L’article 5 du RGPD prévoit que les données à caractère personnel doivent non seulement être traitées de manière licite, loyale et transparente, mais aussi être adéquates, pertinentes et surtout limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
Ainsi, comme le prévoit le considérant 25 du RGPD, le responsable de traitement doit mettre en œuvre les mesures techniques et organisationnelles pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Or, cela s’applique autant à la quantité de données à caractère personnel collectées, qu’à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité.
La donnée, loin de n’être qu’un actif statique, doit avant être considérée comme un outil vivant et dynamique. En effet, une donnée obéit à u cycle de vie durant lequel une même donnée peut avoir plusieurs utilités successives : pour chacune de ces utilités, une durée différente peut donc s’appliquer. En conséquence, pour un même traitement de données à caractère personnel, le responsable de traitement doit prévoir plusieurs durées de conservation et des modalités d’accès différentes.
La première phase est appelée base active : cette première étape renvoie à l’utilisation courante des données personnelles par les services chargés de la mise en œuvre du traitement. Durant cette phase, la durée de conservation des données correspond à la durée nécessaire pour accomplir la finalité déterminée, c’est-à-dire l’objectif fixé. Concrètement, il s’agit de la période pendant laquelle les données sont à la disposition des services chargés de la mise en œuvre.
Exemple : en matière de recrutement, le curriculum vitae et le CV, en tant que données à caractère personnel, vont être conservées en base active pendant tout le temps nécessaire à la réalisation de la campagne de recrutement ainsi qu’à la prise de décision de l’employeur. Durant cette phase, les données sont accessibles à toute personne intervenant dans le processus de recrutement.
La seconde phase est appelée base intermédiaire : au cours de cette étape, les données ne sont plus utilisées pour atteindre l’objectif fixé mais présentent encore un intérêt administratif pour l’organisme ou doivent être conservées pour répondre à une obligation légale. Durant cette phase, une fois que les données ont « rempli leur rôle initial », elles peuvent toutefois s’avérer nécessaire pour répondre à une obligation légale, ou constituer des éléments de preuve d’un contentieux par exemple.
Exemple : une fois la campagne de recrutement finie, le curriculum vitae et le CV peuvent être conservés pendant une durée plus longue, par exemple à des fins de prévention d’un éventuel contentieux. Cependant, au cours de cette phase, les données ne sont accessibles qu’à un nombre limité de personnes.
La troisième phase correspond à l’archivage définitif : cette phase concerne exclusivement les traitements mis en œuvre à des fins archivistiques dans l’intérêt public et s’applique, essentiellement, dans le secteur public soumis au code du patrimoine. Dans le secteur privé, à l’issue de la durée intermédiaire, les données doivent soit être supprimées, soit être anonymisées. L’anonymisation renvoie à un procédé spécifique qui rend impossible pour quiconque la réidentification des personnes concernées.
