Accueil Les médias Internet La conservation des données personnelles

La conservation des données personnelles

67

En matière de conservation des données personnelles collectées, le RGPD a posé la règle d’une durée de conservation limitée. Et cette limite est liée à la finalité du traitement. La conservation implique par ailleurs des mesures de sécurité.

La détermination de la durée de conservation

La durée de conservation peut être fixée en mois ou en années, mais elle peut aussi être déterminée par rapport à un objectif. Par exemple la durée d’exécution du contrat qui a été à l’origine de la demande de collecte de données. En matière de durée de conservation, évoquons quelques pistes.

La durée de conservation peut être fixée par les prescriptions ou la durée d’une garantie contractuelle ou de la garantie légale.

Il peut aussi exister des activités réglementées. Un bon exemple est celui de la vidéosurveillance – les enregistrements sont bien des données personnelles – qui prévoit que la vidéo ne peut pas, sauf circonstances spécifiques, comme une enquête ouverte par exemple, être conservée plus d’1 mois.

La CNIL suggère également certaines durées qu’il peut alors être sage de respecter. Par exemple, 3 ans pour un fichier client à compter du  dernier contact ou encore 2 ans pour un fichier de recrutement.

Bien entendu il faudra tenir compte des risques présentés par les données collectées. Plus le risque augmente, plus la durée de conservation doit être stricte. A ce titre, la durée de conservation des données bancaires a été fixée à 13 mois  après le dernier achat.

A l’inverse, l’intérêt général peut autoriser un archivage définitif des données. Ce sera notamment le cas des données recueillies à des fins scientifiques, de recherche, de statistiques.

L’obligation de sécurité

Le responsable du traitement est tenu d’assurer la sécurité des données conservées. C’est l’une de ses principales obligations assorties de sanctions pécuniaires sévères lorsque cette obligation n’est pas respectée.

Les normes de sécurité doivent être assurées sur la totalité des process de collecte et de traitement. Elles devront être fonction des risques encourus. Elles devront être vérifiées régulièrement et revues en fonction des avancées technologiques.

La sécurité doit répondre à un double enjeu : assurer l’intégrité des données et leur confidentialité.

La sécurité doit être pensée tant vis-à-vis des risques internes, en général accidentels, que des risques externes qui peuvent être délibérés.

La sécurité doit être pensée à tous les niveaux : bases de données, postes de travail avec codes et verrouillage.  On raisonnera aussi process tels que chiffrement ou pseudonymisation des données. Sans oublier les locaux et les serveurs.

La politique de sécurité nécessitera une stratégie de contrôles réguliers et une sensibilisation voire, si nécessaire, une formation du personnel.

Un dernier point mais important : le cas échéant, le responsable du traitement est également responsable de la sécurité chez les sous-traitants avec lesquels il a choisi de travailler.