Le principe de temporalité

La durée de conservation des données (principe de temporalité)

1. – Légèrement plus complexe dans sa formulation, la loi impose également un principe dit de temporalité,  plus connu sous le nom de « droit à l’oubli ». Ce principe impose que les données soient conservées pendant une durée limitée, au-delà de laquelle les informations doivent être effacées. L’article 6 précise à ce titre que les données « sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. » En pratique cette durée est fixée par le responsable du traitement qui doit procéder à une estimation au regard des finalités indiquées.

2. – Ces délais de conservation (par exemple pour les logs et données de connexion) suscitent souvent d’importants questionnements : le délai sera-t-il vraiment proportionné en pratique ? Permettra-t-il un traitement efficace ? Ces interrogations sont justes et fondées car la loi ne donne aucune indication précise quant aux délais à respecter selon les traitements mis en œuvre. Tout est donc question d’estimation ; pour ce faire, l’on peut se référer aux délibérations de la CNIL et aux usages professionnels dans les secteurs en question, avec une réserve de prudence, considérant que les sociétés commerciales ont souvent une tendance naturelle à pratiquer des très longs délais de conservation. Dans de nombreuses situations on peut également se référer aux délais de prescription qui peuvent servir de base pour l’établissement du délai de conservation.

3. – Au-delà du délai indiqué par le responsable du traitement lors des formalités préalables, la loi ne permet la conservation des données que dans des cas très limités. Le premier vise les situations où les données sont conservées  « en vue d’être traitées à des fins historiques, statistiques ou scientifiques » (art. 36, 1er al.). Dans pareille situation les données relèvent alors des dispositions relatives aux archives (article L. 211-1 du Code du patrimoine). Au-delà, quelques autres exceptions sont prévues : l’accord exprès de la personne dont les données sont traitées, ou l’autorisation de la CNIL. L’article 36 prévoit un cas plus complexe, lorsque le traitement implique des données sensibles.

4. – Une fois le délai déterminé, il est très important de le respecter à la lettre car l’article 226-20 du Code pénal sanctionne: « le fait de conserver des données à caractère personnel au-delà de la durée prévue_ [initialement], est puni de cinq ans d’emprisonnement et de 300.000 € d’amende, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi (…) _». L’infraction de l’article 226-20 est extrêmement simple dans sa formulation et constitue un véritable risque pour les organisations, puisque le seul fait de conserver une donnée au-delà des délais indiqués matérialise le délit pénal.

5. – Ainsi en a jugé, par exemple, la Cour d’appel de Paris dans une affaire dans laquelle elle condamnait, sur le fondement de l’article 226-20, le responsable du traitement pour avoir conservé en mémoire des données au-delà de la durée initialement prévue (CA Paris, 11e ch., 15 févr. 1994).

Une attention particulière doit donc être portée sur la détermination du délai ainsi que des moyens mis en œuvre pour s’assurer que les données ne soient pas traitées au-delà de la durée initiale. Des procédures particulières de vérification doivent donc être mises en œuvre par les organisations afin de s’assurer du respect de cette obligation.

Lire la suite : Le consentement au traitement

Le plan de l'article :

- Les principes essentiels
- Le principe de loyauté
- Le principe de finalité
- Le principe de proportionnalité
- L'exactitude des données
- Le principe de temporalité
- Le consentement au traitement