Le cycle de vie des données à caractère personnel

Le cycle de vie des données à caractère personnel

Veille Juridique n°41 – Novembre 2021

Le cycle de vie des données à caractère personnel. Parmi les obligations prévues par le RGPD, il en est une qui peut rapidement tourner au casse-tête pour le responsable de traitement, malgré son caractère apparemment anodin : il s’agit de la durée de conservation des données à caractère personnel.

A priori, il apparait naturel de ne conserver les données que tant qu’elles sont nécessaires aux finalités poursuivies, ainsi que le prévoit l’article 5.1.e du RGPD.

En pratique se posent de nombreuses questions : faut-il ensuite supprimer les informations ? ou les garder à des fins de preuve ? ou en vertu de dispositions légales ? Qu’en est-il si l’on a besoin des mêmes données dans deux contextes distincts ?

La durée de conservation fait partie des aspects auxquels la CNIL accorde une attention particulière lors de ses contrôles ainsi qu’en témoigne sa délibération du 29 octobre concernant les fichiers de la RATP.

La société s’est vu infliger une amende de 400 000 euros pour violation des principes de finalité, de durée de conservation et de sécurité des données. 

Dans le cadre de sa gestion des ressources humaines, la RATP conservait des données relatives aux agents dans la base active d’une l’application trop largement accessible et pour une durée qui excédait celle nécessaire aux finalités poursuivies.  

La CNIL a également observé que la RATP a conservé des fichiers d’évaluation des agents pendant plus de 3 ans après la commission d’avancement pour lesquels ils sont établis, alors que leur conservation n’était nécessaire que 18 mois après la tenue de ces commissions.

Dans un contexte différent, la CNIL avait déjà pointé en novembre 2020 la durée de conservation par la société Carrefour des données de ses clients.

Elle considère qu’une durée de conservation de quatre ans est excessive, et recommande de garder les données des clients « inactifs » (n’ayant plus commercé avec la société) trois ans maximum (voir cette lettre d’actualité, décembre 2020).

Les étapes suivantes guideront le responsable de traitement dans la détermination des durées de conservation :

  • Conservation des données dans une base active, accessible aux personnes du service concerné, par exemple les ressources humaines, tant que les données sont nécessaires (par exemple paiement des salaires)
  • Suppression, ou archivage intermédiaire des données à des fins de preuve ou de possible contentieux, avec une accessibilité restreinte et plus sécurisée, sous habilitation spéciale
  • Suppression, ou archivage définitif sous conditions d’accès encore plus restreintes.

A chaque étape, un tri doit être effectué et certaines données pourront être supprimées ou anonymisées si elles ne sont pas utiles ou requises par la loi.

Lorsque les mêmes données sont utilisées pour deux finalités différentes, une durée de conservation distincte devra leur être appliquée en fonction de ces finalités respectives, ainsi que des règles d’accès et de suppression adaptées.

La CNIL fournit dans un guide pratique publié en juillet 2020 des recommandations et recense dans ses référentiels certaines durées de conservation prévues par la loi.

On cite, à titre d’exemple :

Dans le contexte des ressources humaines, les données de candidats pour deux ans maximum, les bulletins de paie pour cinq ans minimum (en application de l’article L. 3243-4 du code du travail)

Dans un contexte commercial, les données de facturation pour une durée de dix ans (obligation prévue par le Code du Commerce)

Dans le cadre de la video-protection, les images pour une durée d’un mois maximum (article L. 252-3 du code la sécurité́ intérieure).

Ajoutons que la gestion rigoureuse des traitements de données, la suppression des données non utiles et la limitation de l’accès aux données en interne contribuent à sécuriser les bases de données.

Ces démarches joueront un rôle préventif face aux attaques externes et aux risques de violations de données, risques non négligeables aujourd’hui.

Et aussi

France :

Le 30 novembre, la CNIL a publié une nouvelle délibération concernant les dispositifs de lutte contre la pandémie de Covid-19.

Elle attire l’attention du gouvernement sur la nécessité, plus de 18 mois après le début de l’épidémie, de produire des éléments permettant d’évaluer pleinement l’efficacité des fichiers et dispositifs mis en œuvre, en ce compris le passe sanitaire, le fichier « vaccins » et l’appli « TousAntiCovid ».

