Document de Base sur la Conservation des Données
Tous les documents comportant des données à caractère personnel doivent être conservés pour une durée déterminée et limitée.
A. Définitions
1. La « durée de conservation »
La durée de conservation est le temps qui sépare le moment de la collecte (ou de la génération) d’une donnée de son effacement complet du traitement. La durée de conservation réelle de chaque donnée individuelle ne doit pas dépasser la valeur maximale déclarée lors de la procédure préalable à la mise en œuvre d’un traitement.
Par simplification, on appelle couramment « durée de conservation d’une donnée » cette valeur maximale, même si elle n’est pas toujours atteinte.
Le terme DUA est le plus employé dans les services d’archives publics soit Durée d’utilité administrative. C’est une « durée légale ou pratique pendant laquelle un document est susceptible d’être utilisé par le service producteur ou son successeur, au terme de laquelle est appliquée la décision concernant son traitement final. Le document ne peut être détruit pendant cette période qui constitue sa durée minimale de conservation ». (in Abrégé d’archivistique : principes et pratiques du métier d’archiviste, Association des archivistes français, Paris, 2004, glossaire, p.260-261)
A noter que dans les tableaux publiés par Archimag, guide pratique n°39, DUA est entre parenthèse après Durée de conservation.
La durée de conservation peut correspondre à une obligation de conservation fixée par la législation ou la réglementation. La « durée de conservation » d’un document
correspond au temps de conservation indiqué par les textes réglementaires, des lois nationales, européennes ou des besoins internes si le document n’est soumis à aucun délai spécifique. Ces durées figurent dans les textes des différents codes, lois que l’on peut consulter sur le site de Légifrance (http://www.legifrance.gouv.fr/). Certaines lois étrangères s’appliquent également aux entreprises du fait de leur activité dans les pays où elles sont en vigueur (Sarbanes-Oxley act, les contrôles de la SEC)
Tous les documents à archiver ne sont pas visés par une durée légale de conservation.
Il faut alors définir et motiver une durée de conservation, grâce à l’évaluation des responsables de traitement des documents. Il est utile d’attribuer un délai de
conservation aux documents y compris les non validés ou documents de travail, à la documentation qui n’ont pas vocation à être archivé. (cf. Glossaire dans la
bibliographie)
2. Distinction entre conservation, archive et archivage
La conservation des documents correspond à un besoin juridique précis : celui d’apporter la preuve, au regard des exigences législatives ou règlementaires.
Le langage courant et même le législateur utilisent fréquemment le terme « archivage » en lieu et place du mot « conservation ». Pourtant, ces deux termes revêtent une portée juridique différente :
¾ Dans l’action de conserver, il s’agit de maintenir intacts les documents et de les préserver de toute altération, modification ou destruction, à des fins juridiques, dans la mesure où cette opération matérielle doit notamment permettre d’assurer la sauvegarde d’un droit (preuve) ou respecter une obligation légale (validité).
Dans ce cadre, la conservation doit se conformer à certaines règles.
¾ Les archives, suivant l’article L.211-1 du Code du Patrimoine « sont l'ensemble des documents, quels que soient leur date, leur lieu de conservation, leur forme et leur support, produits ou reçus par toute personne physique ou morale et par tout service ou organisme public ou privé dans l'exercice de leur activité ».
¾ L’archivage « est l’ensemble des actions, outils et méthodes mises en œuvre pour conserver à moyen ou long terme des informations dans le but de les exploiter » (dictionnaire du multimédia, AFNOR, 1995). La maitrise de l’archivage est une démarche d’organisation et de contrôle de la production, de la conservation et du sort final des informations liées à l’environnement réglementaire et aux besoins de traçabilité (CSTIC : commission spécialisée de terminologie et de néologie de l’informatique et des composants électroniques) 3. Les différentes catégories d’archives :
La notion d’archives est indépendante de la période d’utilisation des documents. En effet les documents acquièrent la qualité d’archives dès leur création dans le cadre d’une activité. La forme ou la nature du support est indépendante de la notion d’archives. Qu’il soit sur papier ou sur support électronique, la notion d’archives aura vocation à lui être appliqué. Cette définition s’applique aussi bien au secteur public que privé.
