Les spécificités de la conservation des données et de leur archivage

Les données à caractère personnel collectées par le responsable du traitement ne peuvent pas être conservées indéfiniment. Cette limite à la conservation des données concerne tous types de traitement, qu’il s’agisse d’un fichier numérique ou d’un fichier papier.

 

           Une durée de conservation des données personnelles limitée

La durée de conservation d’une donnée représente le temps séparant le moment de la collecte de la donnée de son effacement complet du traitement.

La conservation des données se distingue de l’archivage et repose sur le fait de maintenir intact les documents contenant des données personnelles et de les préserver de toute modification, altération ou destruction, à des fins juridiques, lorsque cette opération permet notamment d’assurer la sauvegarde d’un droit (preuve) ou le respect d’une obligation légale (validité).

Au titre de la protection des données, la limitation à la conservation des données personnelles est un principe fondateur du nouveau Règlement européen. En effet, en vertu de l’l’article 5 du RGPD , les données à caractère personnel doivent être conservées sous une forme permettant d’identifier les personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

Le responsable du traitement doit donc définir une durée de conservation lors de l’élaboration du traitement de données (limitation de la conservation).

Ce principe est également repris à l’article 6 §5 de la Loi Informatique et Libertés, récemment modifiée.

Pour autant, il est possible que des textes (légaux, réglementaires, etc.) imposent eux-mêmes des durées spécifiques. Ces durées devront donc être respectées par le responsable du traitement.

Exemples de durées de conservation de données personnelles dans les E.P.L.E. :

Dispositif

Durée de conservation

Dossiers scolaires d’admission

10 ans

Fichiers d’élèves

50 ans

Copies d’examen

1 an

Attestations de réussite

50 ans

Aide sociale

5 ans

Vidéosurveillance

1 mois

 

Le responsable du traitement doit rendre les données accessibles durant le temps de conservation.

A l’issue de la conservation initiale de ces données, trois cas sont possibles :

  • Les données sont effacées (purge des données) : intégrer à l’application une date de péremption lors de sa création ;
  • Les données sont archivées;
  • Les données sont anonymisées, rendant l’identification des personnes concernées impossibles. Ce ne sont donc plus des données à caractère personnel et elles pourront être conservées librement.

Enfin, la CNIL précise qu’en cas de procédure de suppression automatique, le responsable du traitement doit s’assurer que les données ont bien été effacées.

            L’archivage des données

Après la conservation des données pour la réalisation de l’objectif poursuivi par le traitement, les données collectées peuvent être archivées, c’est-à-dire qu’elles seront conservées pour une durée plus longue que la durée de conservation initiale.

En vertu de l’article L. 211-1 du Code du patrimoine, les archives concernent tous les documents, dont les données, quels que soient leur date, leur forme, leur lieu de conservation et leur support, produits ou reçus par toute personne physique ou morale et tout service ou organisme public ou privé dans l’exercice de leur activité.

La notion d’archive est indépendante de la période d’utilisation des documents qui acquièrent la qualité d’archives dès leur création pour une activité. La forme et la nature du support (papier, électronique) n’ont pas d’importance.

3 phases successives se distinguent dans le cycle de vie d’une donnée :

  • Archives courantes (base active) : données d’utilisation courante par le service (durée nécessaire à l’accomplissement de la finalité du traitement) ;
  • Archives intermédiaires: les données personnelles peuvent être conservées pour des durées plus longues, distinctement de la base active et avec un accès restreint, dans les cas où il y a une obligation légale, où les données présentent un intérêt administratif (délai de prescription en matière de contentieux) ou encore si elles font l’objet d’archivage dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ;
  • Archives définitives: données présentant un intérêt historique, scientifique ou statistique, justifiant qu’elles soient conservées définitivement.

 

Exemples de durée d’archivage :

 

  • Emploi du temps des classes: la durée d’utilité administrative (DUA) est d’1 an et ce sont les emplois du temps des années scolaires se terminant en 0 et 5 qui sont à conserver (écoles, EPLE, CFA, EREA) ;
  • Les bulletins scolaires : la DUA est de 50 ans mais elle est réduite à 10 ans si l’établissement possède un récapitulatif de la situation administrative et pédagogique complet de l’élève ;
  • Les bulletins d’absence, mots d’excuse des parents et certificats médicaux : la durée d’utilité administrative est d’1 an.
  • Rupture d’un contrat de travail : 12 mois (délai de prescription prévu par le code du travail).

