Le cycle de vie de la donnée

L’article 5 du RGPD prévoit que les données à caractère personnel doivent non seulement être traitées de manière licite, loyale et transparente, mais aussi être adéquates, pertinentes et surtout limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Ainsi, comme le prévoit le considérant 25 du RGPD, le responsable de traitement doit mettre en œuvre les mesures techniques et organisationnelles pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Or, cela s’applique autant à la quantité de données à caractère personnel collectées, qu’à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité.

La donnée, loin de n’être qu’un actif statique, doit avant être considérée comme un outil vivant et dynamique. En effet, une donnée obéit à u cycle de vie durant lequel une même donnée peut avoir plusieurs utilités successives : pour chacune de ces utilités, une durée différente peut donc s’appliquer. En conséquence, pour un même traitement de données à caractère personnel, le responsable de traitement doit prévoir plusieurs durées de conservation et des modalités d’accès différentes.

  • La première phase est appelée base active : cette première étape renvoie à l’utilisation courante des données personnelles par les services chargés de la mise en œuvre du traitement. Durant cette phase, la durée de conservation des données correspond à la durée nécessaire pour accomplir la finalité déterminée, c’est-à-dire l’objectif fixé. Concrètement, il s’agit de la période pendant laquelle les données sont à la disposition des services chargés de la mise en œuvre.

Exemple : en matière de recrutement, le curriculum vitae et le CV, en tant que données à caractère personnel, vont être conservées en base active pendant tout le temps nécessaire à la réalisation de la campagne de recrutement ainsi qu’à la prise de décision de l’employeur. Durant cette phase, les données sont accessibles à toute personne intervenant dans le processus de recrutement.

  • La seconde phase est appelée base intermédiaire : au cours de cette étape, les données ne sont plus utilisées pour atteindre l’objectif fixé mais présentent encore un intérêt administratif pour l’organisme ou doivent être conservées pour répondre à une obligation légale. Durant cette phase, une fois que les données ont « rempli leur rôle initial », elles peuvent toutefois s’avérer nécessaire pour répondre à une obligation légale, ou constituer des éléments de preuve d’un contentieux par exemple.

Exemple : une fois la campagne de recrutement finie, le curriculum vitae et le CV peuvent être conservés pendant une durée plus longue, par exemple à des fins de prévention d’un éventuel contentieux. Cependant, au cours de cette phase, les données ne sont accessibles qu’à un nombre limité de personnes.

  • La troisième phase correspond à l’archivage définitif : cette phase concerne exclusivement les traitements mis en œuvre à des fins archivistiques dans l’intérêt public et s’applique, essentiellement, dans le secteur public soumis au code du patrimoine. Dans le secteur privé, à l’issue de la durée intermédiaire, les données doivent soit être supprimées, soit être anonymisées. L’anonymisation renvoie à un procédé spécifique qui rend impossible pour quiconque la réidentification des personnes concernées.

Les référentiels spécifiques et sectoriels applicables :

Si le responsable de traitement, en tant qu’il détermine les finalités et moyens du traitement, est chargé de définir les durées de conservation appropriées, en base active ou intermédiaire, il peut toujours s’appuyer sur le cadre de référence produits par la CNIL qui pourront lui permettre de mettre en conformité les traitements de données qu’ils souhaitent mettre en œuvre.

Ø  Dans le domaine de la santé :

Attention, certains référentiels santé constituent des outils contraignants dont le strict respect doit être respecté par le responsable de traitement. En l’absence de conformité à ces référentiels, le responsable de traitement devra adresser une demande d’autorisation avant la mise en œuvre du traitement. En tout état de cause, qu’ils soient contraignants ou pas, l’ensemble des référentiels en matière de santé comprennent des indications sur les durées de conservation qui peuvent, ou doivent être appliquées :

Ø  Dans le secteur médico-social :

Récemment, la CNIL a publié un référentiel spécifiquement applicable aux acteurs du secteur médico-social qui comprend des indications sur les durées de conservation qui peuvent être appliquées pour les traitements dont la mise en œuvre est envisagée :

Ø  Dans le secteur commercial :

En 2022, la CNIL a adopté deux nouveaux référentiels afin de guider les organismes concernés dans la mise en conformité de leurs activités de gestion commerciale et de gestion de leurs impayés.

Ø  Dans le secteur des ressources humaines :

Secteur particulièrement impacté pour le droit lié à la protection des données et qui s’applique autant aux organismes privés que publics, les ressources humaines font l’objet d’une documentation fournie de la part de la CNIL que ce soit en matière de gestion du personnel ou de recrutement.

Les outils essentiels :

En tant qu’outil essentiel au pilotage du cycle de vie de la donnée, les organismes publics comme privés sont encouragés à mettre en place un référentiel des durées de conservation interne qui recense l’ensemble des durées de conservation des données, en cycle actif ou intermédiaire.

Pour ce faire, les organismes publics comme privées peuvent consulter le moteur de recherche gratuit développé par « CODE IS LAW » qui regroupe l’ensemble des durées de conservation prévues dans les référentiels de la CNIL à l’adresse suivante : https://www.durées-de-conservation.fr

En effet, cet outil permettra au responsable de traitement de « (…) prévoir (…) une base de données d’archives dédiées ou une séparation logique dans la base de données actives. Cette séparation logique doit notamment être assurée par la mise en place de mesures techniques et organisationnelles qui permettent que seules les personnes ayant un intérêt à les traites en raison de leurs fonctions puissent y accéder » (Délibération SAN-2023-023)

En complément, l’organisme ne peut être qu’encouragé à mettre en place une politique de conservation des données sur la base des durées de conservation déterminées dans le référentiel afin de prévoir les contrôles d’accès pertinentes.

Enfin, lorsque l’organisme sous-traite le traitement des données personnelles, il est nécessaire que ce dernier prévoit dans le contrat de sous-traitance non seulement les durées de conservation adaptées, en tant que responsable de traitement, mais qu’il précise aussi si ce dernier doit supprimer les données à caractère personnel ou les renvoyer au terme de la prestation de services relatifs au traitement, tout en détruisant les copies existantes sous réserve des dispositions légales existantes.

Vincent Ubino

Nos derniers articles

A la recherche d'un DPO externe, d’un accompagnement ou d’une formation RGPD ?

Notre équipe est à votre disposition pour découvrir vos besoins et vous proposer une méthodologie d'intervention adaptée.

Nous contacter