La conservation des données personnelles dans le temps est une thématique qui revient très souvent lors de nos prestations. Qu’il s’agisse d’audit ou d’accompagnement RGPD, ce sujet est en général source d’incompréhension. Il peut devenir un point douloureux s’il n’est pas rapidement désamorcé.
Cet article fait partie d'une série d’articles, qui vous permettra d’y voir plus clair concernant cet aspect de la conformité RGPD. Nous vous livrons dans ce premier article quelques explications sur les règles gouvernant les durées de conservation. Le prochain article suivra avec des implications plus pratiques.
Avant de nous plonger dans les implications pratiques des durées de conservation, il est primordial de revenir aux fondamentaux. Les lignes directrices à respecter pour conserver les données personnelles sont posées par le RGPD (A). Elles sont précisées par la CNIL dans certains contextes (B). Enfin, elles sont enfin accompagnées d’exceptions et d’outils méthodologiques permettant de s’y conformer (C).
A. Les principes qui régissent le cycle de vie des données personnelles
En prenant de la hauteur, on peut discerner deux grands principes qui guident la conservation des données personnelles. Ces principes sont issus du considérant 39 ainsi que des articles 5 et 89 du RGPD. Ils sont ici classés en deux catégories générales, pour plus de clarté.
1. Interdiction de principe de toute conservation illimitée
C’est souvent le principe le plus difficile à expliquer lors d’un accompagnement RGPD. Non, il n’est pas possible de conserver des données personnelles pour toujours.
Figure 1 : L’article 5 e du RGPD nous impose d’établir des durées de conservation des données personnelles ; l’interprétation à contrario de cet article nous indique que la conservation illimitée est donc interdite.
Cela fait en général très peur aux services métiers. Pour certains, leur première réaction est de s’imaginer des scenarios catastrophe déclenchés par la suppression de données personnelles ! Le RGPD serait d’après ces prédictions à l’origine d’une perte de chiffre d’affaire ou d’un manquement à leurs obligations professionnelles. Effectivement, que l’on évolue au sein d’une entité publique ou privée, notre travail est souvent fondé sur la donnée. Il ne faut donc pas prendre à la légère la perspective de leur suppression. Des inquiétudes à ce sujet sont ainsi absolument légitimes et il faut toutes les entendre et les considérer. Toutefois, la solution consistera à faire appliquer le principe dans les meilleures conditions, au lieu de le contourner.
Il est vrai que dans certains métiers, la conservation illimitée de données identifiantes est nécessaire. Pour ces cas, très précis et en réalité assez peu courants, le RGPD prévoit des exceptions à ce principe (voir C.). Néanmoins, dans la plupart des situations, il est tout à fait possible d’envisager la suppression des données personnelles. Bien sûr, il faudra procéder en étudiant le terrain et en adaptant le principe aux besoins propres à chaque métier. Nous pouvons de la sorte atteindre nos objectifs de conformité RGPD sans affecter le fonctionnement de l’organisme concerné.
2. Respect de la limitation
Après avoir intégré l’interdiction de conservation illimitée, vient le temps de la limitation. Le principal obstacle à l’application de ce principe est la peur d’une suppression trop hâtive. Comme nous l’avons vu plus haut, de nombreux professionnels craignent les conséquences de la suppression. Même après avoir admis qu’ils faudrait supprimer les données, on souhaite souvent les conserver le plus longtemps possible. Et, pour ne pas se sentir bridé, on propose des durées de conservation très, très longues. Ce ne serait toutefois pas une très bonne idée, car cela contreviendrait au principe de limitation.
La limitation de conservation pourrait être vue comme l’application particulière de la règle générale de minimisation. Dans les grandes lignes, il s’agit de conserver les données personnelles le moins longtemps possible. Cela paraît contre-intuitif par rapport aux pratiques qui se sont répandues avec l’augmentation des capacités de stockage informatique. Nous avons développé une tendance à tout conserver, le plus longtemps possible, de façon parfois indiscriminée. Or, le RGPD nous pousse à remettre cette manie en question. Nous devons maintenant identifier quelles données personnelles nous sont réellement utiles, et ne pas conserver les autres.
Par conséquent, une partie de l’accompagnement RGPD consiste à ajuster au mieux la durée de conservation des données personnelles. Cette durée doit être la plus réduite possible, sans porter atteinte à l’objectif légitime poursuivi par la conservation souhaitée.