Il faut souligner que la loi Informatique & Libertés s'applique essentiellement aux traitements automatisés de données à caractère personnel. La notion d’archive n’apparaît dans la loi Informatique & Libertés qu’aux articles 36 et 37 concernant « les traitements dont la finalité se limite à assurer la conservation à long terme de documents d'archives dans le cadre du livre II » du Code du patrimoine. Ce n’est qu’en 2005 que la CNIL adopta la classification tripartite des archives, dans sa recommandation n°2005- 213 concernant les modalités d’archivage électronique dans le secteur privé de données à caractère personnel.
Ces catégories sont les suivantes (recommandation de la CNIL adoptée le 11 octobre 2005) :
• par archives courantes, il convient d’entendre les données d'utilisation courante par les services concernés dans les entreprises, organismes ou établissements privés (par exemple les données concernant un client dans le cadre de l’exécution d’un contrat) ;
• par archives intermédiaires, il convient d’entendre les données qui présentent encore pour les services concernés un intérêt administratif, comme par exemple en cas de contentieux, et dont les durées de conservation sont fixées par les règles de
prescription applicables ;
• par archives définitives, il convient d’entendre exclusivement les données présentant un intérêt historique, scientifique ou statistique justifiant qu’elles ne fassent l’objet d’aucune destruction.
Ainsi nous pouvons considérer que :
- Les archives courantes sont conservées pendant le temps strictement nécessaire à l'atteinte de la finalité déclarée (utilisation par les destinataires).
- Les archives intermédiaires peuvent être conservées jusqu'à ce qu’aucune action en contentieux ne puisse plus être intentée, c'est-à-dire à l'atteinte du délai de prescription des faits. Une procédure très stricte d’accès doit être alors utilisée, comme un accès par le seul administrateur système sur ordre du directeur juridique.
- Les archives définitives n'ont pas à être déclarées (au sens Informatique et Libertés), lorsqu’elles sont anonymes.
4. La vision des Record Manager et des documentalistes :
L’usage habituel du terme « archive » peut avoir plusieurs définitions suivant la nature des professionnels :
¾ Pour les records Managers et les archivistes
Le record Management est lié à l’environnement réglementaire. Le Journal Officiel du 22 avril 2009 donne la définition suivante du Records Management ou « gestion de l’archivage » soit « organisation et contrôle de la constitution, de la sélection, de la conservation et de la destination finale des documents d’une administration, d’une entreprise ou d’un organisme ».
Pour les Record Manager la norme ISO 15489 d’octobre 2001 donne la définition suivante pour les archives : « les documents créés, reçus et préservés à titre de preuve et d’information par une personne physique ou morale dans l’exercice de ses obligations légales ou la conduite de ses activités »
¾ Pour les documentalistes
La documentation (méthodes et techniques d’organisation et de gestion de l’information) est distincte du records Management et des méthodes et objectifs des archivistes :
l’information provient de toutes les sources possibles pour mieux répondre aux questions des utilisateurs. Un documentaliste peut gérer la « documentation interne » de son entreprise et à ce titre gérer des archives courantes (rapports internes par exemples) ayant une valeur juridique et d’information.
B. Les responsabilités
1. Le responsable de traitement La loi I&L dispose :
"Le responsable d’un traitement de données à caractère personnel est... ...la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens."
Dans le cas d'une personne morale (une entreprise, par exemple) la responsabilité est assumée par le représentant légal (le P-DG dans notre exemple). Cette responsabilité peut être transférée vers des collaborateurs par le jeu des délégations de pouvoirs.
Attention: une délégation de pouvoirs est une procédure juridique officielle qui ne se met pas en œuvre n'importe comment. (Cf. bibliographie vade-mecum du Medef
Dans la chaîne hiérarchique, le responsable de traitement est le cadre qui a le pouvoir officiel de décider de la mise en œuvre du traitement (P-DG, Directeur de branche, Directeur des Systèmes d’Information, Directeur Juridique, Chef de Service, etc.). C'est donc lui qui doit signer la déclaration CNIL du traitement (ou son équivalent interne en cas d'existence d'un C.I.L.), ou la demande d'autorisation à la CNIL le cas échéant. Il peut déléguer sa signature, mais il en conserve alors la responsabilité.
