RGPD: L’exigence de conservation des données pendant une durée pertinente

L’article 6, 5° de la LIL dispose que pour faire l’objet d’un traitement, les données à caractères personnel doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».

Dans le même sens, l’article 5, e) du RGPD prévoit que « les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) »

Il ressort de ces deux textes que la durée de conservation des données à caractère personnel ne saurait être illimitée. Elle doit être proportionnée à la finalité du traitement.

Toute la question est alors de savoir comment déterminer une durée adaptée à la conservation des données à caractère personnel traitées.

A l’examen, il apparaît que le législateur a posé un principe assorti de plusieurs dérogations.

§1 : Le principe

Dans sa délibération n°2005-213 du 11 octobre 2005 la CNIL avait considéré que, au fond, « face à la mémoire de l’informatique, seul le principe du “droit” à l’oubli consacré par l’article 6-5° de la loi du 6 janvier 1978 peut garantir que les données collectées sur les individus ne soient pas conservées, dans les entreprises, pour des durées qui pourraient apparaître comme manifestement excessives ».

Aussi, la Commission a-t-elle pour mission de veiller au respect de ce principe s’agissant, en particulier, des durées de conservation relatives aux informations collectées par les entreprises, organismes ou établissements privés mais aussi des modalités de conservation de ces informations.

A l’examen, la détermination de la durée de conservation des données à caractère personnel suppose de s’interroger sur quatre points :

• Le point de départ de la durée de conservation
• Le cycle de conservation des données
• Le quantum de la durée de conservation
• Les modalités de la conservation

A) Sur le point de départ de la durée de conservation

Dans une délibération n°2013-420 du 3 janvier 2014 la CNIL a décidé que :

• D’une part, la fixation de durées de conservation définies ne saurait avoir pour objet ni pour effet de supprimer des données des utilisateurs alors qu’eux-mêmes en auraient encore l’usage.
• D’autre part, le point de départ d’une durée de conservation n’est pas fonction de la date de la collecte, mais de la suppression du compte utilisateur

Il en résulte, pour la Commission, que la fixation de ce point de départ autorise le responsable du traitement à conserver les données collectées des années durant, si nécessaire.

Pour le Conseil d’état, le point de départ de la durée de conservation des données est « le dernier fait enregistré », lequel « doit nécessairement être entendu comme le fait constitutif de la contravention ou tout acte postérieur interruptif de la prescription » (CE 30 juill. 2014, n°359402).

En toute hypothèse, au terme au terme de la réalisation du traitement (l’exécution d’un contrat par exemple), les données doivent être :

• Soit effacées
• Soit archivées
• Soit faire l’objet d’un processus d’anonymisation, afin de rendre impossible la « ré-identification » des personnes. Ces données, n’étant plus des données à caractère personnel, peuvent ainsi être conservées librement et valorisées notamment par la production de statistiques.

B) Sur le cycle de conservation des données

Il ressort de l’analyse menée par la CNIL que le cycle de conservation des données à caractère personnel comporte trois phases successives distinctes :

• L’archivage courant
• L’archivage intermédiaire
• L’archivage définitif

1. Sur l’archivage courant

Il s’agit de la durée d’utilisation courante des données ou autrement dit, la durée nécessaire à la réalisation de la finalité du traitement.

Toutes les données qui intéressent l’exécution d’un contrat peuvent être conservées par le responsable du traitement.

Sans ces données, la réalisation de la prestation serait rendue impossible. Il apparaît donc pleinement justifié qu’elles puissent être conservées pendant toute la durée de la convention.

Des mesures techniques et organisationnelles doivent être prévues pour protéger les données archivées (destruction, perte, altération, diffusion ou accès non autorisés…). Ces mesures doivent assurer un niveau de sécurité approprié aux risques et à la nature des données.

Si des mesures de sécurité informatiques sont indispensables, il convient, en outre, de prévoir des mesures de sécurité physique, notamment lorsque des dossiers sont archivés sous format papier.

Lorsque l’archivage est confié à un sous-traitant, le responsable du fichier doit s’assurer que son prestataire présente des garanties suffisantes en matière de sécurité et la confidentialité des données qui lui sont confiées.