Au-delà de la durée, la conformité au RGPD aura une influence sur la quantité de données conservées. On traquera dans un premier temps les doublons, faisant place nette dans les données de travail. Il sera ensuite possible d’élaguer autant que possible les données devenues inutiles suite aux premières phases de leur traitement.
B. Les précisions de la CNIL en matière de conservation
1. Les référentiels de la CNIL
En complément des grands principes tirés du RGPD, la CNIL publie depuis des années des référentiels. Ces derniers sont plus précis que les règles générales du RGPD et permettent de guider les professionnels. Ce sont des guides sectoriels donnant des conseils plus larges que les seules durées de conservations.
Figure 2 : Extrait de cnil.fr au sujet de la publication d’un référentiel guidant les professionnels à appliquer le RGPD dans le cadre de la gestion locative.
Ainsi, elle a publié en 2019 le référentiel très utile consacré à la gestion des ressources humaines. On peut également penser à celui de 2021 sur la gestion de la relation commerciale. Certains sont plus précis, adaptés à des secteurs particuliers. On trouvera par exemple un référentiel sur la gestion des données personnelles dans le milieu de la protection de l’enfance. Très récemment, un nouveau référentiel a été publié par la CNIL pour consultation publique. Il s’agit d’un référentiel sectoriel concernant la gestion des pharmacies. Dans ces référentiels, nous trouvons de précieux indices pour déterminer les durées de conservation. La CNIL nous indique des durées qu’elle estime appropriées pour conserver certaines données.
Deux référentiels de la CNIL utiles à tous les organismes pour déterminer des durées de conservation :
- Référentiel du 21 novembre 2019 relatif à la gestion du personnel.
- Référentiel du 3 février 2022 relatif à la gestion commerciale.
Exemples de référentiels sectioriels :
- Référentiel du 18 juillet 2022 concernant les officines de pharmacie.
- Référentiel du 20 janvier 2022 concernant la protection de l’enfance.
- Référentiel du 6 mai 2021 concernant la gestion locative.
2. Les durées de conservation fournies par les référentiels
Prenons un exemple tiré du référentiel portant sur les relations commerciales. Une durée est indiquée pour les données utilisées à des fins de prospection. Il s’agirait de 3 ans après le dernier contact de l’organisme par la personne concernée. Dans certains cas, il paraîtrait alors approprié de conserver les données personnelles d’un prospect jusqu’à 3 ans après la dernière fois où il nous a contactés.
Figure 3 : Extrait du référentiel de la CNIL indiquant une durée de conservation conseillée pour les données personnelles dans le cadre de la prospection commerciale.
Attention toutefois, deux éléments sont à prendre en compte ici. La CNIL rappelle bien en introduction que ce référentiel n’a pas de valeur contraignante. Il n’est donc pas obligatoire de conserver ces données jusqu’à la durée indiquée. De plus, il ne s’agit que de durées indicatives, et il faut les adapter à nos cas concrets.
Cela est particulièrement important lors d’un accompagnement RGPD : la coopération des équipes est ici primordiale. En effet, les durées indicatives donnent des ordres de grandeur que les consultants connaissent bien. Mais il s’agit surtout de les adapter au terrain lors de la mise en conformité au RGPD. Il nous faut donc pouvoir communiquer efficacement avec les métiers. Ils connaissent les contraintes et les besoins des services, à partir desquels nous pouvons établir les durées de conservation.
Figure 4 : Extrait de la délibération de la CNIL SAN-2020-008 sanctionnant la société Carrefour France en parti pour un manqument au principe de limitation.
On voit par exemple ci-dessus une une situation où une durée indicative est fournie par la CNIL. Cette dernière analyse tout de même les faits pour chercher sur cette durée est appropriée ou non. Cela confirme en pratique que les durées indiquées ne sont pas fixes et obligatoires.
Enfin, précisons que tous les métiers et tous les domaines d’activité ne sont pas couverts par de tels référentiels. Il n’existe pas non plus de référentiel indiquant des durées de conservation génériques. La CNIL a bien publié un guide présentant la méthodologie à appliquer pour déterminer les durées de conservation. Il n’indique toutefois aucune durée-type. C’est pourquoi il est tout aussi important de bien maîtriser les principes et savoir les adapter aux cas d’espèce.