Un responsable de traitement a la responsabilité juridique (et donc pénale) des traitements de données dont il décide la mise en œuvre. En tant que responsable des traitements il doit s’assurer des durées de conservation mise en œuvre et déclarées.
Le responsable de traitement a par ailleurs la responsabilité de désigner un C.I.L.
lorsqu'il souhaite bénéficier de cette possibilité offerte par la loi. Il peut donc y avoir plusieurs C.I.L., dans une même entreprise, affectés à des domaines différents. Cette organisation relève d'une politique d'entreprise.
En cas de non-respect de ses obligations, le responsable de traitement est passible d’une peine pouvant aller jusqu’à 300 000€ et 5 ans d’emprisonnement (art 226-20 du code pénal).
2. Le C.I.L ou le chargé de la protection des données La loi I&L et son décret d'application disposent:
"...un correspondant à la protection des données à caractère personnel [est] chargé d’assurer, d’une manière indépendante, le respect des obligations prévues dans la présente loi..."
"...Le responsable des traitements fournit au correspondant tous les éléments lui permettant d’établir et d’actualiser régulièrement une liste des traitements
automatisés..."
"...le correspondant à la protection des données à caractère personnel dresse la liste..."
Le C.I.L. n'est donc pas pénalement responsable de la conformité des traitements à la loi. Son rôle consiste à vérifier cette conformité, et à conseiller le responsable de traitement ou/et ses collaborateurs (en particulier le chargé du projet) pour l'atteindre.
Pour les assister utilement, il doit comprendre parfaitement la finalité du traitement et les argumentaires justifiant le contenu du dossier (fonctionnalités, liste des données, durées de conservation, destinataires). Il doit connaître la règlementation afin d'aider le
responsable du projet à bâtir ces argumentaires concernant la durée de conservation.
3. Le responsable de projet
Le chargé de projet (sponsor, directeur, chef de projet) est responsable, en interne à l'entreprise, devant le responsable de traitement. Il définit le contenu du projet de traitement de données avec l'aide de son équipe. Il s'assure le plus en amont possible de la conformité du traitement à la loi en présentant son contenu prévisionnel au C.I.L., accompagné de tous les argumentaires nécessaires.
Il tient compte des conseils du C.I.L. ou du chargé de la protection des données pour faire évoluer le projet, si nécessaire.
Il accomplit les procédures préalables à la mise en oeuvre pour le compte du responsable de traitement et avant de les lui faire signer.
4. Les records Managers et les archivistes
Ils sont responsables de la gestion des documents soit dans sa totalité soit partiellement (par exemple uniquement pour les archives définitives). Ce sont eux qui, dans le
périmètre qui leur est attribué, définissent et appliquent les conditions de conservation des documents.
Ils connaissent les textes de loi définissant les durées de conservation et sont donc apte à conseiller le responsable de la mise en œuvre.
5. La CNIL
La CNIL a la responsabilité de veiller à l'application de la loi I&L. Ses outils principaux sont les textes réglementaires et les contrôles.
Si les textes règlementaires ne sont pas des lois, ils concrétisent les raisonnements de la CNIL sur des sujets spécifiques, et doivent être examinés avec la plus grande
attention par le C.I.L. et le responsable de la mise en œuvre.
Tout écart d'un traitement par rapport à un texte normatif doit faire l'objet d'un argumentaire solide.
C. Détermination de la durée de conservation
1. Une logique de détermination de la durée de conservation
Dans un premier temps, le responsable de la mise en œuvre s'assure qu'il est bien en possession de l'expression des besoins du responsable de traitement, afin de formaliser la finalité du traitement. Il liste ensuite les durées de conservation envisagées dans les différentes catégories de données et va présenter l'ensemble au C.I.L. ou le chargé de la protection des données. Le cas échéant, il prend conseil auprès de l’archiviste ou du juriste d’entreprise.
Le C.I.L. recherche alors s'il existe des textes règlementaires de la CNIL en rapport avec la finalité du traitement présenté. Si de tels textes existent, il compare les durées de conservation qu'ils recommandent à celles présentées par le chargé de projet. Si aucun texte normatif n'est trouvé, il détermine lui-même des valeurs proportionnées à la finalité.
En cas d'écart entre les durées préconisées par la CNIL (ou celles qu'il a lui-même définies) et celles présentées dans le projet, le C.I.L. invite le chargé de projet à justifier ses choix ou à les amender.