Selon la CNIL, les données relatives à un employé sont conservées le temps de sa présence dans l’organisme. Lorsque l’employé part, certaines informations sont conservées par l’employeur, comme le bulletin de paie qui est conservé durant 5 ans.

Les durées correspondent à la Durée d’Utilité Administrative (DUA) fixée par voie réglementaire. C’est le délai minimal durant lequel les documents doivent être conservés dans les locaux de l’établissement en tant qu’archive courante ou intermédiaire.

Pour les archives intermédiaires, la CNIL recommande que l’accès soit limité à un service spécifique et qu’il soit au moins procédé à un isolement des données archivées par une séparation « logique ». Le responsable du traitement veille à ne conserver que les données nécessaires au respect de l’obligation ou lui permettant de faire valoir un droit en justice.

Ainsi, il procède à un tri parmi toutes les données collectées. Ces données archivées ne peuvent plus être utilisées par les services, elles sont conservées uniquement dans une optique contentieuse.

Les données archivées ne sont conservées que pour le temps de l’accomplissement de l’objectif et seront supprimées lorsque le motif justifiant l’archivage disparaît.

Pour les archives définitives, il faut les conserver sur un support indépendant, non accessible par les systèmes de production n’autorisant qu’un accès distinct, ponctuel et précisément motivé auprès d’un service seul habilité à consulter ces archives.

La CNIL recommande également de mettre en œuvre des dispositifs sécurisés à l’occasion de tout changement de support de stockage des données archivées, ainsi que des dispositifs de traçabilité des consultations de ces données.

            Les archives publiques

Au regard de l’article L. 211-4 du Code du Patrimoine, les documents procédant de l’activité de l’Etat, des collectivités territoriales, des établissements publics et des autres personnes morales de droit public, ainsi que les documents procédant de la gestion d’un service public ou de l’exercice d’une mission de service public par des personnes de droit privé sont des archives publiques.

De plus, le RGPD précise, en son considérant n°158, que les traitements à des fins archivistiques dans l’intérêt public sont ceux mis en œuvre par les services qui ont une obligation légale de collecte, de conservation et de communication d’archives définitives (services publics d’archives).

L’article 36 de la Loi Informatique et Libertés, modifié par l’article 14 de la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles, prévoit que lorsque les traitements sont mis en œuvre par les services publics d’archives à des fins archivistiques dans l’intérêt public, les droits prévus aux articles 15, 16 et 18 à 21 du RGPD (droit d’accès, droit de rectification, droit à la limitation, droit à la portabilité, droit d’opposition, droit à l’effacement) ne s’appliquent pas s’ils rendent impossible ou entravent sérieusement la réalisation de ces finalités.

L’archivage public a pour finalité fondamentale l’information du public. L’objectif peut être la conservation historique ou la réalisation de statistiques.

Enfin, le délai de communication publique de droit commun (délai de principe) pour les archives publiques est de 30 ans.

 

Liens utiles :

Pour vous aider dans la compréhension des démarches à suivre et sur les durées de conservation à retenir pour vos fichiers, voici une liste de circulaires et instructions indiquant ces informations.

- Archives des universités (DAF/DPACI/RES/2006/008 du 12 septembre 2006) : https://francearchives.fr/file/2986cd9c1b4425a7ecc46d8f533a4dcb4f6378ac/static_885.pdf.

- Circulaire AD 75-1 du 25 février 1975 « Archives des services et établissements de l’éducation : tri et conservation des documents concernant les examens et les bourses » : https://francearchives.fr/file/cf29a3d41b5b56e95d45f628f14b0340e2a1618d/static_999.pdf.

- Circulaire AD 70-5 du 26 mai 1970 « Archives de l’éducation nationale : rectorats, inspections académiques, établissements d’enseignement supérieur, établissement d’enseignement du second degré, écoles primaires, écoles maternelles et établissements d’enseignement spécial » : https://francearchives.fr/file/00289437faee3824edef7f7ef82ee23d30169016/static_1006.pdf.

- Instruction de tri et de conservation pour les archives reçues et produites par les services et établissements concourant à l’Education nationale (n°2005-003 du 22 février 2005) :  http://www.education.gouv.fr/bo/2005/24/MENA0501142J.htm.

- Tableaux de tri et conservation des archives concernant l’Education Nationale (B.O. n°24 du 16 juin 2005) : http://www.education.gouv.fr/bo/BoAnnexes/2005/24/tableaux_encart24.pdf.