Les entreprises accumulent, quotidiennement, de grands volumes de données personnelles : fichiers clients, documents de collaborateurs, informations sur les fournisseurs, bases de données marketing, contrats, factures, journaux d'accès, enregistrements de service et bien d'autres encore. Ce stockage, bien que souvent nécessaire à l'exploitation, ne peut être illimité.
La loi générale brésilienne sur la protection des données personnelles (LGPD) et le Règlement général sur la protection des données personnelles de l'Union européenne (RGPD) partagent une même prémisse : les données personnelles doivent être conservées uniquement pour la durée nécessaire à l'accomplissement de la finalité qui a justifié leur collecte, sauf lorsqu'une base légale permet leur conservation pour une période plus longue.
En pratique, il s'agit de l'un des points les plus sensibles de la gouvernance en matière de protection de la vie privée. Bien que la règle soit simple, son application exige une évaluation attentive, dans la mesure où les législations sur la protection des données personnelles ne fixent généralement pas de durée de conservation unique et universelle pour chaque type de donnée. Dans ce contexte, il appartient aux entreprises de définir leurs propres critères, en tenant compte de la finalité du traitement, des obligations légales ou réglementaires, des délais de prescription, des besoins opérationnels et des risques pour les personnes concernées.
Pourquoi la conservation des données personnelles est-elle importante?
La conservation excessive de données personnelles accroît les risques juridiques, opérationnels et de sécurité. En effet, plus une entreprise conserve des données personnelles sans nécessité de traitement clairement établie, plus son exposition tend à augmenter en cas d'incident de sécurité, d'accès non autorisé, d'utilisation d'informations obsolètes, de demandes de personnes concernées ou de contrôle par les autorités de régulation.
Dans ce contexte, les règles de conservation et de suppression ne doivent pas être perçues comme une simple exigence formelle de conformité. Au contraire, elles s'inscrivent dans une bonne gouvernance de l'information et contribuent à réduire des risques concrets pour l'entreprise.
Une politique de conservation bien structurée permet:
– De définir des durées de conservation et de suppression;
– De réduire le stockage inutile de données personnelles;
– De faciliter le traitement des demandes des personnes concernées:
– De diminuer les risques de sécurité;
– De démontrer la conformité légale et réglementaire.
LGPD et RGPD : conservation, suppression et exceptions légales
La LGPD et le RGPD suivent une logique similaire : les données personnelles doivent être conservées uniquement tant qu'elles sont nécessaires à la finalité qui a justifié le traitement. Une fois cette finalité atteinte, la règle générale devient la suppression ou l'anonymisation des données personnelles, sauf lorsqu'une base légale autorise leur conservation.
Au Brésil, la LGPD permet la conservation des données personnelles dans des hypothèses spécifiques, telles que l'exécution d'une obligation légale ou réglementaire, la réalisation d'études par un organisme de recherche, le transfert à des tiers conformément à la loi, ou l'usage exclusif par le responsable du traitement, à condition que les données personnelles soient anonymisées chaque fois que cela est applicable.
De même, le RGPD admet la conservation lorsqu'elle est nécessaire, par exemple, pour le respect d'une obligation légale, la constatation, l'exercice ou la défense de droits en justice, ou encore pour certaines finalités d'intérêt public, de recherche, de statistiques ou d'archivage, sous réserve des garanties applicables.
Dans ce contexte, le point central est que les entreprises ne doivent pas conserver des données personnelles indéfiniment ou simplement « par précaution ». La conformité dépend donc de la capacité à définir, documenter et appliquer de manière cohérente des critères clairs de conservation et de suppression, alignés sur des besoins juridiques, réglementaires et commerciaux légitimes.
Orientations des autorités de protection des données personnelles
Les autorités de protection des données personnelles exigent généralement que les entreprises définissent des durées de conservation fondées sur des critères de nécessité et de proportionnalité. En d'autres termes, il ne suffit pas de conserver des données personnelles parce qu'elles « pourraient être utiles à l'avenir » : il est nécessaire de justifier objectivement pourquoi ces données personnelles demeurent nécessaires.
L'Information Commissioner's Office (ICO), l'autorité britannique de protection des données personnelles, recommande aux organisations d'être en mesure de justifier la durée de conservation des données personnelles, d'établir des durées de conservation standard chaque fois que possible, de réexaminer périodiquement les informations stockées et de procéder à la suppression ou à l'anonymisation des données personnelles qui ne sont plus nécessaires.
