Écrit par Raymond Faber et Cyril Pierre-Beausse
Publié Le 16.10.2018 - Paperjam
Les règles européennes en matière de protection des données interdisent depuis déjà 23 ans de conserver des données personnelles plus longtemps que nécessaire. Le RGPD confirme ce principe et déploie un arsenal de prérogatives permettant aux personnes concernées de bénéficier d’un «droit à l’oubli».
Aujourd’hui comme hier, pas de traitement licite de données personnelles sans finalité légitime. Mais chaque finalité finit un jour par atteindre son terme, et chaque donnée personnelle est «mortelle». Continuer à traiter des données personnelles au-delà de l’expiration de cette finalité est illégitime et donc illégal. Le moment venu, le responsable de traitement doit donc arrêter de traiter activement ou d’exploiter les données personnelles lorsque les besoins opérationnels du traitement ont pris fin, puis les détruire dans les meilleurs délais lorsque la loi ne l’oblige plus à les garder ou impose leur effacement. Entre ces deux étapes, une bonne pratique serait de les mettre en un lieu sûr et difficilement accessible (physiquement ou informatiquement) et hors de portée de personnes malveillantes.
Donnée personnelle, je te garde un peu…, beaucoup…, pour toujours…? Zut, la loi ne dit rien!
Combien de temps puis-je garder une donnée personnelle avant de devoir la détruire? La situation la plus simple est celle où la loi prévoit un délai de rétention des données ou une prescription, tel que c’est le cas, par exemple, pour les procédures de KYC («know your customer»), 5 ans (voire 10 ans), la prescription commerciale, 10 ans, etc. Au-delà de ces délais légaux, le RGPD exige de fixer et de documenter une rétention raisonnable, justifiée et proportionnée là où, justement, la loi ne dit rien. Une fois ce délai – légal ou non – expiré, les données personnelles devraient être détruites d’office si le responsable de traitement ne peut pas se prévaloir d’une des exceptions limitativement prévues dans le règlement européen (par exemple, si les données sont nécessaires à la constatation, à l’exercice ou à la défense de droits en justice).
Or, la donnée doit-elle vraiment être détruite pour satisfaire le RGPD? En d’autres termes, puis-je en tant que responsable de traitement garder la donnée sans violer ce texte? La réponse est oui! «Il suffit de» l’anonymiser en faisant en sorte que tout lien entre la donnée et la personne physique soit irrémédiablement détruit, et que cette dernière ne puisse plus jamais être réidentifiée à partir de la donnée restante. Une donnée anonymisée n’est en effet pas considérée comme une donnée personnelle, contrairement à une donnée pseudonymisée, qu’un responsable de traitement arrivera toujours à rattacher à une personne physique. Attention, l’exercice d’anonymisation de données personnelles n’est pas chose aisée! Le droit à l’oubli, en pratique, avant tout une obligation d’effacement pour le responsable de traitement…
Le droit à l’oubli permet désormais aux personnes concernées de demander la destruction de données dont le traitement était basé sur leur consentement, une fois celui-ci retiré, ou s’ils ont exercé leur droit de s’opposer au traitement.
Au-delà, ce droit peut également être utilisé par les personnes concernées pour exiger la destruction de données que le responsable du traitement aurait déjà dû détruire ou anonymiser spontanément, une fois la finalité de leur traitement achevée. Et ceci bien avant qu’une demande émane de la personne. En réalité, une demande de droit à l’oubli fondée sur une telle base vient simplement constater qu’un traitement illégal a eu lieu entre l’expiration de la finalité du traitement et la demande de la personne concernée.
Par ailleurs, lorsque le responsable de traitement a rendu les données personnelles publiques (notamment en les publiant sur internet), le RGPD l’oblige à prendre des mesures raisonnables pour informer d’autres responsables de traitement qui traiteraient ces données personnelles de la demande d’effacement par la personne concernée, ceci compte tenu des technologies disponibles et des coûts de mise en œuvre. Il s’agit donc d’une obligation de moyens, prenant en compte la réalité du terrain qui fait que ces données personnelles sont souvent transférées à une multitude d’acteurs rendant difficile ou impossible le contrôle «end-to-end» des données transférées.
Un changement de mentalité s’impose
Un réflexe très répandu consiste à conserver toutes les données possibles (y compris les données personnelles) sans limitation de durée en pensant que des archives complètes protègent l’organisation en lui permettant de faire face à toute requête. Depuis longtemps, la législation européenne impose la destruction des données personnelles devenues obsolètes. Le RGPD confirme ce principe, l’assortit de sanctions énormes et donne de nouveaux droits aux personnes concernées. Désormais, il est bien plus dangereux pour une organisation de conserver des données trop longtemps que de les détruire prématurément! Un changement de mentalité s’impose…
Un vieux proverbe français disait: «De négligence naît oubli».
