du traitement. Pendant cette phase, les données sont renfermées dans des dossiers en cours de traitement et sont accessibles aux agents selon leurs fonctions et responsabilités opérationnelles.
Le responsable du ou des fichiers doit définir une durée d’utilisation courante des données et doit s’assurer que cette dernière est bien respectée. Lorsqu’il fait appel à des sous-traitants, cette durée doit être définie contractuellement.
2. Les données sont mises de côté
Une fois utilisées, les données personnelles sont conservées dans une base d’archivage intermédiaire qui est dissociée de la base active. L’accès à ces données est restreint. À ce stade, toutes les données ne doivent pas être conservées, uniquement celles qui sont strictement nécessaires ou requises par l’obligation légale.
Durant cette phase d’archivage soumise à une durée d’utilisation administrative (DUA), les données ne peuvent pas être utilisées par les services opérationnels. Le choix du mode technique d’archivage intermédiaire est laissé à l’appréciation du responsable du fichier ou DPO.
3. Les données sont archivées
Il arrive que certaines données ou documents revêtent un intérêt historique particulier. Ils doivent donc être conservés et archivés dans le respect des conditions fixées par le code du patrimoine. La mission d’archivage est endossée par les Archives de France.
Durant cette troisième étape, il est recommandé de conserver les données sur un support physique indépendant. Leur accès ne sera autorisé que pour un usage ponctuel et sera motivé auprès d’un service spécifique.
En savoir plus :
- La moitié des fraudes en entreprises une fraude au faux fournisseur
- Comment se protéger efficacement contre la fraude au faux président