Durées de conservation
Apprenez ce que sont les durées de conservation.
Définition des durées de conservation
Les durées de conservation font partie des principes fondamentaux de la protection des données personnelles.
Le principe de durée limitée de conservation consacre le droit à l’oubli des personnes.
Une obligation issue de l’article 5 du RGPD :
Une forme permettant l'identification
Les données personnelles peuvent être conservées dans une certaine limite, sous une forme directement ou indirectement identifiante et de façon indéfinie par les organismes.
Nécessaire au regard des finalités
Les données doivent être traitées pendant une durée limitée, de façon cohérente avec l’objectif poursuivi (autrement dit de la finalité).
Une obligation de documentation dans le registre des activités de traitement prévu à l’article 30 du RPGD
Une obligation d’information destinée aux personnes concernées prévue aux articles 13 et 14 du RGPD
Il est ainsi nécessaire de déterminer :
Une durée fixe de conservation, selon le cycle de vie de la vie de la donnée.
Un critère objectif utilisé pour déterminer cette durée.
Le cycle de vie de la donnée
Le cycle de vie de la donnée peut se décliner en trois étapes :
Le guide de la CNIL sur les durées de conservation apporte des éclaircissements sur la documentation à apporter sur les durées de conservation :
Le registre dans lequel doivent figurer les activités de traitements et les durées de conservation afférentes ;
Un document de référence centralisant, par exemple sous forme de tableau, les durées des différentes phases de vie des données pour chaque traitement (les préconisations du SIAF peuvent être reprises le cas échéant dans les tableaux de gestion des archives internes à la structure) ;
Les différentes actions entreprises, y compris si ces actions sont toujours en cours ;
Les instructions écrites transmises au sous-traitant en matière de durées.
Les éventuelles procédures pour l’archivage des données, et notamment en cas de versement obligatoire pour l’archivage définitif des archives publiques (bordereau de versement, etc.) ;
La procédure de destruction des données, le cas échéant (par exemple : bordereau d’élimination, etc.) ;
La politique de gestion des habilitations et la matrice d’habilitation en cas d’archivage, etc.
Avec Dastra, renseignez les différents cycles de vie de la donnée et adaptez les durées de conservation à chaque jeu de données créé.
Comment les déterminer ?
En appliquant le principe de protection des données dès la conception :
Définir avec précision la finalité poursuivie, c’est-à-dire ce à quoi les données personnelles vont servir ;
Les différents cycles de la vie de ces données, les durées applicables, ainsi que les données concernées ;
Identifier les personnes qui auront besoin de traiter les données lors de l’utilisation courante, et celles en cas d’archivage intermédiaire ; assurer la traçabilité des accès aux données archivées ;
Prévoir une procédure de purge automatique et sélective des données (pour les archives publiques, cette purge est soumise à l’autorisation d’élimination du responsable du contrôle scientifique et technique) ;
Si un processus d’anonymisation est envisagé, vérifier que les données ne permettront pas de « réidentifier » les personnes concernées à l’issue du processus.
Où trouver les références ?
S’appuyer sur les dispositions légales ou réglementaires
Les délibérations de la CNIL
Pour les archives publiques, les préconisations des archives de France
Les références sectorielles
Si aucun texte ou norme n’apporte de solutions, il est nécessaire de déterminer la durée la plus adaptée à la réalisation de la finalité du traitement conformément au principe de responsabilité.
Qui est impliqué ?
Le service chargé de la mise en œuvre du traitement (qui peut être un sous-traitant) apportera tous les éléments permettant de comprendre ses besoins et, ainsi, de déterminer la durée d’utilisation courante des données visées ;
Le délégué à la protection des données (DPO) est l’interlocuteur privilégié lorsqu’il a été désigné ; il est en effet chargé de veiller à la conformité des traitements mis en œuvre au sein de la structure, ainsi que de conseiller le responsable de traitement ;
Le service interne d’archives à la structure ou à la collectivité, le cas échéant, peut éclairer les pratiques en matière de conservation des données pour le traitement concerné (gestion du cycle de vie de la donnée, etc.) ;
Un conseil, qu’il soit interne à la structure (par exemple : direction juridique d’une entreprise), ou externe (ex : avocat, entreprise de services du numérique, etc.). Ce dernier peut, en particulier, aider à cibler les éventuelles dispositions législatives ou réglementaires applicables ;
La fédération professionnelle à laquelle le responsable de traitement est adhérent, peut fournir un support à son réseau dans la détermination des durées de conservation.
Dans le secteur public (pour les structures publiques et pour les organismes privés chargés d’une mission de service public), les interlocuteurs à privilégier sont le service d’archives départemental territorialement compétent (pour les services déconcentrés et les collectivités territoriales et leurs groupements), ou la mission des archives du ministère de tutelle (pour les services de l’administration centrale). Ces interlocuteurs pourront renseigner la structure sur les obligations qui lui sont applicables, et la guider dans leur mise en œuvre (détermination de la DUA et du sort final).
Comment contrôler ?
L’implémentation pratique des durées de conservation doit être régulièrement vérifiée. Il y a donc nécessité de réaliser des audits réguliers. Le DPO dispose de cette mission de contrôle des traitements incluant les durées de conservation.
Pour cela, la fonctionnalité Audit de Dastra est idéale :
Questionnaires et PIAPour aller plus loin
Dernière mise à jour