Article nr 5 § 1.e du RGPD
Les données à caractère personnel doivent être (…)
(…) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour les- quelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) ;
| Étape | Justification | Durée de conservation | Accès |
|---|---|---|---|
| Base active | |||
| Archives courantes | |||
| **** | Finalités du traitement | Strict besoin des utilisateurs | |
| Durée nécessaire à la finalité | Habilitation en fonction des finalités | ||
| Archives intermédiaires | Intérêt administratif (contentieux) | Délai de prescription légal | Administrateur |
| Sur ordre direction juridique | |||
| A l’issue de ces deux phases : sort des données | |||
| **** | |||
| Archives définitives | Intérêt historique, patrimonial ou scientifique | Sans limite. (Hors du champ de la loi I&L) | Archiviste sur ordre de la Direction Générale |
| Destruction / Suppression des données | S’il n’y a plus de justification à la conservation des données. | ||
| Les données sont supprimées afin de ne pas risquer d’être réutilisée à des fins non autorisées ou par des personnes non-habilitées. |
En effet, les documents peuvent contenir des données personnelles… Mais l’objectif est de limiter la conservation de données identifiantes. Les documents ou fichiers peuvent être conservés plus longtemps dès lors que les données identifiantes sont limitées, pseudonymisées ou anonymisées.
Chaque traitement doit être analysé pour évaluer les besoins spécifiques en matière de conservation des différentes catégories de données.
Il est recommandé de réaliser un tableau récapitulatif afin de synthétiser les besoins, les obligations légales, ainsi que les modalités d'archivage intermédiaire.
La mise en œuvre technique de ce processus peut nécessiter la collaboration des équipes du service informatique, afin de vérifier la faisabilité des solutions proposées par les métiers.
Lorsqu'une donnée à caractère personnel n'est plus nécessaire à la finalité pour laquelle elle a été collectée, elle doit être soit :
Il est également impératif de déterminer les personnes habilitées à accéder aux archives.