Une fois qu'un accord est trouvé, les nouvelles valeurs sont intégrées dans les
documents des procédures préalables à la mise en service, validées par le responsable de traitement, puis portées au registre du C.I.L. Le C.I.L. n’a pas le pouvoir d’imposer son analyse. Il doit utiliser ses facultés de conviction, et en dernier ressort aviser la CNIL de la défaillance du responsable de traitement.
Il est important pour le C.I.L. de tracer les justificatifs des durées de conservation lorsqu'elles sont différentes des valeurs préconisées par la CNIL.
Le C.I.L. interroge le chargé du projet sur les moyens prévus pour assurer le respect des durées de conservation décidées (procédures manuelles, effacements automatisés,
…). Il en vérifie l’application aux moments qu’il juge bon. Ses audits ou contrôles font partie des ressources mises à disposition par le responsable de traitement.
Contrairement à d’autres éléments constitutifs d’un traitement (finalité, destinataires, catégories de données,…), les durées de conservation ne font pas, aujourd’hui, partie des informations devant être fournies aux personnes concernées. Il n’y a pas obligation à inscrire ces renseignements dans le registre du C.I.L. Cette question étant susceptible d’évolution, il est conseillé aux C.I.Ls de la surveiller.
2. Durée de conservation et archivage
Il est primordial de rappeler que le responsable de traitement doit définir les durées de conservation de manière spécifique et adéquate pour chaque catégorie de données collectées et traitées. Il ne saurait en effet se contenter de fixer une durée globale de conservation pour l’ensemble des données appelées à figurer dans un traitement donné.
Les données à caractère personnel peuvent être collectées et traitées pour la poursuite de plusieurs finalités. Cela signifie qu’une même donnée peut être appelée à figurer dans plusieurs traitements mis en œuvre au sein d’une même entité. Cette donnée pourra par conséquent être soumise à des durées de conservation différentes au regard de la finalité de chacun de ces traitements (cf. § multiplicité des durées de conservation pour une même donnée). Ce constat doit impérativement être pris en considération pour la définition des politiques d’effacement des données, au risque de supprimer indûment des données dont la conservation reste nécessaire et justifiée.
Les données à caractère personnel peuvent être conservées :
1- « Pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées » (article 6 de la loi Informatique et Libertés).
Typiquement, les données peuvent par exemple êtres conservées en archives courantes pendant la durée de la relation contractuelle. Malgré tout, il se peut que la durée de conservation ne soit pas évidente. En effet, la simple prise en compte de la finalité d’un traitement ne permet pas nécessairement d’en déduire de manière spontanée la durée pendant laquelle les différentes catégories de données pourront être traitées. Il est dès lors recommandé de chercher parmi les guides, délibérations, recommandations, normes, dispenses ou autorisations de la CNIL (lois et décrets) si elle ne s’est pas déjà exprimée sur le sujet ou sur un sujet proche.
Attention ! Les durées de conservation recommandées par la CNIL concernent généralement les archives courantes et non les archives intermédiaires. Les durées de conservation de celles-ci peuvent être déterminées en interrogeant votre service juridique qui sera à même de vous renseigner sur les délais de prescription et les obligations particulières de conservation.
2- Au-delà de la durée nécessaire à la finalité du traitement, lorsqu’elles présentent encore un intérêt administratif pour l’entité. Cette conservation des données en archives intermédiaires (avec des accès limités à la direction juridique par exemple) peut tout d’abord être justifiée par l’observation des durées légales de prescription définies par la réglementation pénale, civile, commerciale ou fiscale. Les données peuvent encore être conservées en vue de respecter des durées de conservation particulières (conservation des documents comptables et pièces justificatives, archivage des contrats électroniques B to C, etc.), essentiellement à des fins probatoires. Le maintien des données dans les fichiers du responsable de traitement peut enfin être nécessaire afin d’être en capacité de répondre aux demandes de communication susceptibles d’être adressées par certains tiers autorisés légalement habilités (l’administration fiscale, les organismes sociaux, les services de police et de gendarmerie, certaines AAI, etc.).
3- sous certaines conditions (cf§ Définitions), au titre des archives définitives lorsqu’elles présentent encore un intérêt historique, scientifique ou statistique.
