Le RGPD1 impose que les données à caractère personnel doivent être conservées pendant une durée prédéfinie, en fonction des raisons pour lesquelles elles sont traitées. Cette durée doit être la plus courte possible.

« Les données à caractère personnel doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées »

— Article 5-1-e du RGPD, Principes relatifs au traitement des données à caractère personnel

L'idée étant de ne pas conserver inutilement des données à caractère personnel :

« Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum. »

— Considérant 39 du RGPD

La durée de conservation des données n'est pas globale à l'ensemble des données. Chaque donnée, ou catégorie de données, doit avoir une durée de conservation spécifique en fonction des finalités pour lesquelles les données sont traitées. Cette information doit d'ailleurs être communiquée au moment où les données sont collectées :

« le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent :
a) la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée »

— Article 13-2 du RGPD, Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée

À la fin de la période de conservation définie, les données doivent être supprimées. Elles peuvent aussi être archivées sous certaines conditions bien précises :

« les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que soient mises en oeuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) »

— Article 5-1-e du RGPD, Principes relatifs au traitement des données à caractère personnel

L'autorité de contrôle, c'est-à-dire la CNIL2 pour la France, peut procéder à des contrôles pour s'assurer que les données sont conservées conformément au RGPD. Les sociétés Spartoo3, Brico Privé4, et AG2R LA MONDIALE5 ont, par exemple, déjà fait l'objet d'un contrôle et ont été sanctionnées pour avoir, notamment, omis d'établir des durées de conservation et avoir ainsi conservé les données à caractère personnel de leurs clients pendant une durée trop longue.

Notes et références

  1. RGPD : Règlement Général de Protection des Données.
  2. CNIL : Commission Nationale de l'Informatique et des Libertés.
  3. La société Spartoo a été sanctionnée par la CNIL pour avoir, notamment, omis de définir une durée de conservation des données à caractère personnel de ses clients. Voir « Délibération de la CNIL contre la société Spartoo du 28 juillet 2020 (SAN-2020-003) ».
  4. La société Brico Privé a été sanctionnée par la CNIL pour avoir, notamment, omis de définir une durée de conservation des données à caractère personnel de ses clients. Voir « Délibération de la CNIL contre la société Brico Privé du 12 juin 2021 (SAN-2021-008) ».
  5. Le groupe AG2R LA MONDIALE a été sanctionnnée par la CNIL pour avoir, notamment, conservé des données à caractère personnel de leurs assurés pendant une durée supérieure à celle qu'ils avaient définie. Voir « Délibération de la CNIL contre le groupe AG2R LA MONDIALE du 20 juillet 2021 (SAN-2021-010) ».