Gérer les durées de conservation des documents comportant des données à caractère personnel.
Le 13 février dernier, l’Assemblée nationale adoptait en première lecture le projet de loi appliquant le Règlement européen sur la protection des données personnelles (RGPD).
La date de mise en application en France s’approchant (mai 2018), il est temps de se pencher sur quelques points spécifiques du RGPD, parmi lesquels la gestion des durées de conservation des documents comportant des données à caractère personnel.
Le lecteur pourrait se trouver désorienté devant la masse d’informations parfois contradictoires parues depuis l’adoption du RGPD par le Parlement européen : tout conserver dans une boîte noire, tout détruire, ne détruire qu’une partie mais en justifiant sa destruction, conserver un morceau ou l’on sait qu’il n’y a aucune donnée personnelle….
Pas de panique, prenez un carré de chocolat ou une bonne tasse de thé, et revenons à l’essentiel.
Quel type de conservation pour quel moment du cycle de vie ?
Un document produit par une entreprise ou un service public est conservé :
- D’abord pour des raisons d’usage (réglementaires, continuité des affaires, justification ou protection de droit…)
- puis, potentiellement dans un second temps, à des fins historiques.
Certains documents produits par les entreprises ou les services publics comportent, ou font usage de données à caractère personnel.
Le RGPD évoque ainsi :
- la conservation des données pour traitement, qui correspond à la conservation pour des raisons d’usage,
- la conservation pour d’autres fins que la fin première de la collecte des données, notamment à des fins archivistiques, statistiques, historiques, dans l’intérêt du public ou pour la recherche.
L’article 5 du RGPD précise que, lorsque les données ont été collectées de manière licite :
- la durée de conservation des données à caractère personnel ne doit pas excéder la durée de leur traitement (ou ce pour quoi elles ont été collectées).
- Mais, qu’un traitement ultérieur, à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou des fins statistiques n’est pas considéré comme incompatible avec des finalités initiales.
Ainsi, le responsable du traitement aura la possibilité de conserver des données à caractère personnel à l’issue de leur traitement initial, si les finalités secondaires sont d'ordre archivistique, scientifique, historique ou statistique. Sinon, seul un traitement d'anonymisation irréversible pourra permettre de conserver les données à l'issue de leur traitement initial.
Quand décide-t-on de détruire ?
La destruction des données intervient, lorsque la collecte a été réalisée de manière licite, à l'initiative du responsable du traitement, comme à celle de la personne visée par le traitement :
- lorsque le traitement initial a été effectué
- ou à tout moment du cycle de vie du traitement, lorsque la personne concernée souhaite exercer son droit à l'effacement (ou droit à l'oubli), prévu par l'article 17.
Ce droit à l'effacement est cependant limité si le responsable de traitement justifie que le traitement des données est nécessaire pour respecter entre autres une obligation légale, une mission d'intérêt public, ou pour des motifs d'intérêt publics dans le domaine de la santé, ou encore, à l'issue du traitement initial, si les finalités de traitement sont d'ordre archivistique, scientifique, historique, ou statistiques, ou nécessaires à la défense de droits en justice (paragraphe 3 de l'article 17 du RGPD).
Fixer les règles de conservation et les faire connaître : vers une plus grande transparence.
Le RGPD fixe un cadre et des définitions, mais également des outils obligatoires pour mieux encadrer le cycle de vie, de la collecte à l'effacement, des données à caractère personnel.
L'article 30 détaille ce qu'un registre des activités de traitement doit comporter, afin d'établir et de tenir à jour le détail des traitements effectués sous la responsabilité du responsable du traitement. Ce registre est le document qui prouve, lors d'un contrôle de la CNIL, que la conformité avec le règlement est bien suivie par l'entité.[1]
Parmi les éléments demandés de figurer dans le registre, il faut, dans la mesure du possible, présenter "les délais prévus pour l'effacement des différentes catégories de données" ; par ailleurs, l’article 15 précise qu’ une personne concernée par le traitement peut demander au responsable du traitement , "lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée, ou lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée".
La durée de conservation, dans la mesure où elle est connue par le responsable du traitement, a donc tout intérêt à figurer dans le registre du traitement, et apporter une information supplémentaire sur la transparence de vos procédures de traitement des données à caractère personnel.
Ajoutons que dans le cas où votre service des archives a déjà construit des référentiels de gestion des données et documents, les durées de conservation et l'usage secondaire des documents sont connus d’avance et vous disposez donc d’une base solide pour construire votre registre.
Charlotte Maday
Consultante Spark Archives
Nous contacter :
[1] a CNIL a publié, sur son site internet, une série de conseils pour bien élaborer votre registre : https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles
Du même auteur :
- Les processus archivistiques à l'épreuve des volumétries massives des données - Partie 1
- Les processus archivistiques à l'épreuve des volumétries massives des données - Partie 2
- Le double visage des SAE, un service et un système
- Métadonnées : le minimum vital ou le strict nécessaire ?
- OAIS - ISO 14721 - Forces, faiblesses, opportunités, menaces.
- Autorisation d’élimination d’archives et vérification du représentant du contrôle scientifique et technique.
Nous contacter
Ajouter un commentaire