Le RGPD[1] impose que les données à caractère personnel doivent être conservées pendant une durée prédéfinie, en fonction des raisons pour lesquelles elles sont traitées. Cette durée doit être la plus courte possible.

« Les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées »

— RGPD, article 5-1-e, principes relatifs au traitement des données à caractère personnel

L’idée est de ne pas conserver inutilement des données à caractère personnel :

« Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum. »

— RGPD, considérant 39

La durée de conservation des données n’est pas globale à l’ensemble des données. Chaque donnée, ou catégorie de données, doit avoir une durée de conservation spécifique en fonction des finalités pour lesquelles les données sont traitées. Les données personnelles des clients et prospects doivent, par exemple, être conservées pendant une durée inférieure ou égale à trois ans[2].

À la fin de la période de conservation définie, les données doivent être supprimées. Elles peuvent aussi être archivées sous certaines conditions bien précises :

« les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) »

— RGPD, article 5-1-e, principes relatifs au traitement des données à caractère personnel

La conservation de données sans limite de durée ou pendant une durée inadaptée peut être sanctionnée par l’autorité de contrôle. De nombreuses sociétés ont déjà été sanctionnées pour un tel manquement, notamment :

  • les vendeurs en ligne Spartoo[3] et Brico Privé[4], car les données de leurs clients et prospects étaient conservées sans limite de durée ;
  • les magasins Carrefour, car les données des clients étaient conservées trop longtemps[5] ;
  • l’assureur AG2R LA MONDIALE, car les données des contrats des assurés étaient conservés plus longtemps que la durée imposée par la législation[6] ;
  • la RATP, car les données sur les salariés étaient conservées dans des applications internes trop longtemps[7] ;
  • le spécialiste de la livraison de repas Foodinho, car les données sur ses livreurs étaient conservés pendant une durée commune, indépendamment de leurs finalités[8].

Par ailleurs, la durée de conservation des données fait partie des informations à communiquer obligatoirement aux personnes. Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».

Notes et références

  1. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  2. Les données à caractère personnel des clients et prospects doivent ête conservées moins de 3 ans. Voir « Combien de temps peut-on conserver des données sur ses clients et prospects ? ».
  3. La société Spartoo a été sanctionnée par la CNIL, car les données personnelles des clients et prospects étaient conservés sans limite de durée (source : CNIL, SAN-2020-003, 28 juillet 2020, Spartoo). Voir « SPARTOO.COM sanctionné suite à une conservation trop importante de données personnelles, un manque d’informations et des faiblesses de sécurité ».
  4. La société Brico Privé a été sanctionnée par la CNIL, car les données personnelles des clients étaient conservés sans limite de durée (source : CNIL, SAN-2021-008, 12 juin 2021, Brico Privé). Voir « BRICOPRIVE.COM sanctionné pour avoir conservé des données sur ses clients trop longtemps et pour de nombreux manquements relatifs à la sécurité ».
  5. La société Carrefour France a été sanctionnée par la CNIL, car les données des clients étaient conservées trop longtemps (source : CNIL, SAN-2020-008, 18 novembre 2020, Carrefour). Voir « CARREFOUR sanctionné pour avoir conservé les données de ses clients trop longtemps, mais aussi pour l’inaccessibilité et l’imprécision de ses informations et pour de nombreux autres manquements ».
  6. Le groupe AG2R La Mondiale a été sanctionnée par la CNIL, car les données des assurés étaient conservés plus longtemps que la durée imposée par la législation (source : CNIL, SAN-2021-010, 20 juillet 2021, AG2R). Voir « L’assureur AG2R LA MONDIALE sanctionné pour avoir conservé trop longtemps des données personnelles sur ses clients et prospects ».
  7. La RATP a été sanctionnée par la CNIL, car les données sur les salariés étaient conservées dans des applications internes trop longtemps (source : CNIL, SAN-2021-019, 29 octobre 2021, RATP). Voir « La RATP sanctionnée pour n’avoir pas restreint l’accès aux données personnelles de ses salariés ».
  8. La société Foodinho a été sanctionnée par l’autorité de contrôle italienne, car les données livreurs de ses livreurs étaient conservées trop longtemps (source : GPDP, 9675440, 10 juin 2021, Foodinho s.r.l.). Voir « La société FOODINHO sanctionnée suite au traitement illicite des données personnelles de ses livreurs ».