Link Search Menu Expand Document
Boîte à outils gestion responsable de données

3.7 La durée de conservation des données

20-Juin-2023 7 mins Share on social networks


TABLE DES MATIÈRES

À retenir

Dans le respect du principe de minimisation, il est essentiel de supprimer ou d’anonymiser les données personnelles dès que vous n’en avez plus besoin, pour des raisons légales, contractuelles ou opérationnelles.

La mise en œuvre n’est pas toujours simple et nécessite de s’organiser en amont de la collecte avec des procédures/outils rodes pour en permettre sa bonne mise en œuvre le jour ou la destruction est possible.

Parmi les grands principes de la protection des données personnelles du RGPD, une durée de conservation doit être fixée. Cette durée doit être « nécessaire à la réalisation de l’objectif (finalité du traitement) ayant justifié la collecte/enregistrement des données » (CNIL). Autrement dit fixer une durée de conservation revient à fixer une date de destruction/d’effacement ou d’anonymisation permanente des données personnelles.

Vous aurez besoin bien entendu de respecter vos exigences légales vis-à-vis d’institutions et contractuelles vis-à-vis des bailleurs (pour des audits par exemple) et de réfléchir à votre propre utilisation opérationnelle, mais il est essentiel de ne pas laisser ces données dormir sur des serveurs ou disques durs indéfiniment.

3.7.1 Comment déterminer une durée de conservation des données personnelles ?

Le RGPD invite à déterminer une durée de conservation “au strict minimum”, mais aucune indication de temps précise n’est fournie. C’est à l’organisation responsable de traitement que revient la responsabilité de fixer une durée et au sous-traitant (si sous-traitant(s) il y a) de vérifier qu’elle a bien été établie et la respecter.

La durée de conservation est différente selon l’objectif de chaque traitement de la donnée et va varier : certaines durées sont fixées par la loi (ce qui est souvent le cas pour les données RH par exemple), d’autres par des règles d’audit, d’autres trouvent leur justification au regard des spécificités propres à chaque cause et à chaque organisation.

Dans les faits, il est quasiment impossible pour une ONG de respecter les exigences de chaque partie prenante en la matière, elles doivent donc réfléchir de manière plus macro avec des politiques institutionnelles cohérentes si elles veulent être en capacité de les mettre en œuvre de manière responsable et efficace.

Bonnes pratiques de la CNIL, les questions à se poser pour aider à déterminer une durée de conservation :

  • « Jusqu’à quand l’organisation a vraiment besoin des données pour atteindre l’objectif fixé ?
  • Est-ce que l’organisation a des obligations légales de conserver les données pendant un certain temps ?
  • L’organisation doit-elle conserver certaines données en vue de se protéger contre un éventuel contentieux ? Lesquelles ?
  • Jusqu’à quand l’organisation peut-elle faire valoir ce recours en justice ?
  • Quelles informations doivent être archivées ? Pendant combien de temps ?
  • Quelles sont les règles de suppression des données ?
  • Quelles sont les règles d’archivage des données ? »

Vous pouvez par exemple distinguer (tel que la CNIL le recommande dans son guide pratique pour aider à fixer une durée de conservation des données) :

  • L’utilisation courante (base active) : cette phase correspond à l’utilisation quotidienne de la donnée personnelle dans la mise en œuvre des activités des ONG – il y a besoin d’un accès facile et immédiat à la donnée des personnes en charge de son traitement pour déployer les activités du projet, par exemple
  • L’archivage intermédiaire : la donnée personnelle a rempli « son rôle initial » et n’est plus utile pour le déploiement opérationnel du projet : l’objectif du traitement est atteint - en revanche, “elle représente un intéret administratif” ou répond à une obligation légale ou contractuelle, pour de la redevabilité par exemple, reporting, audit ou feedbacks de bénéficiaires – l’accès se restreint à une consultation et à des destinataires précis autorisés, et un tri des données à conserver devrait être opéré en amont.

Une fois la durée de conservation (en base active ou en archivage intermédiaire) déterminée et atteinte, les données sont effacées. Il est possible de les anonymiser pour les garder plus longtemps (soit lors de l’archivage, soit pour une réutilisation d’une autre nature, comme de l’apprentissage interne ou pour alimenter de futurs projets).

3.7.2 Comment mettre en oeuvre la destruction / l’archivage des données personnelles ?

  • Le guide RAD de l’ONG The Engine Room définit :
    • L’archivage des données comme « la conservation intentionnelle des données dans un format qui permet aux équipes habilitées de s’y référer facilement. Le processus d’archivage des données nécessite une réflexion approfondie sur les raisons pour lesquelles vos données pourraient être nécessaires à l’avenir, qui pourrait en avoir besoin et comment vous pouvez les stocker » ;
    • La destruction des données comme « le processus qui consiste à supprimer les données d’une manière sûre et responsable ».

La mise en œuvre de la destruction, ou même l’archivage de données personnelles opérationnelles n’est pas toujours simple, principalement du fait de la vie des projets et des équipes associées. Il est très rare que le ou la chef·fe de projet qui a lancé la collecte et l’utilisation d’un jeu de données soit encore présent·e lorsque la date de destruction/archivage des données en question arrive plusieurs années plus tard (au vu des exigences d’audit)- c’est donc à l’organisation d’avoir des process et outils spécifiques en place pour en assurer la suppression quasi automatique à la date d’échéance (fonction des choix organisationnels).

Peu d’organisations ont de telles procédures en place, mais les ONG ont besoin de rechercher et s’orienter vers de telles pratiques pour s’assurer d’aller jusqu’au bout d’une démarche minimaliste en termes de données.

Bonnes pratiques d’archivage:

  • Sélectionner les données qui représentent un intérêt pour l’organisation responsable de traitement, une fois l’objectif de son utilisation atteint.
  • Gérer les droits d’accès aux données personnelles archivées : seules les personnes habilitées sont autorisées.
  • Définir une durée d’archivage en fonction de l’obligation légale ou contractuelle.
  • Définir « les modalités de passage » d’une donnée, de l’utilisation courante à l’archivage intermédiaire (sources : CNIL et mémento RGPD).

Une autre méthode, plus globale, issue du guide RAD de l’ONG The Engine Room, propose de mettre en place un « calendrier RAD » qui fait référence aux trois étapes du cycle de vie des données : la rétention (ou conservation), l’archivage et la destruction. Cette méthode est basée sur « les principes de respect et d’attention » et est « une bonne manière de s’assurer que votre organisation traite les données des personnes soutenues, de ses partenaires et de son personnel avec soin et en bonne intelligence».

Ce processus peut sembler lourd à appliquer, mais il a des effets positifs sur les activités, en particulier sur « connaissance et compréhension de l’ensemble des données que vous utilisez dans votre travail », notamment en préservant la confidentialité des données personnelles et en assurant la sécurité organisationnelle des populations affectées et des relations de confiance.

Afin de définir un calendrier « RAD », une bonne pratique recommandée par le guide, est de cartographier les données au sein de chaque étape de vie des données. Voici quelques questions pour aider à élaborer une cartographie des données, en documentant chaque réponse :

  • Quand effectuez-vous la collecte de données ? Réfléchissez à votre flux de travail et essayez de répertorier les moments où vous recueilliez généralement des données.
  • Où stockez-vous les données ? Prenez en compte les données dont vous disposez actuellement et répertoriez tous les emplacements où elles se trouvent.
  • Quand partagez-vous des données ? Réfléchissez aux occasions ou aux demandes de partage de données : en général, quand cela se produit-il ?