Article 5. e) du Règlement Général sur la Protection des données (RGPD).
La durée de conservation des données doit être limitée
La durée de conservation des données à caractère personnel et leur suppression est imposée par l’article 5. e) du Règlement Général sur la Protection des données (RGPD).
Leur conservation doit être maîtrisée et limitée au temps nécessaire à la satisfaction des objectifs poursuivis par leur collecte ainsi qu’au respect des obligations légales.
Pour chaque traitement mis en œuvre, une durée de conservation des données doit être définie.
Lorsque l’organisme a satisfait l’objectif poursuivi par la collecte des données, elles doivent être :
- Effacées
- Ou anonymisées afin de rendre impossible la réidentification de la personne
- Ou archivées sous certaines conditions
Comment fixer la durée de conservation des données ?
La durée de conservation des données est définie dans l’objectif de satisfaire la finalité de traitement.
Il existe deux possibilités de déterminer cette durée :
- Une durée fixe, exemple : l’entreprise a fixé une durée de conservation d’1 an
- Ou un critère objectif utilisé pour déterminer cette durée, exemple : le temps de la relation contractuelle
Pour certains cas, une obligatoire légale fixe une durée de conservation.
Exemples :
- Les dossiers médicaux doivent être conservés pour une durée de 20 ans à compter de la date du dernier séjour ou de la dernière consultation (R.1112-7 CSP)
- Les données relatives à la traçabilité des dispositifs médicaux doivent être conservées pendant 10 ans (R.5212-37 CSP)
- Le délai de prescription des actions en responsabilité des professionnels de santé ou établissement de santé est de 10 ans à compter de la consolidation du dommage (L.1142-28 CSP)
Quel est le cycle de vie de la donnée personnelle ?
Première phase – Base active
Les données sont conservées le temps nécessaire à leur utilisation courante pour satisfaire la finalité du traitement. Lorsque cet objectif est satisfait, elles doivent être supprimées ou anonymisées sauf si une obligation légale impose une conservation plus longue.
Deuxième phase – Archivage intermédiaire
Les données peuvent donc nécessiter une conservation plus longue pour répondre à une obligation légale, par exemple en cas de contentieux.
Cependant, elle obéit à des conditions particulières. Les données ne doivent pas être réutilisées à d’autres fins. De plus, elles doivent être conservées séparément de la base active, par une séparation physique ou logique (par exemple avec des accès restreints). Également, un tri sélectif peut être opéré pour ne garder que les données indispensables.
Une fois cette objectif rempli, les données doivent être supprimées de manière définitive ou anonymisées.
Troisième phase – Archivage définitif
Elle concerne essentiellement le secteur public soumis aux dispositions du Code de patrimoine et conservées à des fins d’intérêt public, historique ou scientifique.
Les questions à se poser
- Le service collecte-il uniquement les données nécessaires à la finalité du traitement ?
- Une durée de conservation de la donnée est-elle fixée pour chaque traitement ?
- Une fois la finalité atteinte, les données sont-elles soumises à une obligation légale de conservation ? si oui, combien de temps ?
- Cette durée de conservation est-elle notée dans le registre des traitements de données à caractère personnel ?
- L’utilisateur est-il informé de cette durée de conservation ?
- Les données sont-elles supprimées ou anonymisées une fois la durée de conservation écoulée ?