Aurore Bonavia > Actualités > RGPD > Archivage RGPD

Archivage RGPD

27 janvier 2021 RGPD
archivage rgpd

L’archivage RGPD consiste à conserver les données que vous avez collectées jusqu’à ce que leur durée limite de conservation soit atteinte.

La question qui revient souvent est : comment effectuer son archivage RGPD ?

L’avocate RGPD, Aurore BONAVIA, vous explique et vous donne des conseils de professionnels pour bien archiver les données personnelles que vous traitez.
Sécurité, règles à respecter, fonctionnement de l’archivage…Voici ce qu’il y a à savoir sur les données et les modalités d’archivage tout en respectant le RGPD.

L’archivage des données : à qui s’adresse-t-il ?

Entreprise ou établissement public, dès lors que vous collectez des données personnelles sur le web, vous êtes concerné par le règlement général sur la protection des données.
Adopté en 2016, le RGPD ou “GDRP” a refondu la loi informatique et libertés, et a pour but de protéger les données à caractère personnel des personnes qui résident au sein de l’Union Européenne.

De ce fait, et comme indiqué ci-dessus, le RGPD s’adresse à tous les organismes qui collectent et traitent des informations relatives à un individu.

Que vous soyez une entreprise basée à l’intérieur de l’UE ou étrangère (ex. : USA), à partir du moment où vous avez des données portant sur un ou des habitant(s) de l’UE dans vos archives, vous êtes soumis au RGPD.
Toutes les entreprises, qu’il s’agisse d’une TPE, d’une auto entreprise ou d’une grande entreprise, doivent donc prendre en compte l’archivage RGPD des données !

La tenue de vos archives dépend intrinsèquement de votre respect du règlement sur la protection des données. Les documents que vous stockez doivent obéir à 3 règles que nous verrons à la fin de cet article :

  • ils doivent être limités ;
  • ils doivent avoir été sélectionnés ;
  • ils doivent être sécurisés.

Et ce, qu’il s’agisse de documents numérisés ou de documents physiques.

Quelle est la durée de conservation des documents à caractère personnel ?

Lorsqu’on procède à un traitement de données personnelles, il est important d’informer la personne quant à la durée de conservation des documents stockés dans sa base de données.

Dans votre page dédiée au RGPD, vous devez informer le lecteur et l’intéressé de la durée de conservation de ses données que vous récupérez à travers l’emploi de cookies et autres.

Il vous est impossible de garder vos documents en archives une fois la durée dépassée.
Toutefois, une alternative existe à la suppression obligatoire des données :

  • vous pouvez anonymiser les données pour pouvoir les conserver.

En règle générale, les documents appartenant à des profils inactifs doivent être supprimés au bout de 36 mois. Passé ce délai, les données doivent être anonymisées ou supprimées. Aussi et pour justifier le traitement de l’information, assurez-vous de placer ces infos dans une base d’exclusion.

  • Pour les salariés d’une entreprise, la durée de conservation des informations personnelles est de 5 ans après la cessation de leur contrat, sauf pour certaines données dont leur durée de conservation varie selon les dispositions légales  ;
  • Pour les candidats non retenus à l’embauche, le CV et autres datas le concernant doivent être supprimés au bout de 2 ans.

Cependant, certaines informations peuvent ou ne doivent pas être supprimées une fois leur finalité atteinte car elles disposent d’utilités successives. C’est ce qu’explique la CNIL sur son site.

Les 3 phases liées à l’archivage RGPD

Comment concilier archivage RGPD et durée de conservation ?  Nous vous éclairons sur ce point. Le cycle de conservation des données RGPD se divise en 3 phases distinctes :

  • l’utilisation courante ;
  • l’archivage intermédiaire ;
  • l’archivage définitif.

L’utilisation courante :

Cette première phase, aussi appelée “base active” concerne les documents qui sont – ou qui vont – être utilisés, le plus souvent, quotidiennement et dans un avenir proche.
Selon le RGPD, l’utilisation courante se réfère à la durée d’utilisation nécessaire à la réalisation d’une tâche ou d’un traitement (ex. : inscription à une activité, obtention d’un document administratif…).

Concernant la base active, la durée de son utilisation doit être fixée par le responsable du traitement.

L’archivage intermédiaire

C’est la deuxième phase de l’archivage RGPD. Après avoir été utilisée, le responsable a le droit (et le devoir) de conserver la donnée en assurant sa sécurité. Les données personnelles peuvent être stockées dans un archivage intermédiaire.

L’accès à cette base est déjà plus restreint que l’étape précédente.
Deux points à retenir sur l’archivage RGPD intermédiaire :

  • en l’absence d’obligation de conservation, ce type de données peut avoir un intérêt juridique ou administratif ;
  • il faut prendre en compte l’obligation légale de conservation pendant une durée fixée.

Les archives intermédiaires peuvent être placées dans des dépôts spéciaux appelés “dépôts de pré-archivage”. Autrement, vous pouvez conserver ces données dans les locaux de votre entreprise avec un accès limité.

Ex. :
Ici, le document ne serait plus rangé dans le bureau mais placé dans un espace dédié et fermé à clé.

L’archivage définitif :

Dernière et ultime étape de l’archivage RGPD : l’archivage définitif.
Certaines informations présentent un intérêt historique, public ou scientifique qui justifie leur conservation.

Ces dernières doivent être conservées et archivées selon les conditions qui ont été fixées par le Code du patrimoine, et sont le plus souvent gardées sans limitation de durée.

En effet, ces informations n’ont pas pour première vocation d’être supprimées ou détruites. Il faut les conserver dans un endroit sûr et confidentiel. Cette conservation, ce sont les Archives de France qui s’en occupent.
Le site officiel (francearchives.fr) ainsi que les services d’archives à proximité peuvent vous renseigner sur vos obligations quant à ces données.

3 règles à respecter pour un archivage RGPD réussi

La gestion des archives et de l’archivage RGPD doit être effectuée de façon rigoureuse. Autrement, vous vous exposez à des sanctions extrêmement élevées, liées à la violation de certains droits.

3 règles doivent être respectées lorsqu’on effectue un archivage RGPD :

  1. Votre archivage doit être sélectif : le responsable du traitement des documents doit veiller à ne conserver que les données utiles. Ce point est directement lié avec le principe de minimisation des données ;
  2. Votre archivage RGPD doit être sécurisé : le responsable du traitement des données doit mettre en place les techniques et mesures nécessaires pour assurer la sécurité des archives, qu’elles soient physiques ou informatiques ;
  3. Votre archivage doit être limité dans le temps : hormis l’archivage définitif qui est du ressort des archives de France, les données que vous collectez doivent être archivées pour la durée de l’obligation concernée. Une fois le motif qui justifie l’archivage RGPD obsolète, il faut effacer la donnée.