2. Sur l’archivage intermédiaire

==> Les cas d’archivage intermédiaire

La CNIL a énoncé plusieurs cas au titre desquels il apparaît justifié que les données à caractère personnel soient conservées pour des durées plus longues que l’exécution du contrat : on parle alors d’archivage intermédiaire.

Au nombre des cas visés par la CNIL figurent :

• L’hypothèse où il existence une obligation légale de conservation de données pendant une durée fixée ;
• L’hypothèse où en l’absence d’obligation de conservation, ces données présentent néanmoins un intérêt administratif, notamment en cas de contentieux, justifiant de les conserver le temps des règles de prescription/forclusion applicables, notamment en matière commerciale, civile et fiscale ;
• L’hypothèse où, sous réserve de garanties appropriées pour les droits et libertés des personnes concernées, certaines données peuvent être traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.

==> La limitation de l’archivage

La Commission a eu l’occasion de préciser que, en cas d’archivage intermédiaire, le responsable du fichier doit veiller à ne conserver que les données nécessaires au respect de l’obligation prévue ou lui permettant de faire valoir un droit en justice : un tri doit donc être effectué parmi la totalité des données collectées pour ne garder que les seules données indispensables.

Les données ainsi archivées ne sont conservées que le temps nécessaire à l’accomplissement de l’objectif poursuivi : elles doivent donc être supprimées lorsque le motif justifiant leur archivage n’a plus raison d’être.

Par exemple, des données archivées pour se prémunir d’une action en justice durant le temps d’une prescription ou d’une forclusion doivent être supprimées lorsque cette action est prescrite forclose.

==> Les modalités de l’archivage

Pour les archives intermédiaires, le choix du mode d’archivage est laissé à l’appréciation du responsable du fichier. Des données peuvent ainsi être archivées :

• Dans une base d’archive spécifique, distincte de la base active, avec des accès restreints aux seules personnes ayant un intérêt à en connaitre en raison de leurs fonctions (par exemple, le service du contentieux)
• Dans la base active, à condition de procéder à un isolement des données archivées au moyen d’une séparation logique (gestion des droits d’accès et des habilitations) pour les rendre inaccessibles aux personnes n’ayant plus d’intérêt à les traiter

En tout état de cause, l’accès aux données faisant l’objet d’un archivage intermédiaire doit être limité.

==> Sur l’archivage définitif

L’intérêt public (historique, scientifique ou statistique) peut parfois justifier que certaines données ne fassent l’objet d’aucune destruction : c’est l’archivage définitif.

Les archives sont l’ensemble des documents, y compris les données, quels que soient leur date, leur lieu de conservation, leur forme et leur support, produits ou reçus par toute personne physique ou morale et par tout service ou organisme public ou privé dans l’exercice de leur activité.

La conservation des archives est organisée dans l’intérêt public tant pour les besoins de la gestion et de la justification des droits des personnes physiques ou morales, publiques ou privées, que pour la documentation historique de la recherche.

S’agissant des modalités de conservation des archives définitives, la CNIL préconise de les conserver sur un support physique indépendant, non accessible par les systèmes de production, n’autorisant qu’un accès distinct, ponctuel et précisément motivé auprès d’un service spécifique seul habilité à les consulter (par exemple, la direction des archives lorsqu’elle existe).

C) Sur le quantum de la durée de conservation des données

Afin de déterminer le quantum de la durée de conservation des données à caractère personnel, il convient de se reporter

• Soit aux textes légaux et réglementaires
• Soit aux délibérations de la CNIL

1. Sur les textes légaux et réglementaires

Il convient de se reporter aux textes qui :

• Soit posent des durées de conservation des données à caractère personnel
• Soit posent des délais de prescription/forclusion applicable en matière civile, commerciale ou fiscale

==> Sur les textes posant des durées de conservation des données à caractère personnel

• Les données relatives à la gestion du personnel d’une entreprise (5 ans)
  • L’article R. 1221-26 du Code du travail dispose que « les mentions portées sur le registre unique du personnel sont conservées pendant cinq ans à compter de la date à laquelle le salarié ou le stagiaire a quitté l’établissement»

• Les données relatives aux bulletins de paie et aux reçus pour solde de tout compte (5 ans)
  • L’article L. 3243-4 du Code du travail prévoit que « l’employeur conserve un double des bulletins de paie des salariés ou les bulletins de paie remis aux salariés sous forme électronique pendant cinq ans»

