RGPD (Règlement général sur la protection des données) : pendant quelle durée conserver les données personnelles ? (eu)
Europe > Droit privé > Droit européen > Protection des données personnelles
Bénédicte DELEPORTE, Avocat au Barreau de Paris
Mai 2018
L’un des sujets d’achoppement entre l’Union européenne et les “GAFA” concerne la durée de conservation des données personnelles collectées.
Pour ces sociétés, lorsque les traitements sont soumis au droit américain (droit de l’état de Californie notamment), la question de la durée de conservation des données personnelles ne se pose pas, celles-ci pouvant généralement être conservées sans limitation.
Il n’en est pas de même en Europe.
Le RGPD impose non seulement de minimiser les données collectées, c’est-à-dire de limiter les catégories et les volumes de données personnelles collectées, mais également, de limiter leur durée de conservation.[1]
La question n’est pas nouvelle puisque le principe de durée limitée de conservation des données figure déjà à l’article 6 de la loi Informatique et Libertés de janvier 1978. [2]
Mais que signifie le fait de conserver les données pour une durée limitée ? Et comment définir cette durée ? La réponse à ces questions est relativement complexe. En effet, il n’existe pas une durée unique de conservation des données personnelles, mais des durées variables suivant la finalité des traitements.
Certaines données n’ont pas besoin d’être conservées pendant une durée supérieure à leur utilisation effective (quelques minutes à quelques jours). En revanche, d’autres catégories de données personnelles doivent être conservées pendant une durée fixée par la loi, afin par exemple, de permettre aux parties d’exercer leurs droits ou de prouver un acte juridique ou l’exécution d’une obligation.
Les données personnelles concernées ne seront effacées qu’à l’expiration de ce délai.
En matière de durée de conservation des données personnelles, la distinction peut s’opérer ainsi : celles pour lesquelles il existe des règles relatives à la durée de conservation (délai de prescription), et celles non couvertes par un délai de prescription.
Les données devant être conservées pendant un délai légal
Certaines catégories de données doivent être conservées pendant une durée déterminée par le délai de prescription. [3]
En effet, chacune des parties concernées doit pouvoir rapporter la preuve d’un acte juridique (achat / vente, paiement d’une prestation, paiement de la TVA, etc.) pendant un délai raisonnable, fixé par la loi.
Il existe de multiples délais de prescription légale, que ce soit en droit civil, commercial, fiscal ou pénal par exemple.
En règle générale :
- En matière civile, le délai de prescription applicable aux biens et services fournis par un vendeur ou prestataire professionnel à un consommateur est de 2 ans. En matière de salaires, la prescription est de 3 ans ;
- En matière commerciale, le délai de prescription est fixé à 5 ans pour les obligations entre commerçants et entre commerçants et non-commerçants (consommateurs) ;
- Enfin, en matière fiscale, le délai de prescription est fixé à 3 ans (fin de la troisième année qui suit celle au titre de laquelle l'imposition est due). [4]
Comment appliquer ces délais à la durée de conservation des données personnelles collectées ? Il convient d’identifier la finalité du fichier afin de déterminer la durée de conservation applicable aux données collectées.
Exemple de données collectées dans le cadre de la relation entre l’entreprise et ses clients :
- Contrat de vente ou de prestation de services : les données devant être conservées concernant les contrat comprennent, outre le contrat, les coordonnées du client (nom, prénom, adresse, etc.). Ces données doivent être conservées pendant 5 ans.
- Facturation et paiement : les données devant être conservées comprennent les coordonnées du client (nom, prénom, adresse, etc.) et les données de facturation. Ces données doivent être conservées pendant 3 ans.
- Obligations fiscales (TVA, IS) : les données devant être conservées comprennent les données de facturation. Ces données doivent être conservées pendant 3 ans.
Exemple de données collectées dans le cadre de la relation entre l’entreprise et ses salariés :
- Gestion de la paie : les données devant être conservées comprennent les coordonnées du salarié (nom, prénom, adresse, etc.) et les données de salaire.
Ces données doivent être conservées pendant 3 ans.
Comme on peut le voir par les quelques exemples ci-dessus, certaines catégories de données sont utilisées pour plusieurs actes (inscription sur un site de e-commerce, achats en ligne, commandes de prestations, etc.) eux-mêmes couverts par des délais de prescription différents.
Il conviendra d’identifier l’objectif poursuivi par la collecte de données et appliquer la durée correspondant à cette finalité.
Afin de s’assurer que l’on ne conserve que les données nécessaires pendant la durée légale applicable, il conviendra de les cartographier en identifiant les traitements pour lesquels ces données sont utilisées et déterminer la durée de prescription légale la plus longue. Les autres données seront supprimées.
Les données non couvertes par un délai de conservation légal
La durée de conservation des données collectées pour certains traitements n’est pas soumise à un délai de conservation légal. Il conviendra alors d’appliquer strictement le principe de conservation uniquement pour le temps nécessaire à l’accomplissement de la finalité poursuivie lors de la collecte.
Par exemple :
- En matière de vidéosurveillance sur le lieu de travail, la CNIL recommande une durée de conservation des données de quelques jours à un mois maximum ;
- Les coordonnées de la carte bancaire du client lors d’un achat en ligne ne doivent être conservées que pendant la durée de réalisation de l’opération de paiement, éventuellement augmentée du délai de rétractation ;
- Les coordonnées d’un prospect inactif doivent être supprimées au bout d’un délai maximum de trois ans.[5]
Enfin, certaines données personnelles peuvent faire l’objet d’un archivage. Il convient de déterminer les règles d’archivage dans une procédure interne. La CNIL a défini trois types d’archives : la base active (ou archives courantes), les archives intermédiaires et les archives définitives. L’obligation de sécurité applicable en matière de traitement de données personnelles s’applique également aux données archivées (sécurité technique et physique) et sera adaptée à la nature des données archivées.
En conclusion, il est vivement recommandé de prévoir une procédure spécifique relative à la détermination de la durée de conservation des données personnelles collectées.
Cette procédure définira les objectifs poursuivis par la collecte, les catégories de données personnelles collectées, l’existence ou non de durées de conservation légale, la nécessité ou non d’archiver certaines données, etc.
Par ailleurs, la loi n’est pas statique, même en matière de délais de prescription ou de conservation.
Il conviendra de mettre cette procédure à jour en tenant compte de l’évolution de la loi et de la jurisprudence.
Références
- ↑ 1 Article 5 1. e) du RGPD “1. Les données à caractère personnel doivent être: (…) e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation).”
- ↑ 2 Article 6 5° de la loi Informatique et Libertés: “[Les données] sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.”
- ↑ 3 Il s’agit de la prescription extinctive. A l’issue du délai de prescription, le droit (ex. créance) s’éteint du fait de l’inaction de son titulaire. Par exemple, si le créancier d’une dette ne réclame pas le règlement d’une facture impayée, la créance s’éteint à l’issue du délai de prescription. Une fois le délai de prescription dépassé, le titulaire du droit ne peut plus l’exercer en cas d’inaction. (c.civ. art. 2219)
- ↑ 4 Liste non exhaustive
- ↑ 5 Voir la norme simplifiée n°48 (NS-048) de la CNIL relative à la gestion de clients et de prospects