3. La difficulté de déterminer la durée de conservation d’un document Un même document (papier ou électronique) peut être soumis à des durées de conservation différentes en vue de satisfaire à diverses exigences, notamment d’ordre juridique. Ainsi, les factures doivent être conservées pendant 5 ans en tant que preuve d’un contrat avec un particulier, 6 ans en tant que pièce justificative dans le cadre de la déduction de T.V.A. et, enfin, au moins 10 ans en tant que pièce comptable et document commercial. Nous sommes ainsi régulièrement confrontés à des durées de conservation des actes juridiques variant entre quelques mois et des dizaines d’années. Dans ce cas, la durée de conservation doit en effet être calquée sur la période la plus longue.
La conservation d’un document doit également être déterminée au regard des données à caractère personnel qu’il contient et des durées de conservations qui leur sont attachées. Les documents sont issus ou utilisés pour les données qu’ils contiennent et leur valeur juridique. Ces données sont enregistrées dans des fichiers applicatifs. La recherche de la durée de conservation des données électroniques est intimement liée à leurs utilisations et leurs finalités.
Il est recommandé d’intégrer les durées de conservation variables selon les catégories de données, dès la conception du traitement informatique afin que les effacements de données soient réalisés automatiquement.
Naturellement, les valeurs doivent être paramétrables pour permettre les évolutions ou les corrections. (Cf. bibliographie.)
4. Prenons un exemple de multiplicité des durées de conservation pour une même donnée
La durée de conservation est en fonction de la finalité du traitement qu’il l’utilise ou du document qui l’intègre.
Il est évidemment plus pratique d’avoir une durée unique pour toutes les données d’un traitement, mais ceci est rarement possible.
Prenons l’exemple du nom d’un collaborateur il peut être conservé avec une durée différente en fonction que son nom est utilisé pour sa retraite, pour son salaire, pour un prêt que lui accorde son entreprise, pour un remboursement de frais…
Par exemple, dans la norme simplifiée 46, il est écrit que « Les données visées à l’article 3 ne sont pas conservées par les services gestionnaires au-delà de la période d’emploi de la personne concernée… ». Ces données peuvent avoir une conservation plus longue obligatoire par ailleurs, comme les données nécessaires à l’établissement des droits à pension. Le responsable de traitement est donc alors obligé de gérer plusieurs durées suivant les catégories de données.
Au sens de l’article 6 de la loi I et L, les données à caractère personnel « sont conservées […] pendant une durée qui n’excède pas la durée nécessaire aux finalités
pour lesquelles elles sont collectées et traitées ». La CNIL précise quant à elle, notamment dans sa recommandation du 11 octobre 2005, que les durées de conservation doivent être définies de manière spécifique et adéquate pour chaque catégorie de données.
Néanmoins, sauf existence d’une obligation légale visant à imposer une durée déterminée maximale, dans le cadre d’un traitement (même finalité), certaines données peuvent être conservées pour plusieurs finalités ou en raison de plusieurs obligations légales : durées de prescriptions différentes, lutte anti blanchiment, recours des tiers ou des héritiers et ayants droits.
Comme nous l’avons indiqué précédemment, il conviendra de retenir la durée de conservation la plus longue lorsque coexistent plusieurs durées afin de pourvoir garantir le respect d’une durée de conservation. Néanmoins, il est important de respecter le fait que seuls peuvent accéder aux données, ceux qui sont habilités pour y accéder au regard de la finalité. Ainsi prenons l’exemple d’un membre du personnel d’une société d’assurance ayant un contrat auto avec celle-ci, le nom de cette personne peut disparaître du traitement de la DRH parce qu’il ne fait plus parti du personnel mais il peut rester accessible pour le contrat d’assurance.
Les membres du personnel n’ont plus accès au dossier de cette personne mais le gestionnaire du contrat d’assurance oui.
Si le responsable de traitement souhaite conserver les données au-delà du besoin justifié par la finalité du traitement, pour se protéger en cas de contentieux futur il peut indiquer deux durée de conservation sur sa déclaration.