Avec le RGPD, c’est le contraire: «Doit oublier celui qui maitrise ses données!»
Les règles européennes en matière de protection des données interdisent depuis déjà 23 ans de conserver des données personnelles plus longtemps que nécessaire. Le RGPD confirme ce principe et déploie un arsenal de prérogatives permettant aux personnes concernées de bénéficier d’un «droit à l’oubli».
Aujourd’hui comme hier, pas de traitement licite de données personnelles sans finalité légitime. Mais chaque finalité finit un jour par atteindre son terme, et chaque donnée personnelle est «mortelle». Continuer à traiter des données personnelles au-delà de l’expiration de cette finalité est illégitime et donc illégal. Le moment venu, le responsable de traitement doit donc arrêter de traiter activement ou d’exploiter les données personnelles lorsque les besoins opérationnels du traitement ont pris fin, puis les détruire dans les meilleurs délais lorsque la loi ne l’oblige plus à les garder ou impose leur effacement. Entre ces deux étapes, une bonne pratique serait de les mettre en un lieu sûr et difficilement accessible (physiquement ou informatiquement) et hors de portée de personnes malveillantes. Donnée personnelle, je te garde un peu…, beaucoup…, pour toujours…? Zut, la loi ne dit rien! Combien de temps puis-je garder une donnée personnelle avant de devoir la détruire? La situation la plus simple est celle où la loi prévoit un délai de rétention des données ou une prescription, tel que c’est le cas, par exemple, pour les procédures de KYC («know your customer»), 5 ans (voire 10 ans), la prescription commerciale, 10 ans, etc. Au-delà de ces délais légaux, le RGPD exige de fixer et de documenter une rétention raisonnable, justifiée et proportionnée là où, justement, la loi ne dit rien. Une fois ce délai – légal ou non – expiré, les données personnelles devraient être détruites d’office si le responsable de traitement ne peut pas se prévaloir d’une des exceptions limitativement prévues dans le règlement européen (par exemple, si les données sont nécessaires à la constatation, à l’exercice ou à la défense de droits en justice). Or, la donnée doit-elle vraiment être détruite pour satisfaire le RGPD? En d’autres termes, puis-je en tant que responsable de traitement garder la donnée sans violer ce texte? La réponse est oui! «Il suffit de» l’anonymiser en faisant en sorte que tout lien entre la donnée et la personne physique soit irrémédiablement détruit, et que cette dernière ne puisse plus jamais être réidentifiée à partir de la donnée restante. Une donnée anonymisée n’est en effet pas considérée comme une donnée personnelle, contrairement à une donnée pseudonymisée, qu’un responsable de traitement arrivera toujours à rattacher à une personne physique. Attention, l’exercice d’anonymisation de données personnelles n’est pas chose aisée! Le droit à l’oubli, en pratique, avant tout une obligation d’effacement pour le responsable de traitement… Le droit à l’oubli permet désormais aux personnes concernées de demander la destruction de données dont le traitement était basé sur leur consentement, une fois celui-ci retiré, ou s’ils ont exercé leur droit de s’opposer au traitement. Au-delà, ce droit peut également être utilisé par les personnes concernées pour exiger la destruction de données que le responsable du traitement aurait déjà dû détruire ou anonymiser spontanément, une fois la finalité de leur traitement achevée. Et ceci bien avant qu’une demande émane de la personne. En réalité, une demande de droit à l’oubli fondée sur une telle base vient simplement constater qu’un traitement illégal a eu lieu entre l’expiration de la finalité du traitement et la demande de la personne concernée. Par ailleurs, lorsque le responsable de traitement a rendu les données personnelles publiques (notamment en les publiant sur internet), le RGPD l’oblige à prendre des mesures raisonnables pour informer d’autres responsables de traitement qui traiteraient ces données personnelles de la demande d’effacement par la personne concernée, ceci compte tenu des technologies disponibles et des coûts de mise en œuvre. Il s’agit donc d’une obligation de moyens, prenant en compte la réalité du terrain qui fait que ces données personnelles sont souvent transférées à une multitude d’acteurs rendant difficile ou impossible le contrôle «end-to-end» des données transférées. Un changement de mentalité s’impose Un réflexe très répandu consiste à conserver toutes les données possibles (y compris les données personnelles) sans limitation de durée en pensant que des archives complètes protègent l’organisation en lui permettant de faire face à toute requête. Depuis longtemps, la législation européenne impose la destruction des données personnelles devenues obsolètes. Le RGPD confirme ce principe, l’assortit de sanctions énormes et donne de nouveaux droits aux personnes concernées. Désormais, il est bien plus dangereux pour une organisation de conserver des données trop longtemps que de les détruire prématurément! Un changement de mentalité s’impose… Un vieux proverbe français disait: «De négligence naît oubli». Avec le RGPD, c’est le contraire: «Doit oublier celui qui maitrise ses données!»