58.
Conformément aux articles 5 et 25 du RGPD, le responsable du traitement doit mettre en œuvre, des mesures techniques et organisationnelles appropriées, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du RGPD, y compris des mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées.
a. Mise en place d’un mécanisme de tri des données
59.
Ainsi, le responsable du traitement doit mettre en place des mesures permettant de faire un tri des données traitées une fois la phase d’utilisation courante des données de la personne concernée terminée (ce qui coïncide par exemple avec la clôture du compte de l’utilisateur) pour ne conserver que les données personnelles qui sont pertinentes au vu des (nouvelles) finalités dans la cadre de la phase d’archivage. En effet, la conservation systématique et sans distinction de toutes les données d’un compte après la fin de la relation contractuelle avec la personne concernée n’est pas conforme au principe de la limitation de la conservation[1]. Ce mécanisme de « purge » peut se traduire par l’effacement ou l’anonymisation des données à caractère personnel qui ne sont pas nécessaires pour poursuivre les finalités de conservation des données.
60.
Le responsable du traitement devrait ainsi prévoir la conservation des données dans une base de données dédiée à l’archivage (a) ou au moins prévoir une séparation logique dans la base de données active (b)[2].
(a) Une séparation physique pourrait être faite par l’extraction des données du système d’information pour les conserver séparément dans une base d’archivage dédiée à laquelle seules des personnes spécifiquement habilitées pourront accéder. Dans ce cas, la base d’archivage devra comporter différentes fonctionnalités, telles que l’export, l’accès et la visualisation des données stockées. Ces fonctionnalités permettront à l’organisme d’être en mesure de répondre à la personne concernée en cas d’exercice de ses droits (droit d’accès, etc.).
(b) Avec une séparation logique, les données restent dans la « base active » mais sont clairement identifiées et isolées des autres données par une limitation des habilitations afin de les rendre inaccessibles aux personnes n’ayant plus besoin de les traiter[3].
b. Mise en place d’un mécanisme de fermeture des comptes « inactifs »
61.
Certains acteurs proposent leurs services financiers uniquement via la création d’un compte en ligne. La CNPD constate qu’il est fréquent que ces utilisateurs n’utilisent parfois plus ces comptes, sans pour autant les clôturer, ce qui conduit parfois à l’existence de comptes inactifs pour une durée indéfinie, l’absence de clôture empêchant alors de faire courir certaines durées de conservation. Grâce à la loi du 30 mars 2022 relative aux comptes inactifs, aux coffres-forts inactifs et aux contrats d’assurance en déshérence, entrée en vigueur en date du 1 juin 2022, le Luxembourg a mis en place pour la première fois un cadre juridique en matière de gestion des comptes inactifs. Le nouveau cadre juridique est applicable à « tout compte à vue, compte d’épargne, compte de dépôt à terme ou remboursable avec préavis, compte-titres, dépôt fiduciaire ainsi que tous autres comptes ouverts auprès d’un établissement. ». En revanche, les comptes de monnaie électronique au sens de la loi modifiée du 10 novembre 2009 relative aux services de paiement sont exclus du champ d’application de ce cadre juridique.
62.
Afin qu’un traitement soit assorti de garanties nécessaires pour répondre aux exigences du RGPD, dont le principe d’exactitude et de la limitation de la conservation, les responsables du traitement devraient prévoir des mesures pour vérifier de manière régulière que le titulaire du compte ait encore la volonté de maintenir le compte en ligne et que les données y conservées soient exactes. Dans le cas de comptes où le solde serait à zéro, la CNPD recommande également d’établir un délai à l’issue duquel le compte sera considéré comme inactif et devra être clôturé (après en avoir informé la personne concernée). A cet égard, la CNPD considère qu’un délai de 5 ans apparaît proportionné[4].
-------------------------------------------------------------------------------------------------------------------------------------------------------
[1] Article 5.1 (e) du RGPD. Cf. Commission Nationale de l’Informatique et des Libertés, Délibération de la formation restreinte n°SAN-2024-002 du 31 janvier 2024 concernant la société DE PARTICULIER A PARTICULIER – EDITIONS NERESSIS
[3] Cf. Guide pratique de la CNIL sur les durées de conservation.
[4] Cette recommandation est sans préjudice des dispositions prévues par la loi du 30 mars 2022 relative aux comptes inactifs, aux coffres-forts inactifs et aux contrats d’assurance en déshérence.