D. La protection de la durée de conservation 1. Les logs des traitements
La majorité de nos systèmes informatiques enregistrent en permanence les changements réalisés dans la base de données (qui a changé quelle donnée en quelle autre donnée à quel moment) ; ceci correspond à des "audits trail" susceptibles d'être audités par des autorités de différents pays). (cf.fiche n° 7 du Guide de Travail V2 de la cnil)
2. L’accès aux données personnelles
Le responsable de traitement est responsable des données à caractère personnel qu’il collecte. Il lui revient donc de s’assurer que les destinataires ont bien été identifiés et qu’ils ne conservent pas eux-mêmes les données (ne les communiquent) au-delà de ce qui est justifié dans la déclaration.
Il est possible de contractualiser, avec les prestataires, partenaires, sous-traitants …, qui sont en charge de la mise en œuvre de traitements, une clause pour se prémunir de toutes dérives à la loi I & L.
3. Utilisation des données par les audits interne
Dans le cadre d’une opération d’audit, il faut se poser la question de la pertinence d’une déclaration CNIL. (cf. Revue mai 2007 AFAI (Association Française des Auditeur Interne). Souvent de par son métier, l’auditeur effectue des interconnexions de fichiers, avec des données personnelles, qui sortent du cadre du traitement déclaré.
Cette nouvelle finalité doit faire l’objet d’une nouvelle durée de conservation qu’il faut déterminer.
4. Les Commissaires aux comptes (audit externe)
Suivant l’article L.823-14 al 2 du Code de commerce, le secret professionnel ne peut être opposé aux commissaires aux comptes dans le cadre de leur mission, sauf par les auxiliaires de justice.
E. Droit d’accès et secret professionnel
1. Le droit d’accès à ses données personnelles : un droit strictement personnel
« Les données à caractère personnelles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.»
Le droit d’accès n’a pas être motivé, il peut porter sur l’ensemble des données concernant son titulaire quel que soit le support (papier, enregistrement audio, vidéo, informatique…).
Le responsable de traitement ne peut communiquer que les données à caractère personnel qu’il a conservé. Lors de la déclaration CNIL du traitement concerné, il mentionne une durée de conservation des données qu’il doit respecter. Dans ce cadre, seules les archives courantes et intermédiaires sont soumises au droit d’accès. Le responsable de traitement doit, par conséquent prévoir la possibilité d’une demande de droit d’accès aux données archivées et doit être en mesure d’y répondre favorablement.
La CNIL recommande de mettre en œuvre des dispositifs de traçabilité des consultations des données archivées.
Pour la CNIL dès lors que le traitement des archives définitives se limitent à assurer la conservation à long terme de document d’archive, et sauf demande spéciale motivée, soumise le cas échéant à l’appréciation de la CNIL, le responsable de traitement n’est pas tenu de donner suite aux demandes concernant les informations archivées et n’a pas à le notifier préalablement à la CNIL. (Cf. Un guide de la CNIL « Guide droit d’accès » édité en 2010, accessible en ligne www.cnil.fr en rappelle l’ensemble des modalités).
2. Le bénéficiaire du secret professionnel pendant la durée de conservation
L’article L. 211-3 du code du patrimoine, qui s’applique indistinctement aux archives publiques et privées, impose aux agents chargés de la conservation des archives (fonctionnaires, salariés ou autres) de respecter le secret professionnel pour « tout document qui ne peut être légalement mis à la disposition du public ».
Le secret professionnel peut être défini comme l’obligation pour les personnes qui ont eu connaissance de faits confidentiels dans l’exercice ou à l’occasion de leurs fonction de ne pas divulguer hors les cas ou la loi impose ou autorise la révélation du secret.
Cette obligation sanctionnée pénalement pèse sur un certain nombre de professions (médecin, notaire, établissements de crédit….).
Le client, personne physique ou morale, est normalement seul bénéficiaire de l'information sur ses données.
L'obligation de confidentialité est reconnue d'une manière générale au visa de l'article 9 du Code civil garantissant à chacun le droit au respect de sa vie privée.
Pour une personne morale, les informations soumises au secret professionnel ne peuvent être communiquées qu'au représentant légal en fonction de la société/de l'entité sauf pouvoirs ou exception.
3. Précautions en matière d'échange de données confidentielles avec un tiers
Par précaution, lorsqu'il y a échange de données confidentielles, un engagement de confidentialité doit être signé entre les parties.
