Pour gérer vos consentements :

RGPD : Comment archiver les données personnelles ?

Publié par le - mis à jour à

L'entrée en vigueur du Règlement européen relatif à la protection des données personnelles (RGPD) s'applique à toute entreprise ou organisme, privé ou public et ce qu'elle soit responsable de traitement des données ou sous-traitante.

Si le règlement s’applique aux traitements de données en cours au 25 mai 2018, date de l’entrée en vigueur du règlement, il convient de ne pas négliger sa portée concernant les documents archivés qui regorgent sans doute de données personnelles. Si pour un grand nombre de cas, un simple « clic » les supprimera et mettra l’organisation en règle, cette mise en conformité peut s’avérer un travail de fourmi pour bien des organisations sur des archives numériques mais surtout sur support papier.

En effet, les données personnelles doivent être conservées uniquement le temps nécessaire à l’accomplissement de l’objectif qui était poursuivi lors de leur collecte. La durée de conservation peut donc être relativement variable.

Le choix du mode d’archivage est laissé à l’appréciation du responsable du fichier. Leurs accès doivent être restreints aux seules personnes ayant un intérêt à en connaitre en raison de leurs fonctions.

Les données peuvent ainsi être archivées dans une base d’archive spécifique, distincte de la base active ou dans la base active, à condition de procéder à un isolement des données archivées au moyen d’une séparation logique pour les rendre inaccessibles aux personnes n’ayant plus d’intérêt à les traiter (gestion des droits d’accès et des habilitations).

Le texte prévoit que sous réserve que les données présentent encore un intérêt, l’existence de 3 types d’archivage :

  • La base active (ou archives courantes), comprend les données venant de faire l’objet d’un traitement ou susceptible d’en faire l’objet d’un dans un avenir proche,

  • Les archives intermédiaires sont une étape intermédiaire nécessitant un accès restreint avant leur suppression,

  • Les archives définitives sont réservées aux données qui perdureront au fil des ans et éventuellement des siècles. Cette catégorie ne peut donc bénéficier qu’à certaines catégories de données présentant un intérêt historique, scientifique ou statistique justifiant qu’elles ne fassent l’objet d’aucune destruction.

  • Pour un archivage réussi, donc conforme, le RDPD énumère trois règles à respecter.

    A/ Un archivage sélectif

    Lorsqu'un texte prévoit une obligation d'archivage, le responsable du fichier doit veiller à archiver uniquement les données utiles au respect de l’obligation prévue, ou pour faire valoir un droit en justice. Cette opération nécessite un tri préalable à l’archivage afin de ne garder que les seules données indispensables.

    B/ Un archivage limité dans le temps

    Les données nécessaires pour répondre à une obligation légale ou réglementaire doivent être archivées pour la durée de l’obligation concernée.  Lorsque le motif justifiant leur archivage n’a plus raison d’être, les données archivées doivent être supprimées. De même, lorsqu'il s'agit de documents ne faisant pas l'objet d'obligation de conservation, mais destinés à faire valoir un droit en justice, ils doivent être détruit à l'issue de la durée de prescription.

    C/ Un archivage sécurisé

    Des mesures techniques et organisationnelles doivent être prévues pour protéger les données archivées contre tout type d’événements (destruction, perte, altération, diffusion ou accès non autorisé…). Un niveau de sécurité approprié doit être assuré face aux risques et à la nature des données. Sécurité informatique et/ou physique sont indispensables, quelle que soit le support utilisé (format numérique ou papier) pour archiver les données. Il convient de rappeler que lorsque l’archivage est externalisé ou confié à un sous-traitant, le responsable du fichier doit s’assurer que son prestataire présente des garanties suffisantes en termes de sécurité et de confidentialité des données qui lui sont confiées.

    S’agissant des archives définitives (c’est- à-dire les seules données présentant un intérêt historique, scientifique ou statistique), il est recommandé de les conserver sur un support indépendant, non accessible par les systèmes de production, n’autorisant qu’un accès distinct, ponctuel et précisément motivé auprès d’un service spécifique seul habilité à les consulter.

    Enfin, rappelons que quel que soit le type d’archive, la consultation des données archivées doit être tracée. En effet, une personne qui exerce son droit d’accès doit obtenir la communication de l’intégralité des données qui la concernent, qu’elles soient stockées en base active ou archivées.

     

    Pour toute information complémentaire, n’hésitez pas à contacter le cabinet HAAS Avocats

    La rédaction vous recommande

  • RGPD : Comment les marques se mettent en conformité
  • RGPD : Les entreprises accélèrent, sous la contrainte
  • Data : à quoi doivent s'attendre les marketers en 2017?
  • Comment se préparer au RGPD, règlement européen sur la protection des données?
  • Garantissez que votre entreprise respecte le Règlement européen sur la protection des données