Billet actualisé
Les données personnelles ne peuvent être conservées indéfiniment. La loi veille à encadrer ce principe. Quelles sont les obligations à suivre en matière de RGPD? Et quelles sont les sanctions en cas de non-respect de ces règles ? Arkhineo vous explique !
Données personnelles : justifier leur durée de conservation et la finalité du traitement
Le Règlement Général pour la Protection des Données (RGPD) et la loi Informatique et Libertés stipulent que les données soient « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées » (article 5 et suivants). Chaque responsable de traitement doit ainsi déterminer la durée de conservation des données collectées. Il doit aussi pouvoir motiver la légitimité du traitement de ces données.
L’archivage électronique permet d’être en conformité avec les principes de protection des données personnelles et le RGPD. Les contraintes de modalités et durées de conservation liées au respect des données personnelles existaient déjà en France bien avant le RGPD. Afin de garantir la protection des données personnelles, les règles imposaient déjà (et ces principes sont maintenus) que la conservation des documents soit :
• sélective : de façon à archiver uniquement les données nécessaires au respect de l’obligation prévue ou pour faire valoir un droit en justice ;
• limitée dans le temps : les données utiles pour répondre à une obligation légale ou réglementaire doivent respecter la durée de conservation la concernant. Elles peuvent être détruites ou supprimées une fois cette durée écoulée. Pour les documents électroniques ne faisant pas l’objet d’obligation de conservation, mais destinés à faire valoir un droit en justice, ils doivent être détruits à l’échéance de cette durée;
• sécurisée : l’archivage électronique prend en compte les mesures de sécurité pour protéger les données archivées contre tout type d’événement (destruction, perte, altération, diffusion ou accès non autorisé, etc.)
Non-respect du RGPD : quelles sont les conséquences et les sanctions ?
En cas de non-respect de ces principes, le RGPD prévoit des sanctions. Elles s’appliquent vigoureusement comme le démontre le cas d’un réseau national d’agences immobilières qui avait créé un portail en ligne. L’objectif : faciliter l’échange de pièces justificatives avec ses candidats locataires.
La formation restreinte de la CNIL en charge du dossier a ainsi constaté deux manquements au RGPD. Elle les a rendus publics dans sa délibération 2019-005 du 28 mai 2019 :
• un manquement de sécurité avec un accès par n’importe quelle personne aux pièces justificatives des candidats suite à une légère modification de l’URL du portail ;
• une conservation sans limitation des pièces justificatives, et ce bien après l’attribution des logements et au-delà des délais prévus par la loi.
En conséquence, la formation de la CNIL a condamné ce réseau d’agences immobilières à une amende de 400 000€.
Et il ne s’agit là que d’un exemple parmi tant d’autres depuis 2019 et la multiplication des contrôles.
RGPD : les points clés pour la conformité
Cet exemple rappelle que les données personnelles suivent un cycle de vie. Ce dernier varie en fonction de la finalité du traitement de ces données et il convient de le respecter.
Les motivations de l’archivage électroniques sont les suivantes :
• l’obligation formelle : les différents textes législatifs et réglementaires imposent une conservation obligatoire de certains documents électroniques ;
• la justification juridique : l’archivage électronique dans ce cas intervient pour être en mesure de faire face à un contentieux judiciaire ou administratif. Il s’agit ici, afin de faire valoir ses droits, de produire devant l’autorité compétente un ou plusieurs documents ainsi que les éléments de preuve et de traçabilité associés démontrant leur recevabilité juridique.
Enfin, une destruction encadrée et maîtrisée des documents est nécessaire. Les conditions ? La conservation des données n’est plus justifiée et l’objectif du traitement de la donnée est atteint.
L’archivage électronique : un levier de conformité au RGPD
Le système d’archivage électronique (SAE) constitue un véritable engagement de transparence, d’intégrité et de sécurité en matière de gestion des données personnelles. Il aide les entreprises à conserver leurs données électroniques. En effet, le SAE assure la sécurité de bout en bout, depuis le versement jusqu’à la fin de la conservation. À savoir :
• filtrage des accès
• authentification
• chiffrement des flux client
• objet d’archive « opaque » + fichier de métadonnées séparé
• intégrité (empreintes + chaînage)
• culture de sécurité (ISO 27001)
• pas de sous-traitance
• localisation des données
Son implémentation garantit donc la confidentialité, la traçabilité, la pérennité et la réversibilité des données archivées. Le SAE propose aussi des modalités de configuration permettant un suivi fin des durées de conservation (définition des durées maximales de conservation, de la justification de ces durées, notifications d’atteinte des échéances, indication du sort final à appliquer par défaut, workflow de validation des destructions, délivrance d’attestations de destruction permettant de justifier des destructions en cas de contrôle. etc…) À ce titre, la mise en place d’un SAE facilite et accélère la mise en conformité avec le RGPD.