conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées;
De là se pose néanmoins une question délicate : comment déterminer en pratique cette durée. Le RGPD impose que celle-ci n’excède pas la durée nécessaire aux finalités mais ce critère peut sembler vague au premier abord (en particulier pour les non-juristes) ; il est donc important de le préciser (I). Ensuite, rien de mieux qu’une série d’exemples pour bien comprendre son application (II).
Note : nous laisserons de côté dans cet article la question des délais de traitement pour des finalités archivistiques, ou des fins de recherche scientifique qui sont très spécifiques
I - Les critères juridiques qui définissent la durée de conservation
Il y a globalement deux critères juridiques qui déterminent la durée de conservation des données personnelles : cette durée doit être liée aux finalités définies par le responsable de traitement (A) ; et elle ne doit pas être excessive (B).
Notez que s’il est utile de comprendre ces critères juridiques, vous pouvez accélérer les choses en vous basant sur un logiciel de gestion du registre qui pré-documente les traitements standards ; vos délais seront déjà documentés et vous n’aurez plus qu’à les importer dans votre registre en un clic (voici un exemple pour les traitements clients-prospects) :
A - La durée doit être fixée par rapport aux finalités du traitement
Pour expliquer comment fixer le délai de conservation des données, le mieux est de prendre un exemple pratique. Admettons que nous souhaitons créer une newsletter pour notre blog afin d’envoyer des informations sur les activités de notre entreprise. Il nous faut alors d’abord définir les finalités du traitement ; ici, l’envoi d’une newsletter sur les activités de l’organisation. Cette opération est la première étape qui est indispensable à la définition des délais de traitement.
À partir de là, nous allons pouvoir nous poser la question : combien de temps avons-nous besoin de traiter les données personnelles ?
Relativement à la newsletter, on peut dire de manière très claire qu’il est a minima indispensable de traiter les données tant que la personne est inscrite à notre newsletter. À défaut, nous ne serions pas en mesure de faire fonctionner notre traitement. Ici le délai de conservation sera donc “le temps d’inscription à la newsletter”.
C’est un des éléments de complexité implicite dans la définition posée par le RGPD ; le délai doit être clairement défini, mais il peut être défini par rapport à des éléments variables : ici le temps pendant lequel une personne souhaite rester inscrite. Ce délai va donc varier en fonction des personnes, mais il est licite et respecte les critères posés par le RGPD.
Un autre exemple classique de délai variable est l’abonnement EDF. Pour une personne qui souscrit à un abonnement de fourniture d’électricité, le délai de traitement des données personnelles sera a minima, “le temps de l’abonnement”, ou “le temps du service”. En fait, en pratique, le délai est un peu plus complexe, puisqu’il faut également tenir compte des conflits juridiques qui peuvent survenir pendant la durée de l’abonnement et qui imposent de conserver les données de facturation le temps de la prescription commerciale. Ici, donc, le délai de prescription étant 5 ans, les données seront conservées le temps de l’abonnement + 5 ans.
Nous avons vu ici deux types de délais de conservation : un délai basé sur le consentement, et un délai basé sur un contrat. Il faut également mentionner que certains délais de conservation sont fixés par la loi (base légale : obligation légale). C’est le cas par exemple en matière de sécurité sociale ou la loi impose à l’employeur de collecter et traiter des données personnelles pendant certains délais spécifiques. Dans ce type de situation, les délais de conservation sont simples, puisqu’il suffit de suivre les délais imposés par la loi.
B - La durée ne doit pas être excessive
Le second critère posé par le RGPD tient au fait que le délai ne doit pas être excessif. Sur ce point le RGPD est en réalité assez strict. Si l’article 5.1.e précise que le délai ne doit pas être excessif, le considérant 39 est lui nettement plus restrictif :
(considérant 39) Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaires, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique.
Il faut donc, pour respecter l’esprit de la loi, tenter d’opérer le traitement des données personnelles le minimum de temps possible. En fait, on retrouve cette prescription dans l’article 5.1.c qui indique que le traitement des données doit être minimisé autant que possible.
Ce qui est important ici pour le responsable du traitement, c’est donc de pouvoir clairement justifier de la durée du traitement.
II Exemples pratiques de délais de traitement
Il est souvent important de vérifier l’existence d’éventuelles recommandations de la CNIL avant de fixer un délai de traitement des données, car la Commission a fixé de nombreux délais. Voici quelques exemples.
A - La prospection commerciale
La prospection commerciale suscite souvent de nombreux questionnements quant aux délais de conservation. Fort heureusement la CNIL émit des recommandations précises :
“les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant un délai de trois ans à compter de la fin de la relation commerciale (par exemple, à compter d’un achat, de la date d’expiration d’une garantie, du terme d’un contrat de prestations de services ou du dernier contact émanant du client)”
Et elle a réitéré cette même recommandation plus récemment :
“La Cnil recommande que les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans soient supprimées.”
B - La constitution d’une base CV
Pour la constitution d’une base CV, les délais de conservation reposent alors sur le consentement ; ainsi le délai sera “jusqu’à désinscription de la base” ; pour ce type de traitement standard, il est toutefois utile de prévoir un email de rappel aux candidats, vous pouvez observer la rédaction du délai dans un traitement standard Legiscope :
C - La vidéo surveillance
La mise en oeuvre d’un système de vidéosurveillance impose de conserver les données un délai maximum d’un mois:
“Dans le cas d’un dispositif de vidéosurveillance poursuivant un objectif de sécurité des biens et des personnes, la conservation des images ne peut excéder 1 mois.”
D - La gestion du personnel
La CNIL s’est également prononcée sur les délais de traitement en matière de gestion du personnel :
“Le temps de la période d’emploi de la personne concernée (sauf dispositions législatives ou réglementaires contraires). Les données relatives aux sujétions particulières ouvrant droit à congés spéciaux ou à un crédit d’heures de délégation ne sont pas conservées au-delà de la période de sujétion de l’employé concerné. Au-delà, ces données peuvent être archivées sur un support informatique distinct et à accès très limité, conformément aux règles applicables en matière d’archives publiques et d’archives privées.”