8.
Conformément à l’article 5.1 (e) du RGPD, les données à caractère personnel « doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. ».
Il ressort par ailleurs du considérant 39 du RGPD que « les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d'autres moyens. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique. Il y a lieu de prendre toutes les mesures raisonnables afin de garantir que les données à caractère personnel qui sont inexactes sont rectifiées ou supprimées. ».
9.
Concernant le caractère adéquat, pertinent et limité de ce qui est nécessaire pour les finalités du traitement, il y a lieu de rappeler les précisions apportées par le CEPD concernant la précision des finalités des traitements entrepris par un responsable du traitement :
« 40. Un responsable du traitement doit déterminer la base juridique appropriée pour les traitements envisagés avant de procéder au traitement des données. Lorsque l’article 6, paragraphe 1, point b), constitue la base de tout ou partie des activités de traitement, le responsable du traitement devrait anticiper ce qui se passera en cas de résiliation du contrat.
[...]
43. L’article 17, paragraphe 1, point a), dispose que les données à caractère personnel sont effacées lorsqu’elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées. Cette règle ne s’applique toutefois pas si le traitement est nécessaire pour certaines finalités spécifiques, notamment le respect d’une obligation légale en vertu de l’article 17, paragraphe 3, point b), ou la constatation, l’exercice ou la défense de droits en justice en vertu de l’article 17, paragraphe 3, point e). Dans la pratique, si les responsables du traitement constatent un besoin général de conserver des registres à des fins légales, ils doivent déterminer une base juridique pour cette conservation dès le début du traitement, et doivent communiquer clairement, au même moment, la durée pendant laquelle ils prévoient de conserver les registres à ces fins légales après la résiliation du contrat. Dans ce cas, ils ne sont pas obligés d’effacer les données après la résiliation du contrat.
44. En tout état de cause, il est possible que plusieurs traitements présentant des finalités et des bases juridiques distinctes aient été identifiés dès le début du traitement. Tant que ces autres traitements restent licites et que le responsable du traitement a communiqué clairement ces opérations au début du traitement, conformément aux obligations de transparence du RGPD, il sera toujours possible de traiter des données à caractère personnel concernant la personne concernée pour ces finalités distinctes après la résiliation du contrat.”[1]
10.
Une fois la ou les finalité(s) du traitement atteinte(s), la conservation de certaines données pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses est donc possible, mais les données doivent alors être archivées, pour une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont conservées, conformément aux dispositions en vigueur.
11.
Dans le contexte d’une relation contractuelle entre la personne concernée et un prestataire de services de paiement, il convient de distinguer deux phases dans le cycle de vie des données personnelles de l’utilisateur:
(i) La phase active : la conservation des données personnelles du client pendant la durée de la relation contractuelle, principalement sur base de la nécessité du traitement à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci (article 6.1 (b) du RGPD), de la nécessité au respect d’une obligation légale (article 6.1 (c) du RGPD) ou, plus exceptionnellement, sur une autre base légale prévue à l’article 6 du RGPD, comme le consentement de la personne concernée (article 6.1 (a) du RGPD) ou l’intérêt légitime du responsable du traitement (article 6.1 (f) du RGPD) (on parlera ici de phase d’ « utilisation courante » des données personnelles) ;
(ii) La phase d’archivage : la conservation ou « archivage » des données personnelles du client après la fin de la relation contractuelle (correspondant en pratique avec la clôture du compte de l’utilisateur), le plus souvent sur base de la nécessité au respect d'une obligation légale (article 6.1 (c) du RGPD) ou, plus exceptionnellement, sur une autre base légale prévue à l’article 6 du RGPD (par exemple l’intérêt légitime du responsable du traitement, prévu à l’article 6.1 (f) du RGPD).
12.
Quand la durée de conservation dans le cadre de l’archivage est dépassée, le responsable du traitement doit procéder à l’effacement des données à caractère personnel (qui est un droit pour la personne concernée conformément à l’article 17 du RGPD). Il peut, par exemple, les détruire de manière définitive ou bien les anonymiser.
les présentes lignes directrices se focalisent sur l’application du principe de limitation de conservation des données dans le cadre de l’archivage. A chaque fois qu’il sera fait référence à une durée de conservation dans ce document, il s’agira de la 2eme phase du cycle de vie de la donnée, c’est-à-dire la phase d’archivage suite à la clôture du compte d’un client).
