La conservation des données personnelles

La conservation des données à caractère personnelle est un enjeu majeur pour qu’une entreprise puisse être en conformité avec le RGPD. Mais cette conservation sera différentes selon les données personnelles, selon les finalités d’un traitement, etc…

Le principe de conservation des données

La conservation des données personnelles ne peut pas être définitive, ce qui signifie qu’il faut définir une durée la plus stricte et la plus courte possible pour toute conservation. Il existe des cas particulier lorsqu’un texte législatif impose une durée plus longue, voir indéfinie.

La durée de conservation doit être définie en fonction des objectifs poursuivis et une fois ceux-ci atteints ces données devraient être supprimées, archivées ou anonymisées. Mais avant de définir une durée de conservation, tout responsable de traitement devra vérifier s’il n’existe pas une durée légale définie par la CNIL ou par un texte de loi.

La limitation de la conservation des données

La base active : C’est le premier cycle, il s’agit de la partie où les données sont conservées en fonction des durées définies soit par la législation, soit en fonction des finalités (on parle de durée courante d’utilisation des données).

L’archivage intermédiaire : les données doivent parfois être conservées plus longtemps, on va alors les placer dans un “archivage intermédiaire” avec un accès restreint. Les raisons peuvent être une obligation légale de conservation, un intérêt administratif (notamment en cas de contentieux) ou à des fins archivistes dans l’intérêt public.
Le responsable de ce fichier devra faire attention à ce que les données archivées soient celles strictement nécessaire. Enfin les services opérationnels ne pourront plus utiliser ces données.

L’archivage définitif : Selon le livre 2 du Code du Patrimoine, certaines données peuvent ne faire l’objet d’aucune suppression dans l’intérêt public. Mais cet archivage est géré par les services des archives compétents sur le territoire.
Pour ce type d’archivage il est recommandé de conserver les données sur un support physique indépendant et non accessible par les autres services.

Il est préférable de mettre en place le même process pour la suppression ou l’anonymisation des données que le process utilisé pour répondre au droit d’effacement.

Pour plus d’information concernant l’archivage électronique des données personnelles dans le secteur privé, vous pouvez consulter cette recommandation : https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000017651957

Quelques exemples de conservation des données

Type de
données
Durée de conservationTexte législatif
Gestion du
personnel
5 ansArticle R.1221-26 Code du
Travail
Bulletin de paie5 ans après le départ du salariéArticle L.3243-4 Code du
Travail
Vidéosurveillance28 jours (1 mois)Article L.252-3 Code de la
sécurité intérieure
Prospection3 ans à compter de la fin de la relation commercialeDélibération n° 2016-264 du
21 juillet 2016 (CNIL)