Nos données personnelles sont-elles supprimées ? Que dit la loi à ce propos ?

 

La durée de conservation des données est définie par le principe de temporalité. On connaît souvent ce principe sous le nom de “droit à l’oubli”. Il impose une limitation de la durée de conservation, au-delà duquel les données sont effacées.

L’article 6 précise à ce titre que les données « sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. ».

En pratique cette durée est fixée par le responsable du traitement qui doit procéder à une estimation au regard des finalités indiquées.

D’importants questionnements subsistent cependant concernant la proportionnalité du temps de conservation par rapport au traitement qui doit être effectué.

La loi ne donne aucune indication précise quant aux délais à respecter selon les traitements mis en œuvre. Il faut se référer aux délibérations de la CNIL (Commission Nationale de l’Informatique et des Libertés)  et aux usages professionnels des secteurs concernés. Les sociétés commerciales ont donc une grande liberté et peuvent aisément allonger les durées de détention à leur guise. Dans de nombreuses situations on peut également se référer aux délais de prescription qui peuvent servir de base pour l’établissement du délai de conservation.

Légalement, il n’est possible de conserver les données au-delà du délai fixé initialement par le responsable du traitement que dans de très rares cas : lorsque les données sont conservées « en vue d’être traitées à des fins historiques, statistiques ou scientifiques » (art. 36, 1er al.), dans ce cas, la législation applicable est celle relative aux archives. Si ce n’est pas le cas, il faut l’accord exprimé de la personne dont les données vont être conservées ou l’autorisation de la CNIL. Si les données sont sensibles, l’article 36 prévoit un régime spécifique plus complexe.

Une fois le délai déterminé, il est très important de le respecter à la lettre car l’article 226-20 du Code pénal sanctionne: « le fait de conserver des données à caractère personnel au-delà de la durée prévue [initialement], est puni de 5 ans d’emprisonnement et de 300.000 € d’amende, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi (…) ». L’infraction de l’article 226-20 est extrêmement simple dans sa formulation et constitue un véritable risque pour les organisations, puisque le seul fait de conserver une donnée au-delà des délais indiqués matérialise le délit pénal.

Ainsi en a jugé, par exemple, la Cour d’appel de Paris dans une affaire dans laquelle elle condamnait, sur le fondement de l’article 226-20, le responsable du traitement pour avoir conservé en mémoire des données au-delà de la durée initialement prévue (CA Paris, 11e ch., 15 févr. 1994).

La détermination du délai doit donc être prise au sérieux ainsi que les moyens prévus pour s’assurer que les données ne seront pas traitées au-delà.

Des procédures particulières de vérification doivent donc être mises en œuvre par les organisations afin de s’assurer du respect de cette obligation.

 

Pour résumer , concernant les données personnelles, la CNIL a établit que :

  • les données ont une durée de vie : conserver des données plus de 5 ans au-delà de cette durée peut entraîner une peine de prison et une forte contravention.

  • obligation d’informer les personnes dont les données sont collectées de la finalité et/ou des transmissions éventuelles de ces données à des tiers.

 

 

Source d’information:

http://www.donneespersonnelles.fr/le-principe-de-temporalite

http://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000028450267

 

 

Article publié le 2 novembre 2015 par Comité de Caritat.

Posez votre question, nos experts vous répondront