Mis à jour le 21 Déc 2022
Le Règlement Général sur la Protection des Données change le cadre légal concernant l’archivage des données. Les données personnelles ne doivent être conservées que le temps nécessaire à l’accomplissement de l’objectif pour lequel elles ont été collectées. Plusieurs obligations doivent être mises en œuvre afin de respecter ce principe. Retrouvez les conseils de notre cabinet d’avocats expert en protection des données personnelles sur les nouvelles règles concernant RGPD et archives.
RGPD et archives : est-ce que vous êtes concerné par les nouvelles obligations ?
Le Règlement Général sur la Protection des Données s’applique à tous les organismes qui collectent ou traitent des données personnelles.
- Le secteur d’activité, ou encore la taille de l’organisme sont indifférents.
- Les organismes établis en dehors de l’Union Européenne sont aussi concernés, dès lors qu’ils collectent des données sur des personnes qui résident au sein de l’UE.
- On entend par donnée personnelle toute donnée sur une personne. Elle peut être directement identifiée, via son nom par exemple, ou identifiable, par exemple grâce à son comportement sur le web. Certaines données sont considérées comme particulièrement sensibles, par exemple les données relatives aux croyances religieuses d’une personne.
Le RGPD met en place de nouvelles obligations à la charge des entreprises. Certaines d’entre elles ont un impact direct sur vos archives, par exemple l’obligation de limitation de traitement. Votre archivage doit désormais impérativement être limité, sélectif et sécurisé. Ces nouvelles obligations concernent tant l’archivage papier que l’archivage électronique. En cas d’irrespect, vous vous exposez à de lourdes sanctions par la Cnil (jusque 20 millions d’euros).
Deshoulières Avocats, cabinet expert en protection des données personnelles, vous accompagne tout au long de votre mise en conformité RGPD grâce à une méthodologie en 20 étapes. Nous procédons notamment aux changements nécessaires pour rendre vos archives respectueuses du RGPD. De plus, notre cabinet peut être désigné comme DPO externe, ce qui vous assure un suivi constant.
RGPD et archives : durée de conservation limitée
Vous devez fixer la durée de conservation des données et en informer la personne dont vous collectez les données. A moins d’une obligation légale spécifique, cette durée de conservation doit être strictement égale à la durée d’utilisation. Autrement dit, la conservation des données n’est plus justifiée dès lors que l’objectif pour lequel vous avez collectez les données est atteint.
Vous devez donc supprimer ou anonymiser les données :
- Par principe lorsque l’objectif de collecte des données n’a plus de raison d’être ou a été atteint.
- A l’issue de la période légale de conservation si elle existe. Par exemple, alors qu’en principe les données personnelles d’un salarié doivent être détruites lorsque ce dernier quitte l’entreprise, ses bulletins de paie doivent être conservées pendant cinq ans.
- A l’issue du délai de prescription lorsque les données sont destinées à faire valoir un droit en justice.
RGPD et archives : archivage sélectif
Afin de répondre à l’objectif précité, vous devez mettre en place un archivage sélectif pour ne garder les données que le temps nécessaire. Une fois les données archivées, elles ne doivent plus être consultables par les services opérationnels.
Le cycle de conservation se divise en trois phases successives :
- Base active ou archives courantes : Ce sont les données qui viennent de faire l’objet d’un traitement, ou qui vont prochainement faire l’objet d’un traitement. Elles sont conservées jusqu’à la réalisation de l’objectif pour lequel elles sont été collectées.
- Archives intermédiaires : Il s’agit des cas où les données doivent être conservées au-delà de leur durée d’utilisation (obligation légale ou intérêt contentieux). Les données ne peuvent plus continuer à être utilisées et leur accès est restreint à certaines personnes. Il s’agit d’une étape intermédiaire avant la suppression des données à l’issue de la période légale ou de la prescription.
- Archives définitives : Ce sont des données qui présentent un intérêt public particulier qui justifie leur conservation. Par exemple des données qui ont un intérêt historique ou scientifique.
RGPD et archives : Accès limité et sécurisé
Il est de votre responsabilité de prendre les mesures techniques et organisationnelles pour garantir la sécurité des données archivées. Vous êtes responsable même si vous avez fait appel à un sous-traitant : vérifiez donc qu’il présente les garanties de sécurité suffisantes.
Les mesures de sécurité doivent être proportionnées aux risques et à la nature des données. Les risques concernent notamment la destruction, la perte, l’altération, la diffusion ou l’accès non autorisés aux données. En cas de suppression automatique des données, vous devez vous assurer que les données sont effectivement détruites.
En outre, l’accès aux archives doit être limité aux personnes concernées. Il s’agit par exemple des personnes qui ont un intérêt à connaître certaines informations du fait de leurs fonctions. Vous devez donc mettre en place des habilitations spécifiques avec un contrôle effectif des droits d’accès. Les actions des personnes habilitées à consulter les données doivent être enregistrées (qui consulte, quand et pourquoi).
RGPD et archives : Droits RGPD des personnes
Le RGPD a mis en place de nouveaux droits RGPD au bénéfice des individus. Cependant, les archives sont parfois soumises à un régime dérogatoire en raison d’une obligation légale ou d’un intérêt particulier.
- Vous devez toujours respecter le droit d’accès des individus. Autrement dit, vous devez leur fournir simple demande une copie de toutes les informations que vous détenez à leur sujet. Cette copie doit par ailleurs être délivrée dans un délai d’un mois.
- En revanche, le droit à l’effacement ou droit à l’oubli ne s’applique pas dès lors que le traitement est nécessaire pour remplir une obligation légale ou en cas de mission d’intérêt public.
- Les archives définitives conservées par les services publics d’archives sont soumises à une législation spécifique. Aucun droit RGPD ne s’applique s’il peut compromettre la finalité de ces archives. En contrepartie, la législation encadre beaucoup plus strictement ces archives.
Le régime dérogatoire des archives est complexe à mettre en place. Nous vous conseillons donc de faire appel à un professionnel. Deshoulières Avocats identifie avec vous les cas où vous devez faire droit aux demandes des individus et vous évite ainsi les sanctions.
Deshoulières Avocats, cabinet en droit de nouvelles technologies, intervient auprès de nombreuses entreprises pour leur mise en conformité au RGPD. Nous réalisons pour vous les adaptations nécessaires pour votre conformité RGPD et archives.
REFERENCES :
- RGPD et archives : texte officiel du RGPD
- Site de la Cnil