Publication – Les durées de conservation des données
Les données personnelles ne peuvent être conservées indéfiniment : une durée de conservation doit être déterminée par le responsable de traitement en fonction de l’objectif ayant conduit à la collecte de ces données. Ce principe de conservation limitée des données personnelles est prévu par le Règlement général sur la protection des données (RGPD) et la loi Informatique et Libertés.
Pour un même traitement, les données personnelles poursuivent des phases successives. On parle de « cycle de vie » de la donnée personnelle. Ce cycle connaît trois phases :
- Conservation en base active
- Archivage intermédiaire
- Archivage définitif
Dans le cadre de sa mission d’accompagnement des professionnels, la Commission nationale de l’informatique et des libertés (CNIL) a élaboré des outils d’aide à l’identification des durées applicables à la conservation des données, ainsi qu’un guide pour faciliter la mise en œuvre de ce principe. Ces outils sont destinés à tout professionnel, quel que soit son secteur (public ou privé) et quelle que soit la taille de sa structure.
Le guide pratique des durées de conservation répond aux questions que se posent fréquemment les professionnels, tant sur le principe de la limitation de la conservation des durées que sur sa mise en pratique. Il présente également l’outil “référentiel durées de conservation”, du point de vue contenu et utilisation. Élaboré en partenariat avec le service interministériel des archives de France (SIAF), ce guide pratique explicite comment articuler les obligations du RGPD et celles imposées par le Code du patrimoine.
Des référentiels de durées de conservation visent à faciliter la recherche de la durée pertinente, effectuée par le responsable de traitement. Ils portent sur les durées de conservation dans le domaine de la recherche en santé, dans le domaine de la santé hors recherche, et dans le traitement de données personnelles pour les cabinets médicaux et paramédicaux. Ces outils ont été conçus comme une base de travail, à partir de laquelle le responsable du traitement peut mener sa propre analyse, selon les spécificités du traitement concerné et du contexte spécifique de la structure.
Pour en savoir plus : CNIL