Données à caractère personnel : conservation et suppression

Données personnelles 10316 Vues

La question de la conservation et de la suppression des données personnelles est épineuse. En effet, une durée de conservation doit obligatoirement être établie. Combien de temps peuvent-elles être conservées ? Peut-on demander leur suppression ? Quelles sont les sanctions en cas de non-respect de ce principe ?
Données à caractère personnel : conservation et suppression

Données à caractère personnel et traitement de ces données 

Avant d’aller plus loin, revenons tout d’abord sur la notion de donnée à caractère personnel. La Commission nationale de l'informatique et des libertés (CNIL) de France la définit comme :

Toute information susceptible de permettre d’identifier, directement ou indirectement, une personne physique.

Il peut par exemple s’agir, d’un nom, d’un numéro de téléphone, d’une adresse IP ou encore d’un numéro client. 

Le traitement de ces données, c’est-à-dire, leur collecte et leur utilisation, est réglementé par la loi Informatique et Libertés du 6 janvier 1978 et par le Règlement Général sur la Protection des Données (RGPD), entré en vigueur le 25 mai 2018. Parmi les principes qu’ils contiennent, on peut notamment retrouver celui de la limitation de la durée de conservation.

En effet, chaque organisme ou entreprise qui traite ce type de donnée est tenue de mettre en place les mesures nécessaires afin de gérer les données personnelles traitées et leur durée de conservation. 

L’article 6 5° de la loi Informatique et Libertés dispose que les données :

Sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

L’article 5 du RGPD énonce quant à lui plusieurs principes, notamment celui qui impose à chaque responsable de traitement de données personnelles de fixer une durée de conservation logique et justifiée. Il est impossible de les conserver indéfiniment, sans limitation de durée, sauf exception. 

Ce principe s'articule avec le régime juridique des archives publiques. L’article L211-1 du Code du patrimoine définit les archives comme :

L'ensemble des documents, y compris les données, quels que soient leur date, leur lieu de conservation, leur forme et leur support, produits ou reçus par toute personne physique ou morale et par tout service ou organisme public ou privé dans l'exercice de leur activité.

Leur conversation est quant à elle régie par les articles L 211-1 et suivants du Code du Patrimoine.

Le cycle de vie d’une donnée à caractère personnel

Le principe est que ces données doivent être effacées dès que l’objectif du traitement est atteint. Toutefois, une donnée peut avoir plusieurs utilités et n’est donc pas systématiquement effacée dès la fin de la première étape, tout dépend de la situation.

Au total, trois phases peuvent être identifiées durant le cycle de vie d’une donnée à caractère personnel. En effet, une donnée peut avoir plusieurs utilités successives :

  1. La conservation en base active

    Rappelons tout d’abord que tout traitement de données à caractère personnel doit avoir une finalité bien précise permettant de le justifier. Cette étape correspond à la durée nécessaire à la réalisation de cet objectif.

  2. L’archivage intermédiaire

    Ici, les données ne sont plus utilisées dans le but d’atteindre la finalité établie dès le départ, mais plutôt car elles présentent un tout autre intérêt administratif pour l'organisme ou l’entreprise, ou bien, car elles doivent être conservées pour répondre à une obligation légale.

    C’est le cas des données de facturation qui doivent être gardées au minimum dix ans, comme l’indique le Code de commerce.

    Dans ce cas, elles peuvent être consultées ponctuellement, sur motif, et seulement par des personnes habilitées.

  3. L'archivage définitif

    C’est un cas beaucoup plus rare, mais qui arrive : certaines données sont archivées définitivement, en raison de leur valeur et de leur intérêt. 

La conservation en base active est une étape inévitable. En revanche, les deux autres étapes ne sont pas mises en place de manière systématique, l’évaluation se fait au cas par cas. 