• Les documents comptables des commerçants (10 ans)
  • L’article L. 123-22 du Code de commerce dispose que « les documents comptables et les pièces justificatives sont conservés pendant dix ans. »

• Les documents fiscaux (6 ans)
  • L’article L. 102 B du Livre des procédures fiscales prévoit que les livres, registres, documents ou pièces sur lesquels peuvent s’exercer les droits de communication, d’enquête et de contrôle de l’administration doivent être conservés pendant un délai de six ans à compter de la date de la dernière opération mentionnée sur les livres ou registres ou de la date à laquelle les documents ou pièces ont été établis.

• Les contrats conclus par voie électronique (10 ans)
  • L’article L. 213-1 du Code de la consommation prévoit que lorsque le contrat est conclu par voie électronique et qu’il porte sur une somme égale ou supérieure à 120 euros, le contractant professionnel assure la conservation de l’écrit qui le constate pendant un délai déterminé et en garantit à tout moment l’accès à son cocontractant si celui-ci en fait la demande.
  • L’article D. 213-2 précise que ce délai est fixé à dix ans à compter de la conclusion du contrat lorsque la livraison du bien ou l’exécution de la prestation est immédiate.
  • Dans le cas contraire, le délai court à compter de la conclusion du contrat jusqu’à la date de livraison du bien ou de l’exécution de la prestation et pendant une durée de dix ans à compter de celle-ci.

• Les données de trafic collectées pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales (1 an)
  • L’article R. 10-13 du Code des postes et communications électroniques prévoit que leur durée de conservation est d’un an à compter du jour de l’enregistrement.
  • A cet égard, sont conservées :
    • Les informations permettant d’identifier l’utilisateur ;
    • Les données relatives aux équipements terminaux de communication utilisés ;
    • Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;
    • Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
    • Les données permettant d’identifier le ou les destinataires de la communication.

• Le dossier médical dans les établissements de santé publics et privés (20 ans)
  • L’article R. 1112-7 du Code de la santé publique prévoit que le dossier médical mentionné à l’article R. 1112-2 est conservé pendant une durée de vingt ans à compter de la date du dernier séjour de son titulaire dans l’établissement ou de la dernière consultation externe en son sein.
  • Lorsqu’en application des dispositions qui précèdent, la durée de conservation d’un dossier s’achève avant le vingt-huitième anniversaire de son titulaire, la conservation du dossier est prorogée jusqu’à cette date.
  • Dans tous les cas, si la personne titulaire du dossier décède moins de dix ans après son dernier passage dans l’établissement, le dossier est conservé pendant une durée de dix ans à compter de la date du décès.
  • Ces délais sont suspendus par l’introduction de tout recours gracieux ou contentieux tendant à mettre en cause la responsabilité médicale de l’établissement de santé ou de professionnels de santé à raison de leurs interventions au sein de l’établissement.
  • A l’issue du délai de conservation mentionné à l’alinéa précédent et après, le cas échéant, restitution à l’établissement de santé des données ayant fait l’objet d’un hébergement en application de l’article L. 1111-8, le dossier médical peut être éliminé.
  • La décision d’élimination est prise par le directeur de l’établissement après avis du médecin responsable de l’information médicale.
  • Dans les établissements publics de santé et les établissements de santé privés participant à l’exécution du service public hospitalier, cette élimination est en outre subordonnée au visa de l’administration des archives, qui détermine ceux de ces dossiers dont elle entend assurer la conservation indéfinie pour des raisons d’intérêt scientifique, statistique ou historique.

• Les données issues d’un dispositif de vidéosurveillance (1 mois)
  • L’article L. 252-3 du Code de la sécurité intérieure prévoit que « les modalités de transmission des images et d’accès aux enregistrements ainsi que la durée de conservation des images, dans la limite d’un mois à compter de cette transmission ou de cet accès, sans préjudice des nécessités de leur conservation pour les besoins d’une procédure pénale. »

==> Sur les textes posant des délais de prescription/forclusion applicable en matière civile, commerciale ou fiscale

• Délai de prescription de droit commun en matière en matière civile (5 ans)
  • L’article 2224 prévoit que les actions personnelles ou mobilières se prescrivent par cinq ans à compter du jour où le titulaire d’un droit a connu ou aurait dû connaître les faits lui permettant de l’exercer.

