Archivage des documents dans le RGPD

Déterminer la durée de conservation des documents archivés relève d’un arbitrage juridique complexe entre les délais de prescription des
litiges, les principes du RGPD et les obligations légales particulières à chaque document.

La masse des données collectées et stockées par les entreprises
n’a de cesse de croître, ce qui complexifie encore la question de leur
conservation. Les missions du DSI, centrales en matière d’archivage,
sont nécessairement impactées puisqu’il lui appartient de mettre en place la stratégie de gestion documentaire.

L’archivage doit tenir compte d’un triple niveau d’obligations : celui relatif à la protection des données personnelles. En effet, le RGPD vient – encore une fois ajouter un nouveau degré de complexité aux problématiques
déjà pointues de détermination des durées de conservation des données.
La durée de conservation selon le RGPD s’aligne sur la finalité du traitement, c’est pourquoi le responsable de traitement des données bancaires ne devra pas les conserver à l’issue de la transaction car la finalité à savoir le paiement a été achevée. En revanche, en cas de paiement dans le cadre d’un abonnement, les données pourront être conservées jusqu’à la dernière échéance de paiement. En plus de ces durées limitées par les principes du RGPD, le Code monétaire et financier pré­
voit que le prestataire de services de paiement est tenu de conserver les données bancaires pendant 13 mois suivant la date de débit pour la gestion des contestations.
Par ailleurs, les données peuvent aussi être conservées à des fins contentieuses et pré­-contentieuses conformément aux délais de
prescription applicables.

Naturellement, la sécurité est une notion clé de la gestion des archives pour garantir l’inté­grité des documents et leur force probante. Mais là encore, cette nécessité de sécurité se transforme en obligation de sécurité des données personnelles sous l’angle du RGPD. Le 28 mai 2019
la CNIL a sanctionné une société de gestion immobilière à une amende de 400000 euros pour défaut de sécurité et non-respect des durées de conservation.
Il est donc nécessaire de déterminer clairement une politique de conservation des données personnelles, distinguant l’archivage «en base active» concernant celles traitées en vue d’une finalité déterminée et l’archivage intermédiaire pour satisfaire aux obligations légales et délais de prescription applicables.

Pour ce faire, il peut être intéressant de consulter des référentiels thématiques tels que ceux de la CNIL. Cette dernière a lancé une consultation publique le 11 avril dernier sur deux référentiels portant l’un sur la gestion du personnel et l’autre sur la gestion des activités commerciales. Ils devraient comprendre une grille simplifiée reprenant
les durées de conservation légales existantes – 5 ans minimum par exemple pour les bulletins de paie – et les recommandations CNIL – quelques jours pour les vidéosurveillances.