La conservation des données à caractère personnelle est un enjeu majeur pour qu’une entreprise puisse être en conformité avec le RGPD. Mais cette conservation sera différentes selon les données personnelles, selon les finalités d’un traitement, etc…
Le principe de conservation des données
La conservation des données personnelles ne peut pas être définitive, ce qui signifie qu’il faut définir une durée la plus stricte et la plus courte possible pour toute conservation. Il existe des cas particulier lorsqu’un texte législatif impose une durée plus longue, voir indéfinie.
La durée de conservation doit être définie en fonction des objectifs poursuivis et une fois ceux-ci atteints ces données devraient être supprimées, archivées ou anonymisées. Mais avant de définir une durée de conservation, tout responsable de traitement devra vérifier s’il n’existe pas une durée légale définie par la CNIL ou par un texte de loi.
La limitation de la conservation des données
La base active : C’est le premier cycle, il s’agit de la partie où les données sont conservées en fonction des durées définies soit par la législation, soit en fonction des finalités (on parle de durée courante d’utilisation des données).
L’archivage intermédiaire : les données doivent parfois être conservées plus longtemps, on va alors les placer dans un « archivage intermédiaire » avec un accès restreint. Les raisons peuvent être une obligation légale de conservation, un intérêt administratif (notamment en cas de contentieux) ou à des fins archivistes dans l’intérêt public.
Le responsable de ce fichier devra faire attention à ce que les données archivées soient celles strictement nécessaire. Enfin les services opérationnels ne pourront plus utiliser ces données.
L’archivage définitif : Selon le livre 2 du Code du Patrimoine, certaines données peuvent ne faire l’objet d’aucune suppression dans l’intérêt public. Mais cet archivage est géré par les services des archives compétents sur le territoire.
Pour ce type d’archivage il est recommandé de conserver les données sur un support physique indépendant et non accessible par les autres services.
Il est préférable de mettre en place le même process pour la suppression ou l’anonymisation des données que le process utilisé pour répondre au droit d’effacement.
Pour plus d’information concernant l’archivage électronique des données personnelles dans le secteur privé, vous pouvez consulter cette recommandation : https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000017651957
Quelques exemples de conservation des données
| Type de données |
Durée de conservation | Texte législatif |
| Gestion du personnel |
5 ans | Article R.1221-26 Code du Travail |
| Bulletin de paie | 5 ans après le départ du salarié | Article L.3243-4 Code du Travail |
| Vidéosurveillance | 28 jours (1 mois) | Article L.252-3 Code de la sécurité intérieure |
| Prospection | 3 ans à compter de la fin de la relation commerciale | Délibération n° 2016-264 du 21 juillet 2016 (CNIL) |
