Le RGPD[1] impose que les données à caractère personnel doivent être conservées pendant une durée prédéfinie, en fonction des raisons pour lesquelles elles sont traitées. Cette durée doit être la plus courte possible.

« Les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées »

— RGPD, article 5-1-e, principes relatifs au traitement des données à caractère personnel

L’idée est de ne pas conserver inutilement des données à caractère personnel :

« Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum. »

— RGPD, considérant 39

La durée de conservation des données n’est pas globale à l’ensemble des données. Chaque donnée, ou catégorie de données, doit avoir une durée de conservation spécifique en fonction des finalités pour lesquelles les données sont traitées. Les données personnelles des clients et prospects doivent, par exemple, être conservées pendant une durée inférieure ou égale à trois ans[2].

À la fin de la période de conservation définie, les données doivent être supprimées. Elles peuvent aussi être archivées sous certaines conditions bien précises :

« les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) »

— RGPD, article 5-1-e, principes relatifs au traitement des données à caractère personnel

L’autorité de contrôle, c’est-à-dire la CNIL[3] pour la France, peut procéder à des contrôles pour s’assurer que les données personnelles sont conservées conformément au RGPD. Les sociétés Spartoo[4], Brico Privé[5], AG2R LA MONDIALE[6] et la RATP[7] ont, par exemple, déjà fait l’objet d’un contrôle et ont été sanctionnées pour avoir, notamment, conservé des données personnelles pendant une durée trop longue.

La durée de conservation des données fait partie des informations à communiquer obligatoirement aux personnes.

Notes et références

  1. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  2. Les données à caractère personnel des clients et prospects doivent ête conservées moins de 3 ans. Voir « Combien de temps peut-on conserver les données à caractère personnel des clients et prospects ? ».
  3. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  4. La société Spartoo a été sanctionnée par la CNIL pour avoir, notamment, omis de définir une durée de conservation des données à caractère personnel de ses clients (source : CNIL, SAN-2020-003, 28 juillet 2020, Spartoo). Voir « SPARTOO.COM sanctionné pour des manquements au RGPD ».
  5. La société Brico Privé a été sanctionnée par la CNIL pour avoir, notamment, omis de définir une durée de conservation des données à caractère personnel de ses clients (source : CNIL, SAN-2021-008, 12 juin 2021, Brico Privé). Voir « BRICO-PRIVE.COM sanctionné pour des manquements au RGPD ».
  6. Le groupe AG2R LA MONDIALE a été sanctionnnée par la CNIL pour avoir, notamment, conservé des données à caractère personnel de leurs assurés pendant une durée supérieure à celle qu’ils avaient définie (source : CNIL, SAN-2021-010, 20 juillet 2021, AG2R). Voir « L’assureur AG2R LA MONDIALE sanctionné pour avoir conservé illicitement des données personnelles sur ses clients. ».
  7. La RATP a été sanctionnée par la CNIL pour avoir, notamment, conservé des données à caractère personnel sur ses salariés pendant une période inadaptée, trop longue. (source : CNIL, SAN-2021-019, 29 octobre 2021, RATP). Voir « La RATP sanctionnée pour n’avoir pas restreint l’accès aux données personnelles de ses salariés ».