Bon Ă  savoir :

A l’issue de ce cycle, au lieu d’être supprimées, les données peuvent être anonymisées afin de rendre impossible l’identification des personnes en question. Une fois ce processus réalisé, elles ne sont plus considérées comme ayant un caractère personnel. Par conséquent, le RGPD ne s’applique pas.

La durée de conservation des données à caractère personnelle

Mais alors, quelle est la durée de conservation en vigueur ? Et bien, tout dépend de la situation. Il arrive que cette durée soit fixée par les textes comme par exemple : 

  • Les dispositions lĂ©gales ou rĂ©glementaires comme le Code de la santĂ©, du travail ou de la sĂ©curitĂ© intĂ©rieure. Des articles imposent des durĂ©es minimales ou maximales de conservation. C'est le cas de l’article L3243-4 du Code du travail qui impose Ă  l’employeur de conserver un double du bulletin de paie du salariĂ© pendant une durĂ©e minimale de 5 ans ou de l’article L 252-3 du code la sĂ©curitĂ© intĂ©rieure limitant la conservation des images de vidĂ©o protection Ă  un mois ;
  • Les dĂ©libĂ©rations de la CNIL (Commission nationale de l'informatique et des libertĂ©s).

Cependant, pour de nombreux traitements de données, la durée de conservation n’est fixée par aucune source. Par conséquent, il revient au responsable du traitement de l’établir en fonction de sa finalité.

Attention :

Pour pouvoir contrôler ces durées, le RGPD impose la tenue d'un registre des traitements qui doit être communiqué aux autorités compétentes en cas de demande. Celui-ci doit notamment recenser les différentes catégories de données personnelles traitées par le responsable, les traitements réalisés, leurs finalités et les entités participant au traitement.

Afin d’aiguiller et de guider le responsable du traitement à fixer une durée de conservation adaptée, la Commission nationale de l'informatique et des libertés a mis en ligne un guide pratique répondant aux interrogations les plus fréquentes.

La suppression des données à caractère personnel sur demande 

Le RGPD donne la possibilité aux personnes de demander la suppression des données les concernant (le droit à l’effacement). Les responsables du traitement de ces données n’ont d’autre choix que d’accepter, à l’exception des situations suivantes :

  • les donnĂ©es en question sont indispensables Ă  l’exercice du droit Ă  la libertĂ© d’expression ;
  • une obligation lĂ©gale impose de les conserver ;
  • pour des raisons d’intĂ©rĂŞt public.

Par exemple, prenons le cas d’une entreprise qui dirige un journal en ligne. Un article est publié et concerne un homme politique qui a blanchi de l’argent. Suite à cette parution, ce dernier demande sa suppression, car des données à caractère personnel à son sujet ont été traitées. Toutefois, étant utilisées pour exercer un droit à la liberté d’expression, l’entité n’est en principe pas dans l’obligation de les effacer. Il est toutefois nécessaire de se référer à la législation nationale en vigueur.

Sanctions encourues en cas de non-respect

En cas de non-respect du principe de la limitation de la durée de conservation des données à caractère personnel, l’article 83 5. du RGPD prévoit une amende pouvant s’élever jusqu’à 20 000 000 euros ou, s’il s’agit d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent.

Des contrôles sont réalisés par la Commission nationale de l'informatique et des libertés (CNIL) durant lesquels ces durées sont vérifiées. Les manquements les plus fréquents sont : le fait de ne pas avoir fixé de durée de conservation des données, des durées établies trop excessives ou l’absence de mécanisme de purge afin de les faire disparaître.

