Le Règlement Général de la Protection des Données (RGPD) prévoit que les données à caractère personnel ne peuvent être conservées de façon indéfinie.
L’article 5.1 du RGPD précise que les données personnelles doivent être
«Conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées »
LA DURÉE DE CONSERVATION PRÉVUE PAR LE RESPONSABLE DE TRAITEMENT
La durée de conservation des données personnelles doit être définie par le responsable de traitement en fonction de la nature des données et des finalités de leur collecte.
Le responsable de traitement doit déterminer :
- Une durée fixe de conservation (exemple : un an)
- Un critère objectif pour déterminer cette durée (exemple : le temps de la durée d’un contrat commercial)
LA DURÉE DE CONSERVATION PRÉVUE PAR LA LOI
Fixer une durée de conservation des données à caractère personnel n’est pas toujours évidente. C’est la raison pour laquelle, dans de nombreux cas, la durée de conservation est fixée par la loi. Par exemple :
- Les données sur les candidats non- retenus à l’embauche ainsi que leur CV doivent être effacés au bout de 2 ans après le dernier contact.
- Le délai de conservation des données issues d’un dossier médical est de 20 ans
- La conservation d’un double des bulletins de paie est de 5 ans à partir de leur remise aux salariés
- Les images de vidéosurveillance ont une durée de conservation d’un mois
Une fois les finalités du traitement atteintes, les données à caractère personnel doivent être (Article 89 du RGPD):
- Supprimées
- Archivées dans un but d’intérêt public ; ou à des fins de recherches scientifiques, historiques
- Anonymisées
LES SANCTIONS
Le responsable de traitement engage sa responsabilité si aucune durée de conservation n’a été prévue.
La Commission nationale de l’Informatique et des Libertés (CNIL) peut infliger en cas de manquement une amende administrative de 20 millions d’euros, ou, dans le cas d’une entreprise de 4% du chiffre d’affaire annuel mondial (Article 83.5 du RGPD).
Afin d’éviter une utilisation détournée ou excessives des données à caractère personnel, le principe de durée limitée de conservation des données consacre un véritable droit à l’oubli pour les personnes concernées (Article 17 du RGPD).