- Le guide pratique de la CNIL et du SIAF sur les durées de conservation.
C. Les adaptations des principes permises par les textes
1. Une seule réelle exception au principe
Pour terminer sur les grandes règles régissant les durées de conservation, abordons les adaptations et exceptions aux principes.
La seule réelle exception à l’interdiction de conservation illimitée est au bénéfice des archives publiques. On comprend que dans certains cas et pour l’intérêt général de conservation des archives publiques, cette interdiction soit levée. Il ne s’agit toutefois pas d’une autorisation générale de conservation indifférenciée. Même lorsque l’on entre dans le champ possible de cette exception, seules certaines données personnelles pourront être conservée définitivement. Après un examen spécifique, la décision peut être prise de les placer en archives définitives. Ces données sont alors placées sous le régime du Code du Patrimoine.
Figure 5 : Le Code du Patrimoine contient des dispositions spécifiques relatives à la conservation des données personnelles dans les archives publiques.
2. Les adaptations
En dehors des exceptions spécifiques, des méthodes existent afin de gérer les contraintes liées à la limitation de conservation. Dans la mise en conformité RGPD, en matière de conservation, on pourra notamment se servir de l’archivage et de l’anonymisation.
a. L’archivage intermédiaire
Comme nous l’avons vu plus haut (voir 1.), l’archivage définitif est une mesure exceptionnelle. Nous ne pouvons donc pas compter dessus pour gérer nos durées de conservation ordinaires. Une forme d’archivage reste cependant accessible à tous les responsables de traitement : c’est l’archivage intermédiaire. Cette façon de stocker des données personnelles arrive après la base active. Pour comprendre l’archivage intermédiaire, il faut donc d’abord expliquer ce qu’est la base active.
Pour faire simple, la base active est l’état dans lesquelles les données se trouvent lorsqu’on en a un besoin courant. C’est en base active que l’on traite en général les données pour la finalité principale de leur collecte. Puis viennent les archives intermédiaires. Dans cette nouvelle phase du cycle de la donnée, elle n’y est stockée que pour des besoins de consultation ponctuels.
Figure 6 : Dans le respect du RGPD, les données personnelles n’ayant plus leur place en base active peuvent soit être supprimées directement, soit passer par une étape d’archivage intermédiaire.
Par exemple, les données concernant un salarié seront stockées en base active pendant la durée de la relation de travail. Après le départ du salarié, elles pourront être transférées en archives intermédiaires. Cela servira par exemple à défendre les droits de l’entreprise en justice en cas de contentieux. Enfin, dans le respect de la limitation de conservation, les données devront être supprimées à l’issue de l’archivage intermédiaire.
Figure 7 : Lors d’un accompagnement RGPD, la collaboration avec le service des ressources humaines est très importante, car c’est une partie de l’organisme qui gère de nombreuses données personnelles, et souvent les plus sensibles.
Cette forme de stockage n’est pas obligatoire, mais peut être utile pour prolonger la durée de conservation. Il faut toutefois garder à l’esprit que la conservation en archives intermédiaires constitue un nouveau traitement de données personnelles. Toutes les règles du RGPD (y compris le principe de limitation) doivent donc y être appliquées. On comprend ainsi que l’archjvage intermédiaire n’est pas une solution de contournement du principe de limitation. C’est plutôt une façon de se structurer pour construire un cycle de la donnée sain et maîtrisé.
En résumé, le cycle de la donnée peut être vu comme l’enchaînement des étapes ci-dessous.
- Collecte, transfert ou création de la donnée.
- Base active : pour les besoins courants.
- Archives intermédiaires : conservation pour des besoins ponctuels.
- Archives définitives : situation exceptionnelle.
- Suppression ou anonymisation.
b. L’anonymisation
Un dernier outil permet de gérer les données personnelles sous la contrainte de la limitation de conservation. Il s’agit de l’anonymisation. Lors d’un accompagnement RGPD, on réalise très vite qu’il y a beaucoup d’intérêt pour cette option de conservation. Mais on constate également quelques confusions courantes dans sa compréhension. Dans un premier temps, distinguons donc l’anonymisation de la pseudonymisation.