• Délai de prescription en matière commerciale (5 ans)
  • L’article L. 110-4 du Code de commerce prévoit que les obligations nées à l’occasion de leur commerce entre commerçants ou entre commerçants et non-commerçants se prescrivent par cinq ans si elles ne sont pas soumises à des prescriptions spéciales plus courtes.

• Délai de prescription en matière de droit de la consommation (2 ans)
  • L’article L. 218-2 du Code de la consommation dispose que l’action des professionnels, pour les biens ou les services qu’ils fournissent aux consommateurs, se prescrit par deux ans.

2. Sur les délibérations de la CNIL

• Prospection commerciale
  • La CNIL s’est prononcée sur la durée de conservation des données à caractère personnel en matière de prospection commerciale dans une délibération n° 2016-264 du 21 juillet 2016 portant modification d’une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects
  • A cet égard, il a estimé que les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant un délai de trois ans à compter de la fin de la relation commerciale (par exemple, à compter d’un achat, de la date d’expiration d’une garantie, du terme d’un contrat de prestations de services ou du dernier contact émanant du client).
  • Les données à caractère personnel relatives à un prospect non client peuvent, quant à elles, être également conservées pendant un délai de trois ans à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect (par exemple, une demande de documentation ou un clic sur un lien hypertexte contenu dans un courriel ; en revanche, l’ouverture d’un courriel ne peut être considérée comme un contact émanant du prospect).
  • Au terme de ce délai de trois ans, le responsable de traitement peut reprendre contact avec la personne concernée afin de savoir si elle souhaite continuer à recevoir des sollicitations commerciales.
  • En l’absence de réponse positive et explicite de la personne, les données devront être supprimées ou archivées conformément aux dispositions en vigueur, et notamment celles prévues par le code de commerce, le code civil et le code de la consommation.

• Données contenues dans les badges détenus par les salariés sur leur lieu de travail
  • Dans une délibération n°02-001 du 08 janvier 2002 la CNIL a considéré que les éléments d’identification des salariés ou des agents publics ne doivent pas être conservés au-delà de 5 ans après le départ du salarié ou de l’agent de l’entreprise ou de l’administration.
  • S’agissant des éléments relatifs aux déplacements des personnes, ils ne doivent pas être conservés plus de trois mois.
  • Toutefois, les informations relatives aux salariés ou aux agent publics peuvent être conservés pendant 5 ans lorsque le traitement a pour finalité le contrôle du temps de travail.
  • Quant à la conservation des données relatives aux motifs d’absence, elle est limitée à une durée de cinq ans sauf dispositions législatives contraires.
  • En cas de paiement direct ou de pré-paiement des repas, les données monétiques ne peuvent être conservées plus de trois mois. En cas de paiement par retenue sur le salaire, la durée de conservation est de 5 ans.

• Données résultant de l’évaluation et de la sélection des risques en matière d’octroi de crédit (scoring)
  • La CNIL a affirmé, dans une délibération 2006-019 du 02 février 2006 que, en cas de rejet de la demande de crédit, les informations spécialement collectées pour son instruction sont conservées au maximum pendant une période de six mois à compter du dépôt de la demande, lorsque le demandeur n’est pas par ailleurs client de l’établissement de crédit.
  • Elles ne peuvent être utilisées qu’aux fins de l’instruction de nouvelles demandes de crédit.

• Les cookies
  • La CNIL s’est prononcée sur la durée de vie des cookies dans une délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs.
  • Relevant que le consentement à être suivi peut être oublié par les personnes qui l’ont manifesté à un instant donné, la commission a estimé nécessaire de limiter dans le temps la portée de ce dernier.
  • Aussi, recommande-elle que le délai de validité du consentement au dépôt des cookies soit porté à treize mois au maximum.
  • A l’expiration de ce délai, le consentement devra être à nouveau recueilli.
  • En conséquence, les cookies doivent donc avoir une durée de vie limitée à treize mois après leur premier dépôt dans l’équipement terminal de l’utilisateur (faisant suite à l’expression du consentement) et leur durée de vie ne doit pas être prolongée lors de nouvelles visites sur le site.