De manière complémentaire, la Commission nationale de l'informatique et des libertés (CNIL) fournit également des paramètres pratiques sur le sujet. Dans le contexte de la gestion commerciale, par exemple, la CNIL indique que les données personnelles de clients utilisées à des fins de prospection peuvent être conservées pendant la durée de la relation commerciale et, après sa cessation, en règle générale, jusqu'à trois ans. Les données personnelles relatives aux clients potentiels peuvent, en règle générale, être conservées pendant trois ans à compter de leur collecte ou du dernier contact à l'initiative du client potentiel.
Ces orientations ne remplacent pas une analyse au cas par cas, mais servent de références pertinentes pour les entreprises qui structurent leurs tableaux internes de retenue.
Carrefour et les risques d'une conservation excessive
L'affaire Carrefour illustre clairement les risques associés à la conservation excessive de données personnelles. En 2020, la CNIL a infligé une amende de 2,25 millions d'euros à Carrefour France pour plusieurs violations du RGPD, dont une conservation excessive de données personnelles.
L'autorité a notamment constaté que la société avait conservé les données personnelles de clients inactifs pendant des périodes supérieures au nécessaire et avait conservé des copies de pièces d'identité présentées dans le cadre de demandes de personnes concernées pendant une durée plus longue que ce qui pouvait être justifié.
Cette affaire démontre que les autorités n'évaluent pas les durées de conservation uniquement en théorie, mais attendent des routines effectives de suppression.
Le rôle des Responsables du traitement et des Sous-traitants dans la conservation des données
Les obligations liées à la conservation peuvent varier selon que l'entreprise agit en qualité de responsable du traitement ou de sous-traitant. Dans ce contexte, les Responsables du traitement et les Sous-traitants assument des responsabilités distinctes, bien que complémentaires.
Les Responsables du traitement sont, en règle générale, chargés de définir les finalités du traitement et les durées de conservation applicables. Les Sous-traitants, quant à eux, doivent traiter les données personnelles conformément aux instructions documentées du responsable du traitement et, à l'issue de la prestation de services, restituer, supprimer ou anonymiser les données, sauf lorsqu'une obligation légale justifie leur conservation.
La conservation indiscriminée peut, dans ce scénario, générer des risques pour les deux parties. Pour le Responsable du traitement, conserver des données sans critères rend difficile le contrôle du cycle de vie des informations et peut accroître son exposition réglementaire. Pour le Sous-traitant, en revanche, conserver des données au-delà du nécessaire peut amplifier les risques de sécurité, la responsabilité contractuelle et les interrogations quant au respect des instructions reçues.
Pour cette raison, les contrats impliquant un traitement de données personnelles doivent prévoir de manière explicite ce qu'il adviendra des données à l'issue de la relation contractuelle, notamment la restitution, la suppression, l'anonymisation, la conservation en raison d'une obligation légale et, le cas échéant, la preuve de la suppression.
Que doivent faire les entreprises?
Pour gérer les risques liés à la conservation et à la suppression des données personnelles, les entreprises doivent adopter les mesures pratiques suivantes:
– Identifier la finalité et la base légale de chaque activité de traitement;
– Définir des durées ou critères objectifs de conservation;
– Lier les durées de conservation aux obligations légales et aux délais de prescription;
– Mettre en œuvre des routines de suppression sécurisée ou d'anonymisation;
– Réviser les bases de données héritées et les données inactives ;
– S'assurer que les avis de confidentialité reflètent les pratiques effectivement adoptées;
– Inclure des clauses de suppression et de conservation dans les contrats;
– Documenter les exceptions et conserver une preuve de la suppression pour chaque cycle.
La conservation des données personnelles, bien que souvent sous-estimée, est l’un des éléments centraux de la conformité en matière de protection des données. Conserver des données plus longtemps que nécessaire accroît les risques juridiques, sécuritaires et réputationnels. En revanche, les supprimer trop tôt peut compromettre le respect d’obligations légales ou la capacité de l’entreprise à défendre ses droits.
Face à ce constat, la solution ne réside pas dans l’adoption d’une durée générique pour l’ensemble des données, mais dans la structuration d’une politique de conservation et d’élimination appuyée par un tableau de conservation, des responsabilités internes clairement définies et des procédures pratiques de suppression ou d’anonymisation.
Chez GTLawyers, notre équipe de protection des données accompagne les entreprises dans l’élaboration et la mise en œuvre de politiques de conservation et d’élimination, dans la révision des contrats de traitement de données, dans la cartographie des obligations légales de conservation et dans l’alignement des pratiques internes sur la LGPD, le RGPD et d’autres normes internationales en matière de protection de la vie privée.
