RGPD : Quelles sont les règles de conservation des données personnelles ?
ARTICLES
La CNIL est régulièrement saisie de plaintes lui permettant de contrôler les sites web que des utilisateurs jugent problématiques au regard du droit à la protection de leurs données personnelles.
Elle a justement été saisie d’une plainte au sujet du site internet infogreffe.fr, permettant de consulter des informations légales sur les entreprises et de commander des documents certifiés par les greffes des tribunaux de commerce. Pour accéder à ces services, les utilisateurs disposent d’un compte « membre » ou « abonné ».
Les données ainsi collectées dans le cadre de ce service sont les données directement identifiantes (nom, prénom, adresse, téléphone, réponse à la question secrète) ainsi que les données bancaires (IBAN et BIC).
Infogreffe sanctionné par la CNIL sur les durées de conservation
Le GIE[1] Infogreffe a ainsi été sanctionné sur la base de plusieurs manquements (Délibération SAN-2022-018 du 8 septembre 2022) :
Un manquement relatif à l’obligation de conserver les données pour une durée proportionnée à la finalité du traitement (art. 5.1 e du RGPD) ;
Un manquement relatif à l’obligation d’assurer la sécurité des données personnelles (art. 32 du RGPD).
Pour ces manquements, Infogreffe a été condamné par la formation restreinte de la CNIL au règlement d’une amende administrative de 250 000 euros.
L’occasion nous est offerte de revenir sur ces principes fondamentaux du RGPD.
Durée de conservation des données : quelles sont les limites à ne pas dépasser ?
La Loi informatique et liberté (« LIL »)[2] et le RGPD posent un principe général de limitation de la durée de conservation.
Un manquement au principe général de limitation de la durée de conservation
L’article 5, e) du RGPD dispose à cet effet que les données doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».
Il appartiendra au responsable de traitement de déterminer, en fonction de la finalité du traitement, cette durée « nécessaire » ne dépassant pas la période strictement requise par la réalisation du service.
Le considérant 39 du RGPD précise à cet égard qu’afin de garantir cette conservation limitée « des délais devraient être fixés par le responsable de traitement pour leur effacement ou pour un examen périodique ».
En l’espèce, la CNIL relevait que les données de 25% des utilisateurs[3] du service faisaient l’objet d’une durée de conservation au-delà des délais prévus, lesquels étaient de 36 mois à compter de la dernière commande de prestation ou de document.
Elle relève ainsi que l’organisme avait lui-même fixé une durée de conservation qu’il n’avait pas respectée, ce manquement concernant plus d’un million de comptes utilisateurs, membres et abonnés[4]…
La détermination de la durée de conservation à la charge du responsable de traitement
En dehors des cas dans lesquels la durée de conservation est fixée par la règlementation[5], l’identification et le choix d’une durée de conservation relèvent de l’analyse de conformité que le responsable de traitement doit lui-même mener pour son traitement.
La CNIL fournit à ce titre quelques outils d’aide à la détermination de durées proportionnées, se référant ainsi à trois phases successives de conservation des données[6] :
L’utilisation courante (« en base active »)[7] : il s’agit de la durée nécessaire à la réalisation de l’objectif (finalité du traitement) ayant justifié la collecte des données. Elles font l’objet d’une utilisation « courante » par les services chargés de la mise en œuvre du traitement[8] ;
L’archivage intermédiaire : lorsque les données personnelles ne nécessitent plus d’être utilisées pour atteindre l’objectif fixé (« dossiers clos ») mais présentent tout de même un intérêt administratif pour l’organisme[9]. A ce niveau, seules les personnes habilitées pourront consulter les données, de manière ponctuelle et motivée.
L’archivage définitif: à ce stade, les données sont archivées sans limitation de durée. Cette phase est subordonnée au respect des conditions de l’article 5, e) du RGPD[10].
La détermination de durées de conservation proportionnées se fera pour chacun de ces trois niveaux d’archivage de données.
Les mesures de sécurisation ayant fait défaut dans le cadre de la condamnation de Infogreffe
La mise en place de mesure de sécurisation (« mesures techniques et organisationnelles ») des données est obligatoire en vertu des principes d’intégrité et de confidentialité (art. 5, f) du RGPD).
Une sécurisation insuffisante des mots de passe
De telles mesures sont destinées à la protection contre le traitement non autorisé ou illicite, la perte, la destruction ou encore les dégâts d’origine accidentelle, des données.
Lorsque les données collectées sont des données sensibles (données bancaires par exemple[11]) les mesures de sécurisation sont renforcées.
