Principe de temporalité : durée de conservation des données RGPD

L’essentiel. Les données personnelles ne peuvent être conservées que pour une durée nécessaire aux finalités du traitement. Le dépassement de cette durée expose à des sanctions administratives (CNIL) et pénales (art. 226-20 Code pénal — 5 ans d’emprisonnement et 300 000 € d’amende).

Le principe de temporalité dans le RGPD et la loi Informatique et Libertés

Le principe de temporalité, plus connu sous le nom de “limitation de la conservation” ou “droit à l’oubli”, est l’un des principes fondamentaux de la protection des données. Il est aujourd’hui posé par l’article 5(1)(e) du RGPD :

“[Les données] sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.”

Cette obligation est complétée en droit français par l’article 6 de la loi Informatique et Libertés et son régime pénal spécifique. Concrètement, le responsable du traitement doit, pour chaque traitement de données personnelles qu’il met en œuvre, déterminer une durée de conservation adaptée à la finalité et la documenter dans son registre des traitements RGPD.

Déterminer la bonne durée de conservation

Les délais de conservation suscitent souvent d’importants questionnements : la durée sera-t-elle proportionnée en pratique ? Permettra-t-elle un traitement efficace ? Ces interrogations sont fondées car la loi ne donne aucune indication précise quant aux délais à respecter selon les traitements mis en œuvre. Tout est donc question d’estimation par le responsable de traitement.

Pour ce faire, plusieurs méthodes sont à combiner :

• Référentiels CNIL : la CNIL publie régulièrement des référentiels sectoriels (RH, santé, vidéosurveillance, marketing) qui fixent des durées indicatives. Ces référentiels constituent la base la plus sûre.
• Délais de prescription légale : pour les traitements liés à la facturation, à la comptabilité ou aux contentieux, les délais de prescription commerciale (5 ans pour les actions entre commerçants, 2 ans pour les actions des consommateurs, 10 ans pour les pièces comptables) servent de bornes objectives.
• Délais réglementaires sectoriels : certains secteurs (banque, santé, télécommunications) imposent des durées minimales de conservation, qui s’imposent au RGPD sur le fondement de l’obligation légale (Art. 6(1)©).
• Estimation au regard de la finalité : à défaut de référentiel, le responsable doit justifier sa durée en lien direct avec les finalités déclarées.

Une réserve de prudence s’impose : les sociétés commerciales ont souvent une tendance naturelle à pratiquer des délais de conservation excessifs. La CNIL sanctionne régulièrement la conservation “au cas où”, qui méconnaît à la fois le principe de temporalité et celui de minimisation.

Les exceptions limitatives à la durée maximale

Au-delà du délai principal, la loi ne permet la conservation des données que dans des cas très limités. Le premier vise les situations où les données sont conservées en vue d’être traitées à des fins archivistiques, statistiques ou scientifiques (Art. 89 RGPD et art. 36 LIL). Dans ce cas, les données relèvent alors des dispositions relatives aux archives, ce qui implique notamment des mesures de pseudonymisation et un cantonnement des accès.

Quelques autres exceptions sont prévues :

• L’accord exprès de la personne concernée (en pratique rare et fragile)
• L’autorisation expresse de la CNIL
• Les cas particuliers liés au traitement de données sensibles, encadrés par l’article 36 LIL

Le risque pénal : article 226-20 du Code pénal

Une fois le délai déterminé, il est très important de le respecter à la lettre car l’article 226-20 du Code pénal sanctionne le fait de conserver des données au-delà de la durée prévue :

“Le fait de conserver des données à caractère personnel au-delà de la durée prévue [initialement] est puni de cinq ans d’emprisonnement et de 300 000 € d’amende, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi (…)”

L’infraction de l’article 226-20 est extrêmement simple dans sa formulation et constitue un véritable risque pour les organisations : le seul fait de conserver une donnée au-delà des délais déclarés matérialise le délit pénal.

Ainsi en a jugé, par exemple, la Cour d’appel de Paris dans une affaire dans laquelle elle condamnait, sur le fondement de l’article 226-20, le responsable du traitement pour avoir conservé en mémoire des données au-delà de la durée initialement prévue (CA Paris, 11e ch., 15 févr. 1994).

Mise en œuvre opérationnelle : politiques de purge et automatisation

Une attention particulière doit être portée sur la détermination du délai ainsi que sur les moyens mis en œuvre pour s’assurer que les données ne soient pas traitées au-delà de la durée initiale. Des procédures particulières de vérification doivent donc être mises en œuvre par les organisations afin de s’assurer du respect de cette obligation.

Concrètement, trois leviers techniques doivent être combinés :

• Politiques de purge automatisée dans les outils métiers (CRM, ERP, SIRH, e-commerce). Chaque champ ou enregistrement contenant des données personnelles doit être associé à une règle de purge applicable à l’échéance.
• Archivage intermédiaire pour les données nécessaires à la défense de droits en justice ou à la conservation comptable, avec accès limité et durée maximale documentée.
• Audits de conformité périodiques (audit RGPD) pour vérifier que les politiques sont effectivement appliquées dans les systèmes — la documentation théorique ne suffit pas, c’est l’effectivité qui est contrôlée par la CNIL.

Le principe de temporalité s’articule avec les autres principes essentiels du RGPD : principe de finalité, principe d’exactitude, proportionnalité. Tous se complètent dans la définition d’un traitement licite et conforme.