Les personnes recevant des informations couvertes par le secret professionnel, qui leur ont été fournies pour les besoins de l’accomplissement de leur prestation, doivent les conserver confidentielles, il doit être prévu à l’issu du contrat soit leur destruction soit leur restitution.
Le fait pour les personnes précitées de méconnaître le secret professionnel est sanctionné pénalement.
F. La politique d’archivage (PA)
1. Politique d’archivage et conservation des données et des documents La politique d’archivage des données à caractère personnel et des documents d’une entreprise doit en outre permettre d’assurer :
- les obligations de conservation des données à caractère personnel liées à
l’activité des sociétés. Les types d’archivage sont rappelés (cf Définitions) et dans la délibération n°2005-213 de la CNIL (voir bibliographie).
- le droit à l’oubli des personnes concernées par un traitement de données à caractère personnel, ce droit étant protégé par l’article 6-5° de la loi Informatique et libertés et qui consiste à garantir à une personne physique de ne pas voir ses données à caractère personnel conservées par une société pendant des durées qui pourraient apparaitre comme manifestement excessives
L’adaptation du droit aux technologies de l’information et de la communication vise les écrits électroniques sans tenir compte des préoccupations relatives aux durées de conservation applicables. Il s’ensuit que l’archivage devra respecter les durées de conservation prescrites par les textes en fonction de la nature et du statut juridique du document concerné, quelque soit le support.
Les archivistes ou Record Managers connaissent les durées de conservation et surtout la méthode, conforme aux normes (MoReq 2) pour réaliser des référentiels de
conservation et évaluer les risques pour les différents types de documents. Cette démarche peut se résumer ainsi :
¾ Evaluer les archives : s’agit-il une version non validée du document (donc non archivable ?)
¾ Rechercher pour tous les documents référencés par secteur d’activité s’il existe des textes de lois, règlements fixant un délai
¾ Rechercher les délais de prescription s’ils existent pour les documents
¾ Si le document n’est pas soumis à un délai, effectuer une analyse de risque : le document contient-il des données personnelles ? peut-il être impliqué dans un dossier contentieux ou exigé par le juge dans la résolution d’un litige ? est-il vital (contexte du Plan de Continuité d’Activité) ?
¾ Faire valider juridiquement les délais proposés par sa direction juridique et le responsable du traitement.
Afin de définir la politique d’archivage de l’entreprise, on peut, sous la forme d’un
tableau, organiser et codifier l’ensemble de l’information archivable et ce, en fonction de la valeur des documents et de leur durée réglementaires ou interne de conservation.
Cet outil méthodologique est un référentiel de conservation.
Attention ! Nous rappelons que les durées recommandées par la CNIL concernent généralement les archives courantes (cf. définitions) mais pas les archives
intermédiaires. Les durées de conservation de celles-ci peuvent être fournies par les juristes, qui connaissent les délais de prescription.
2. La politique de destruction des données
S’il y a une durée de conservation des données, il y a une fin à la conservation de ces données. Que ce soit pour respecter les obligations de la loi Informatique et Libertés ou, tout simplement, dans le cadre de l’intelligence économique il est effectivement
recommandé de disposer d’une politique systématique plutôt que de développer une
procédure propre à chaque traitement. Il est nécessaire, en tout premier lieu, d’expliquer dans la politique d’archivage les modalités de traçabilité des opérations d’éliminations.
3. Quelle sécurité mettre en œuvre pour protéger les données archivées
En application de l’article 34 de la loi du 6 janvier 1978 modifiée, le responsable du traitement doit mettre en œuvre les mesures techniques et d'organisation appropriées pour protéger les données archivées de toute nature contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite. Ces mesures doivent assurer un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger. Le non-respect de l’obligation de sécurité est sanctionné par l’article 226-17 du code pénal.
L’obligation de sécurité reste à la charge du responsable du traitement y compris en cas de recours à la sous-traitance pour assurer la mise en œuvre de traitement de ces données à caractère personnel.
La CNIL recommande enfin que des procédés « d’anonymisation” soient mis en place pour l’archivage des données sensibles relevant de l’article 8 de la Loi Informatique et Libertés. Il s’agit de la délibération n° 97-008 du 4 février 1997 portant adoption d'une recommandation sur le traitement des données de santé à caractère personnel.