D) Les modalités de conservation

Quel que soit le type d’archivage effectué par le responsable du traitement, celui-ci doit mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les données archivées contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.

Ces mesures doivent assurer un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.

Le non-respect de l’obligation de sécurité est sanctionné par l’article 226-17 du code pénal ( cinq ans d’emprisonnement et de 300 000 euros d’amende).

L’article 35 de la loi du 6 janvier 1978 prévoit, par ailleurs que le responsable du traitement, lorsque l’archivage est effectué pour son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer et qu’il doit veiller au respect de ces mesures.

La réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable de traitement et qui prévoit notamment que le sous-traitant n’agit que sur la seule instruction du responsable de traitement et que les obligations en matière de sécurité incombent également à celui-ci.

Pratiquement, dans sa délibération n°2005-213 du 11 octobre 2005, la CNIL a préconisé plusieurs modalités de conservation selon le type d’archive concernée :

• S’agissant des archives intermédiaires, il est recommandé que l’accès à celles-ci soit limité à un service spécifique (par exemple un service du contentieux) et qu’il soit procédé, a minima, à un isolement des données archivées au moyen d’une séparation logique (gestion des droits d’accès et des habilitations).
• S’agissant des archives définitives, il est recommandé qu’elles soient conservées sur un support indépendant, non accessible par les systèmes de production, n’autorisant qu’un accès distinct, ponctuel et précisément motivé auprès d’un service spécifique seul habilité à consulter ce type d’archives (par exemple la direction des archives de l’entreprise).

La CNIL recommande, en outre, afin de garantir l’intégrité des données archivées, de mettre en œuvre des dispositifs sécurisés lors de tout changement de support de stockage des données archivées ainsi que des dispositifs de traçabilité des consultations des données archivées.

§2 : Les dérogations

L’article 36 de la LIL dispose que « les données à caractère personnel ne peuvent être conservées au-delà de la durée prévue au 5° de l’article 6 qu’en vue d’être traitées à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques »

Ainsi, est autorisée la conservation de données à caractères personnel pour une durée qui excède la finalité initiale du traitement lorsqu’elles sont traitées à des fins historiques, statistiques ou scientifiques.

Dans le même sens, l’article 5, e) du RGPD prévoit que « les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) ».

Si, le RGPD ne semble pas distinguer selon la nature des archives conservées, tel n’est pas le cas de la LIL qui renvoie à l’article L. 212-3 du Code du patrimoine.

Cette disposition ne concerne, en effet, que les seules archives publiques.

Par archives publiques, il faut entendre, au sens de l’article L. 211-4 du Code du patrimoine :

• Les documents qui procèdent de l’activité de l’Etat, des collectivités territoriales, des établissements publics et des autres personnes morales de droit public. Les actes et documents des assemblées parlementaires sont régis par l’ordonnance n° 58-1100 du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires ;
• Les documents qui procèdent de la gestion d’un service public ou de l’exercice d’une mission de service public par des personnes de droit privé ;
• Les minutes et répertoires des officiers publics ou ministériels et les registres de conventions notariées de pacte civil de solidarité.

L’article 89 du RGPD précise que le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques est soumis, conformément au présent règlement, à des garanties appropriées pour les droits et libertés de la personne concernée.

Ces garanties doivent garantir la mise en place de mesures techniques et organisationnelles, en particulier pour assurer le respect du principe de minimisation des données. Ces mesures peuvent comprendre la pseudonymisation, dans la mesure où ces finalités peuvent être atteintes de cette manière.

Chaque fois que ces finalités peuvent être atteintes par un traitement ultérieur ne permettant pas ou plus l’identification des personnes concernées, il convient de procéder de cette manière.

Le considérant n°158 du RGPD précise que lorsque les données à caractère personnel sont traitées à des fins archivistiques, les autorités publiques ou les organismes publics ou privés qui conservent des archives dans l’intérêt public doivent être des services qui, en vertu du droit de l’Union ou du droit d’un État membre, ont l’obligation légale de collecter, de conserver, d’évaluer, d’organiser, de décrire, de communiquer, de mettre en valeur, de diffuser des archives qui sont à conserver à titre définitif dans l’intérêt public général et d’y donner accès.