Concrètement, cela signifie que les données personnelles doivent être effacées, anonymisées ou encore archivées dès qu’elles ne sont plus nécessaires à la réalisation des finalités ayant justifié leur collecte et leur traitement. Oui mais : comment définir les durées de conservation ? On sait que la durée de conservation proprement dite est définie en fonction de la durée du besoin « métier » réel de la donnée. Par exemple, conservation du dossier d’un salarié par les RH pendant la durée du contrat de travail.
Au-delà de la durée nécessaire à la réalisation de la finalité du traitement, les données peuvent être archivées – c’est-à-dire conservées en accès restreints – s’il existe une obligation légale de conservation de données ou si, en l’absence d’obligation de conservation, ces données présentent néanmoins un intérêt administratif, notamment en cas de contentieux.
Il convient de justifier des textes applicables et de documenter les choix ainsi opérés, le tout sous la responsabilité des représentants légaux de l’organisation. Justement : ce choix est un exercice complexe nécessitant l’intervention d’un juriste car il convient d’arbitrer entre l’exigence de suppression des données et les besoins de preuve en cas de litige, le tout dans un contexte où les recommandations de la Cnil ne sont pas toujours en phase avec la réalité des textes en la matière ! Souquez ferme, moussaillons…
Tribune proposée par Anne-Laure Gaillard, avocate au barreau de Rennes
LIRE AUSSI : TRIBUNE. Hélène Laudic-Baron : L’I-Avocat ?
TRIBUNE. Catherine Glon : « L’Autre, la seule passion qui vaille »