4. Garantir la conservation en fonction des changements technologiques
La conservation doit garantir les exigences d’intelligibilité, d’imputabilité à leur auteur et d’intégrité, les technologies utilisées pourraient l’empêcher.
Le responsable de traitement a l’obligation d’assurer la sécurisation des données qu’il collecte et traite (art. 34 de la Loi Informatique & Libertés). La sauvegarde est un aspect de cette sécurisation. Elle doit naturellement tenir compte de l’évolution des technologies, des formats des fichiers, de la nature des supports, des équipements de lecture/écriture, etc...
5. Les conséquences des conditions d’imputabilité et d’intégrité des écrits électroniques sur leur conservation
L’exigence d’imputabilité de l’écrit électronique imposée par le texte régissant la valeur juridique de l’acte en cause doit être prise en compte dans le cadre de l’archivage électronique. En ce sens, lorsque le document sera signé électroniquement, l’ensemble des éléments permettant d’établir la validité de la signature apposée devra être conservé.
Pour être reconnu en tant que preuve ou à titre de validité, que l’intégrité de l’acte soit garantie tout au long de son cycle de vie, c'est-à-dire de son établissement jusqu’à la fin
de sa durée de conservation. Pour être admis juridiquement, les écrits électroniques devront donc être conservés de façon intègre, ce qui signifie que la conservation électronique doit garantir que l’acte archivé soit la traduction de la volonté exacte de l’auteur et que la « vérité » dont l’acte est porteur puisse être rapportée à tout moment.
Si la conservation ne garantit pas les conditions exigées pour la reconnaissance d’un écrit électronique et remplies à la date de son établissement, l’écrit électronique perd sa valeur juridique.
ANNEXE 1 BIBLIOGRAPHIE Glossaire
¾ Marie-Anne CHABIN, nouveau glossaire de l’archivage, février 2010
(http://www.archive17.fr/component/option,com_performs/Itemid,55/ pour le télécharger gratuitement)
Les guides des durées de conservation publiés
¾ Association des Archivistes Français ( AAF), les archives dans l'entreprise, guide des durées de conservation, éd. AAF, 1997, 138 p. [ une réédition du guide est prévue en 2011].
¾ La revue fiduciaire, dossiers-services, archiver dans une entreprise privée
commerciale, dossier préparé par Mme Bérangère Donnevide-Paris, éd. Groupe Revue Fiduciaire, mise à jour du 11 septembre 2003.
¾ Guide pratique Archimag Records management et archivage, éd Groupe SERDA, 2 éd, septembre 2005, 96 p + supplément de 48 p sur les durées de conservation et tableaux de gestion (disponible uniquement sous format PDF).
¾ Guide pratique Archimag n°39 records management, archivage et sécurité, 28 p + supplément durées de conservation et tableaux de gestion, 68 p, éd, groupe SERDA, 2010.
¾ Vade-Mecum du MEDEF sur ce sujet à l'adresse http://bit.ly/bBUIvX
Les normes
NF Z42-013 « spécifications relatives à la conception et à l’exploitation de systèmes informatiques en vue d’assurer la conservation et l’intégrité des documents stockés dans ces systèmes », mars 2009.
ISO 14721-OAIS ( Open Archival information System)
norme ISO 15489 - Records Management, stratégie globale pour la traçabilité de l'information et des responsabilités
norme ISO 19005 – PDF/A format de conservation des documents
MoReq « Model requirements for the management of electronic records »
Il existe également un guide pour l’application de MoReq 2 “ apprivoiser MoReq pour Archiver et Conserver l’information”.
Livres blancs, rapports de la FEDISA
¾ L’archivage électronique à l’usage du dirigeant :
http://fedisa.eu/fedisa2007/fichiers/2007_09_13_08_51_39.pdf
¾ Conserver les documents électroniques ? Ou comment résoudre la
problématique de l’archivage des e-mails par Philippe BALLET et Jean-Marc RIETSCH http://fedisa.eu/fedisa2007/fichiers/2008_10_08_15_26_32.pdf
Livres blancs du CR2PA
¾ L’archivage des mails ou les utilisateurs face aux mails qui engagent l’entreprise
http://www.cr2pa.fr/QuickPlace/cr2pa/Main.nsf/$defaultview/CC01C008C91E9C4FC 125764D0020199C/$File/LivreBlancGTmails_BaT.pdf?OpenElement