L’autorité de contrôle a engagé une cinquième phase de contrôles, qui porte notamment sur la durée de conservation, la suppression et/ou l’anonymisation des données.

Europe :

Les autorités de contrôle de l’Union européenne ont engagé une enquête commune concernant le respect du RGPD par la plateforme de vente de seconde main Vinted.

Le Contrôleur européen de la protection des données (EDPS) annonce une conférence les 16 et 17 juin prochains sur le thème de la protection des données : « contrôles efficaces dans le monde numérique », rassemblant des intervenants sur les thèmes de l’intelligence artificielle, du droit de la concurrence et des marchés et services du numérique.

Cette conférence est organisée dans un contexte de débats sur la nécessité de centraliser au niveau européen les contrôles de mise en œuvre du RGPD.

On se réfère plus précisément aux critiques émises le 2 décembre par la Vice-présidente de la Commission européenne, Vera Jourova, sur l’(in)efficacité des contrôles dans des pays tels que l’Irlande.

Le 21 octobre, sept Rapporteurs Spéciaux de l’ONU ont dénoncé dans une Communication la politique européenne de lutte contre le terrorisme qui, par des dispositifs trop vagues, violerait les principes de légalité, nécessité et proportionnalité repris dans les instruments européens et internationaux de protection des droits fondamentaux. 

Le Comité Européen de Protection des Données (EDPB) a adopté ce 18 novembre des lignes directrices précisant le champ d’application des règles concernant les transferts internationaux de données.

Il y rappelle entre autres que ces règles s’appliquent aux transferts entre responsables (ou sous-traitants) lorsque l’exportateur est soumis au RGPD et qu’il transmet ou rend accessibles les données à l’importateur qui se trouve dans un pays tiers.

Ces règles de transfert ne s’appliquent pas lorsque les données sont transmises par un individu en Europe de sa propre initiative. Le document est ouvert à consultation publique jusqu’à fin janvier.

Le Comité a également réitéré ses inquiétudes dans un communiqué concernant les Propositions de la Commission européenne sur la gouvernance des données, les services numériques et les marchés numériques ainsi que sur la réglementation de l’intelligence artificielle.

Il pointe notamment une protection insuffisante des droits fondamentaux et une supervision fragmentée, et demande une interdiction de l’utilisation de l’IA dans les espaces publics, du profilage des enfants et du ciblage publicitaire basé sur le traçage systématique des individus.

Ceci fait écho à l’appel de la nouvelle coalition gouvernementale allemande le 24 novembre pour une interdiction de la surveillance biométrique dans les lieux publics.

La Commission européenne a initié une procédure en infraction contre la Belgique pour manque d’indépendance de son autorité de protection des données.

La Belgique a deux mois pour réagir sous peine d’action devant la Cour Européenne de Justice.

Le Comité des Ministres du Conseil de l’Europe a adopté le 3 novembre une Recommandation sur la protection de personnes à l’égard du traitement des données à caractère personnel dans le cadre du profilage.

Ce nouveau texte actualise la recommandation précédente CM/Rec(2010)13 sur le même sujet.

La société Clearview, spécialisée dans la collecte de données biométriques, est dans le collimateur de l’autorité de contrôle britannique.  

L’ICO envisage de sanctionner la société à hauteur de 17 millions de livres sterling pour avoir collecté les données des britanniques à leur insu.

L’ICO enquête en outre sur les pratiques de la société Cignpost Diagnostics qui envisage de commercialiser les informations génétiques obtenues de ses clients à l’occasion des tests PCR de dépistage du virus du COVID. 

International :

Les Emirats Arabes Unis ont adopté ce 28 novembre une loi fédérale sur la protection des données. Les responsables de traitement auront 12 mois pour assurer leur mise en conformité à dater de la publication de la loi dans le journal officiel.

Le 24 novembre, 193 pays ont adopté la recommandation de l’ONU sur l’éthique de l’intelligence artificielle, qui prévoit l’interdiction du scoring social et de l’utilisation de l’IA dans un but de surveillance globale.