Exemples de non-respect du principe de limitation de la durée de conservation

  • Dans une dĂ©libĂ©ration du 20 juillet 2021, la Commission nationale de l'informatique et des libertĂ©s (CNIL) a sanctionnĂ© la sociĂ©tĂ© de groupe d'assurance mutuelle AG2R LA MONDIALE Ă  une amende de 1 750 000 euros pour avoir manquĂ© aux obligations mises en place par le RGPD relatives aux durĂ©es de conservation et Ă  l’information des personnes. En l’espèce, la sociĂ©tĂ© conservait les donnĂ©es de millions de personnes pendant une durĂ©e jugĂ©e excessive et ne se conformait pas aux obligations d’information dans le cadre de campagnes de ses dĂ©marchages tĂ©lĂ©phoniques.
  • Autre affaire : la Commission nationale de l'informatique et des libertĂ©s a retenu plusieurs manquements au RGPD Ă  l’encontre de La SociĂ©tĂ© nouvelle de l’annuaire français. On retrouve notamment un manquement Ă  l’obligation de respecter les demandes de rectification et d’effacement des donnĂ©es, de mettre en Ĺ“uvre un registre des activitĂ©s de traitement et de coopĂ©rer avec la Commission. Une amende de 3000 euros a donc Ă©tĂ© proclamĂ©e Ă  son encontre. Pour fixer son montant, la taille de la sociĂ©tĂ© ainsi que sa situation financière ont Ă©tĂ© prises en compte.
  • Et enfin, autre dĂ©cision et non des moindres : le 16 juillet 2021, la Commission Nationale pour la Protection des DonnĂ©es luxembourgeoise, l’équivalent de la Commission nationale de l'informatique et des libertĂ©s, a condamnĂ© la sociĂ©tĂ© Amazon Europe Core au paiement d’une amende d’un montant de 746 000 000 euros. C'est une dĂ©cision inĂ©dite dans le secteur. En effet, la sociĂ©tĂ© recourrait au traitement de donnĂ©es personnelles sans base lĂ©gale dans le but de rĂ©aliser des analyses comportementales ainsi qu’un ciblage publicitaire.

Comme nous avons pu le constater, la conservation et la suppression des données personnelles sont des principes qui ne sont pas pris à la légère et qu’il est nécessaire de respecter scrupuleusement. À défaut, de lourdes sanctions peuvent être prononcées. 

Image de AnaĂŻs ROBIN

Juriste, titulaire d'un Master 2 Droit de la coopération économique et des affaires internationales à l'université de Hanoï, Vietnam et d'un Master 1 Droit privé international et comparé à l'université de Turin, Italie.

Obtenez un devis en 24 heures par nos avocats
Prestation demandée :
Pays ou organisation :
Type de contrat :
Votre besoin :
Votre besoin :
Votre besoin :
Vos informations :

* : champs obligatoires

Lectures en lien
un batiment Ă  l'architecture moderne
Donnees personnelles 14743 Vues

La revente (cession) de fichiers clients est soumise à une législation stricte, son non-respect est sanctionné par une peine pouvant aller jusqu'à 5 ans de prison et 300 000 euros d'amende. Découvrez quelles sont les modalités et conditions de revente d'un fichier de clients via internet.

poteau sur lequel il est Ă©crit "big data is watching you"
Donnees personnelles 4474 Vues

Depuis son entrée le vigueur le 25 mai 2018, le règlement général sur la protection des données, autrement appelé RGPD, a considérablement changé la façon dont les administrateurs de sites internet traitent les données collectées auprès de leurs clients.

application google sur smartphone
Donnees personnelles 4497 Vues

La publicité sur internet permet de présenter des produits à des consommateurs intéressés, elle est en cela plus efficace que la publicité traditionnelle. Toutefois, Google Ads se montre vigilant et les annonceurs doivent donc veiller au respect des règles de confidentialité.

un batiment Ă  l'architecture moderne
Donnees personnelles 7700 Vues

Que désigne l'expression "données sensibles" ? Quelles sont les conditions de stockage et d’hébergement des données médicales, données dites sensibles ? Quels sont les hébergeurs agréés ?

un graphique sur un Ă©cran d'ordinateur
Donnees personnelles 4572 Vues

Quelles sont les obligations d'un éditeur, ou hébergeur, d'un site internet concernant la conservation des données personnelles de leurs utilisateurs et visiteurs ? Apport du décret du décret n° 2011-219 du 25 février 2011.