Elles concernent tout d’abord le processus d’authentification par mot de passe.
Dans le cadre de la mise en œuvre de son service, le site infogreffe.fr, ainsi que le relève la CNIL, conservait les mots de passe des utilisateurs en clair. Par ailleurs, l’interlocutrice du service téléphonique d’infogreffe pouvait fournir ledit mot de passe à toute personne, en échange de la communication simple du « nom ».
Selon la CNIL, « la faiblesse extrême des règles de complexité des mots de passe, ainsi que les mesures de sécurité en matière de communication, conservation et renouvellement des mots de passe, en vigueur depuis 2002, rendaient l’ensemble des comptes vulnérables »[12].
Or, en matière de mots de passe, la CNIL avait pu rappeler l’existence de certains risques, découlant notamment :
De la simplicité du mot de passe
De la possibilité d’écoute sur le réseau afin de collecter les mots de passe transmis
La conservation en clair du mot de passe
La faiblesse des modalités de renouvellement du mot de passe en cas d’oubli (cas des questions « secrètes »)[13].
Un processus d’anonymisation insuffisant pour des données conservées sans limitation de durée
En second lieu, les mesures de sécurisation passent par un procédé d’anonymisation[14] de certaines données personnelles.
En l’espèce, la formation restreinte de la CNIL a considéré que l’anonymisation manuelle mise en œuvre par Infogreffe sur demande des utilisateurs ne concernait qu’une très faible quantité de comptes (au jour du contrôle, 25% des comptes n’étaient pas anonymisés alors qu’ils auraient dû l’être)[15]…
Le manquement à ces mesures de sécurisation des données emportait de facto un manquement au principe de limitation de la conservation (art. 5. e) du RGPD). Il dispose en effet que les données à caractère personnel ne peuvent être conservées pour des durées plus longues que dans la mesure où :
Elles sont traitées à des fins exclusivement archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques;
Et pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées, afin de garantir les droits et libertés de la personne concernée.
Le manquement à ces diligences conduit la CNIL à considérer que dès lors qu’aucune procédure d’anonymisation automatique de données – conservées sans limitation de durée – n’était mise en œuvre en dehors d’une demande de la part des utilisateurs, il en résultait un manquement structurel à l’article 5, paragraphe 1, e) du RGPD…
Le principe de limitation des durées de conservation des données ne pouvant être excepté qu’en présence de mesures techniques et organisationnelles appropriées.
***
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de vingt-cinq ans en matière de nouvelles technologies, accompagne ses clients dans différents domaines du droit.
Il dispose d’un cabinet entièrement dédié à la concurrence numérique ayant vocation à accompagner ses clients dans la sécurisation de leurs activités au regard de règles juridiques en mutation et en cours de construction.
N’hésitez pas à faire appel à nos experts pour vous conseiller. Pour en savoir plus, contactez-nous ici.
[1] Groupement d’intérêt économique.
[2] Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
[3] Données bancaires, noms, prénoms, adresse postale et électronique, téléphone, question secrète et réponse…).
[4] Point 48 de la délibération.
[5] L’article R1221-26 du Code de travail impose par exemple que les mentions portées sur le registre unique du personnel soient conservées pendant 5 ans à compter de la date à laquelle le salarié, ou le stagiaire a quitté l’établissement.
[6] CNIL, Guide pratique sur Les durées de conservation, juillet 2020.
[7] La conservation est en principe
[8] Les données sont accessibles dans l’environnement de travail immédiat.
[9] Conservation nécessaire pour la gestion d’un éventuel contentieux, ou conforme à une obligation légale…
[10] « Les données peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement ) des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques (…) pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées ».
[11] CNIL, La CNIL publie un nouveau Livre blanc sur les données et moyens de paiement, oct. 2021.
[12] Considérant 48 de la délibération.
[13] CNIL, Authentification par mot de passe : les mesures de sécurité élémentaires, 21 nov. 2018.
[14] L’anonymisation rend impossible l’identification d’une personne à partir d’un jeu de données et permet, ainsi, de respecter sa vie privée. Elle se distingue de la « pseudonymisation », visant à ce que l’on ne puisse plus attribuer les données relatives à une personne physique sans information supplémentaire. – V. sur ce point Fiche CNIL, L’anonymisation de données personnelles, 2020.
[15] CNIL, Sanction de 250 000 euros à l’encontre d’INFOGREFFE, 13 sept. 2022.
L'auteur
Avocat