Conservation des données

Conservation des données

La conservation des données est la ” période de conservation des données “, qui est considérée comme une information essentielle selon les normes du GDPR. Bien que ce terme fasse souvent référence à la directive de 2006 sur la conservation des données, qui a ensuite été invalidée par la Cour de justice européenne.

Directive sur la conservation des données
La directive européenne 2006/24/CE du Parlement européen et du Conseil a réglementé la conservation (y compris les périodes de conservation) des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications. Adoptée à la suite des attentats de Londres et de Madrid de 2004 et 2005, elle a harmonisé les dispositions des États membres de l’UE sur la conservation des données relatives aux conversations téléphoniques et au trafic télématique, garantissant ainsi leur disponibilité pour les enquêtes et les poursuites relatives aux infractions graves.

La High Court irlandaise et la Cour constitutionnelle autrichienne ont soulevé la question de la légitimité de la directive, à la lumière de la législation européenne, devant la Cour de justice européenne qui, dans son arrêt du 8 avril 2014 (affaires jointes C-293/12 et C-593/12), a déclaré la directive invalide et donc sans effet dès la date de son entrée en vigueur. Selon la Cour de justice des Communautés européennes, la directive était disproportionnée par rapport à l’objectif, censurant le caractère non “ciblé” de la mesure de surveillance et la possibilité pour les autorités d’accéder sans discrimination aux données retenues. En effet, l’arrêt de la Cour est contre la surveillance numérique de masse.

À l’heure actuelle, aucune directive n’a été adoptée pour la remplacer, ce qui, en tout état de cause, selon l’arrêt de la Cour, devrait garantir un juste équilibre entre les intérêts légitimes en jeu.

De toute évidence, l’inefficacité de la directive ne signifie pas que les règles internes des différents États membres en la matière deviendront automatiquement caduques. En théorie, un juge pourrait ne pas appliquer les règles internes si elles sont considérées comme contraires aux principes établis par la Cour européenne. De nombreux législateurs ont cependant préféré ne pas modifier leurs règles, maintenant parfois des règles qui sont aussi manifestement contraires aux principes établis par la Cour de justice européenne dans son arrêt. Parmi ces États, il y a aussi l’Italie, qui a encore allongé la période de conservation des données téléphoniques et télématiques jusqu’à 72 mois (soit 6 ans) en l’absence de critères objectifs de conservation, avec la loi 167/2017, alors confirmée par le décret 101/2018, modifiant l’article 132 du Code pour la protection des données personnelles.

Durée de conservation des données
L’article 13 du RPBD prévoit que le responsable du traitement doit informer les personnes concernées de la durée de conservation des données à caractère personnel ou, si cela n’est pas possible, au moins des “critères utilisés pour déterminer cette durée” (paragraphe 2.a)).

En outre, l’article 5, point e), dispose que les données doivent être “conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pendant une durée plus longue à condition qu’elles soient traitées uniquement à des fins d’intérêt public, de recherche scientifique, historique ou statistique, conformément à l’article 89, paragraphe 1, sans préjudice de l’application des mesures techniques et organisationnelles appropriées requises par le présent règlement pour protéger les droits et libertés des personnes concernées (limitations à la conservation)”. Toutefois, ce principe était également prévu dans la législation antérieure.

Il est donc essentiel d’évaluer correctement la prolongation de cette période afin d’assurer le respect du RDPPIB.

La durée de conservation doit être évaluée en fonction de la finalité du traitement, de sorte que différentes finalités peuvent être assorties de délais différents. Certains délais sont fixés par la loi (par exemple, les réglementations pour les fournisseurs de services téléphoniques ou télématiques) ou les obligations contractuelles (par exemple, les données fiscales), d’autres sont fixés directement par le propriétaire.
Le Garant a pris des mesures pour aider le propriétaire à fixer les conditions de conservation des données.
Il est évident qu’une durée de conservation infinie n’est pas admissible, qu’elle doit toujours être limitée et qu’elle doit nécessairement être proportionnelle à l’objectif moyen.