un Ă©cran d'ordinateur montrant le site Facebook
Donnees personnelles 7163 Vues

Le Règlement Général sur la Protection des Données, dit RGPD, a été voté en 2016 et est entré en vigueur le 25 mai 2018. De ce règlement découle un certain nombre d'obligations qui pèsent sur le responsable de traitement, notamment la tenue d'un registre des activités de traitement de données à caractère personnel.

un graphique sur un Ă©cran d'ordinateur
Donnees personnelles 5717 Vues

Le délégué à la protection des données, "Data Protection Officer" (DPO) en anglais, a été instauré par le RGPD, entré en vigueur le 25 mai 2018. Le DPO jouit d'une grande indépendance dans l'exercice de ses fonctions et doit veiller au bon respect du RGPD dans l'entreprise.

une personne tapant au clavier de son pc portable
Donnees personnelles 34880 Vues

L’identification d’une personne sur un site internet à partir de son adresse IP fait partie des problématiques relatives aux droits des internautes, que la loi puis les tribunaux encadrent et contrôlent. Plus précisément, est concernée l’épineuse question de la collecte et du traitement des données à caractère personnel.

une personne consultant des statistiques
Donnees personnelles 5316 Vues

Qu'est-ce que le RGPD ? Comment se mettre en conformité ? Quelles nouvelles obligations découlent du RGPD pour les sites internet ? Le RGPD, entré en vigueur le 25 mai 2018, consacre de nouveaux droits protecteurs au profit des internautes et impose de nouvelles obligations aux responsables de traitement.

des rangées de caméras accrochées à un mur
Donnees personnelles 8138 Vues

Depuis l'entrée en vigueur du RGPD, le 25 mai 2018, les déclarations auprès de la CNIL n'existent plus. La responsabilité du responsable de traitement s'en trouvant accrue, il est indispensable pour les organismes de se munir d'une politique de confidentialité.

une personne utilisant Google Analytics sur son ordinateur portable
Donnees personnelles 5274 Vues

Depuis l'entrée en vigueur du RGPD, le traitement de données à caractère personnel est conditionné à la mise en place de mesures de sécurité afin de les protéger. L’établissement d’une cartographie des données à caractère personnel apparaît comme la solution pour faciliter leur gestion et garantir leur protection.

une caméra sur un mur
Donnees personnelles 4239 Vues

Vous avez sûrement entendu parler du Règlement Général sur la Protection des Données, dit RGPD. Entré en vigueur en 2018, il a révolutionné le traitement des données personnelles au niveau européen. Comment s’applique-t-il ? Quelle est sa portée ? Nous y répondons dans cet article.

des personnes vues d'en haut en train de marcher sur un passage piéton
Donnees personnelles 11138 Vues

L’entrée en vigueur du Règlement général sur la protection des données et les réglementations existantes en la matière ont soulevé de nombreuses questions quant au traitement des données personnelles. Il existe aujourd’hui différentes méthodes pour les protéger, notamment celle de l’anonymisation des données.

photo prise du ciel d'un continent pendant la nuit
Donnees personnelles 4189 Vues

Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données, dit RGPD, de nombreuses structures s’inquiètent de ne pas répondre à ses exigences. L’audit de conformité au RGPD apparaît être l’outil idéal pour être sûr de s’y conformer. Pourquoi faire un tel audit ? Quelles sont les principales étapes ?

une personne utilisant un ordinateur portable
Donnees personnelles 3296 Vues

Depuis l’entrée en vigueur en 2018 du Règlement général sur la protection des données, communément appelé RGPD, la mise en conformité au règlement est devenue un enjeu majeur pour les organismes concernés. C’est un processus qui passe par plusieurs étapes, que nous vous présentons ci-dessous.