« Au cours d’un accompagnement RGPD, une partie importante du travail de consultant consiste à faire comprendre le sujet et les enjeux entourant la protection des données personnelles. Expliquer des termes comme ceux-ci fait partie de cette mission. »
La pseudonymisation consiste à remplacer certaines données identifiables par un alias (un nom différent, un matricule… ). Les données restent identifiantes, mais le deviennent de façon indirecte. On considère alors que le droit à la vie privée des personnes concernées est mieux protégé. Donc, au sens du RGPD, la pseudonymisation est une mesure de protection des données personnelles. L’anonymisation, quant à elle, désigne la transformation des données personnelles pour qu’elles ne soient plus du tout identifiantes. Cette approche peut être considérée comme une alternative l’effacement. En effet, suite à l’un comme l’autre, il n’y a plus de données personnelles. Les principes du RGPD, érigés pour la protection des données personnelles, n’auront donc plus à s’appliquer.
Figure 8 : Au cours d’un accompagnement RGPD, une partie importante du travail de consultant consiste à faire comprendre le sujet et les enjeux entourant la protection des données personnelles. Expliquer des termes comme ceux-ci fait partie de cette mission.
« LINC travaille actuellement sur un projet visant à tester l’efficacité de l’anonymisation. »
Il faut toutefois faire très attention lorsque l’on choisit d’avoir recours à l’anonymisation. La réelle anonymisation consiste à rendre impossible la réidentification des personnes à partir des données anonymisées. Or cela est très difficile à obtenir, surtout si l’on veut conserver un certain niveau d’utilité du jeu de données. Il s’agit donc d’une mesure beaucoup plus délicate et finalement plus coûteuse que la suppression. Elle n’est souvent choisie que sous une des deux contraintes suivantes. Soit la conservation illimitée des données dans leur forme non-identifiante est absolument nécessaire pour des raisons impérieuses. Soit le jeu de données concerné peut avoir de la valeur, même sans caractère identifiant. Dans tous les cas, on notera que l’anonymisation ne permet pas du tout de revenir à un stade où la donnée est identifiante. Elle n’aura donc pas d’intérêt si l’objectif de l’organisme se trouve dans le caractère identifiant des données. Dans ce dernier cas, il faudra prévoir un délai de conservation se terminant par une suppression.
À retenir
- Les données personnelles ne peuvent par principe pas être conservées de façon illimitée.
- Des durées de conservation raisonables et adaptées aux besoins de l’organisme doivent être établies et respectées.
- Des référentiels existent pour nous guider, mais ne sont pas exhaustifs.
- L’archivage intermédiaire est à considérer pour conserver la donnée au-delà des besoins courants.
- L’anonymisation est une solution réelle mais qui n’est pas adaptée aux cas les plus fréquents.
Après avoir donné des éléments de réponse à la question dans notre article : "Combien de temps conserver des données personnelles d'après le RGPD ?" ; nous parlerons de l’importance pratique de ces règles dans notre prochain article. Elles sont en effet très importantes à prendre en compte pour maîtriser le risque juridique lié au RGPD. Mais elles aident dans tous les cas à structurer la gestion de l’ensemble de nos données. Les avantages d’un accompagnement RGPD sont alors nombreux quand il s’agit d’aborder une problématique aussi tentaculaire.
Sources illustrations : Pixabays et Freepik.
À propos : Le blog d'AlgoSecure est un espace sur lequel notre équipe toute entière peut s'exprimer. Notre personnel marketing et commercial vous donne des informations sur la vie et l'évolution de notre société spécialisée en sécurité sur Lyon. Nos consultants techniques, entre deux tests d'intrusion ou analyses de risque, vous donnent leur avis ainsi que des détails techniques sur l'exploitation d'une faille de sécurité informatique. Ils vous expliqueront également comment sécuriser votre système d'informations ou vos usages informatiques particuliers, avec autant de méthodologie et de pédagogie que possible. Vous souhaitez retrouver sur ce blog des informations spécifiques sur certains sujets techniques ? N'hésitez pas à nous en faire part via notre formulaire de contact, nous lirons vos idées avec attention. Laissez-vous guider par nos rédacteurs : Alexandre, Amine, Antonin, Arnaud, Benjamin, Damien, Enzo, Eugénie, Fabien, Françoise, Gilles, Jean-Charles, Jean-Philippe, Jonathan, Joël, Joëlie, Julien, Jéromine, Ludovic, Lyse, Nancy, Natacha, Nicolas, Pierre, PierreG, Sébastien, Tristan, Yann, et bonne visite !