13.
Conformément au principe de responsabilité énoncé à l’article 5.2 du RGPD, tout responsable du traitement doit être en mesure de démontrer que l’ensemble des principes de l’article 5.1 du RGPD sont respectés (y compris le principe de minimisation des données de l’article 5.1 (c) et le principe de limitation de la conservation de l’article 5.1 (e)). Pour cela, le responsable du traitement devra mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement soient traitées dans le cadre de la période de conservation (article 25.2 d RGPD). A cette fin, le responsable du traitement de données devra définir précisément le point de départ de chaque durée de conservation afin de pouvoir automatiquement respecter cette obligation sans attendre une demande d’effacement de la part de la personne concernée.
14.
Afin de définir de la manière la plus précise possible la durée de conservation de chaque ensemble de données personnelles qu’il traite et le point de départ de cette durée, le responsable du traitement doit :
- définir précisément les finalités poursuivies (il n’est pas possible de conserver les données « au cas où … ») ainsi que les bases de licéité applicables, et
- déterminer, en fonction de chaque finalité spécifique, une durée de conservation appropriée et nécessaire afin d’atteindre ladite finalité.
15.
Si les données sont utilisées dans plusieurs traitements poursuivant plusieurs finalités, les durées de conservation sont à individualiser pour chaque finalité spécifique.
A retenir : Le responsable du traitement doit définir la durée de conservation ou les modalités pour calculer la durée de conservation pour chaque traitement de données.
L’absence de durée de conservation ou une durée de conservation illimitée constitue une violation du RGPD. Une même donnée personnelle peut être utilisée pour des traitements distincts et peut donc être nécessaire pendant des durées différentes. La fin d’un traitement de données pour lequel une donnée a été utilisée n’implique donc pas que la donnée doit être effacée, si elle reste toujours nécessaire pour un autre traitement de données en cours.
Dans un tel cas de figure, il est nécessaire de bien distinguer les différentes activités de traitement de données et de leur appliquer à chacune une durée pertinente par rapport à leurs finalités respectives. Ainsi, les données associées à la durée la plus longue seront conservées et ne seront pas supprimées à la fin du premier traitement.
Exemple 1 : Dans le cadre de sa relation contractuelle avec une personne concernée, un prestataire de services de paiement conserve son numéro de téléphone pour des finalités d’authentification ou de communication avec cette dernière dans le cadre de son contrat. Une fois le contrat résilié, le traitement de cette donnée n’est plus nécessaire à l’exécution du contrat et le prestataire de service de paiement devra procéder à son effacement (à moins qu’il ne démontre que le traitement du numéro de téléphone de l’utilisateur est nécessaire pour certaines finalités spécifiques, notamment le respect d’une obligation légale en vertu de l’article 17.3, point b), ou la constatation, l’exercice ou la défense de droits en justice en vertu de l’article 17.3, point e).
Exemple 2 : Un prestataire de services de paiement traite également l’adresse postale de la résidence principale de la personne concernée. Cette donnée est traitée pour différentes finalités liées à la gestion de la relation avec le client mais également dans le cadre des obligations de vigilance du prestataire de services de paiement prévues par la loi du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme, telle que modifiée (la « Loi de 2004 »). Or, l’article 3.6 de cette loi prévoit une obligation de conservation des données collectées dans le cadre des mesures de vigilance à l’égard du client pendant cinq ans après la fin de la relation d'affaires avec le client ou après la date de la transaction conclue à titre occasionnel. Il conviendra donc de retenir la durée de conservation la plus longue et il ne sera pas nécessaire d’effacer l’adresse de la personne concernée lors de la résiliation du contrat (date à laquelle certaines finalités du traitement de l’adresse disparaissent) mais bien cinq ans après la fin du contrat.
---------------------------------------------------------------------------------------------------------------------------------------------------
[1] CEPD, Lignes directrices 2/2019 sur le traitement des données à caractère personnel au titre de l’article 6, paragraphe 1, point b), du RGPD dans le cadre de la fourniture de services en ligne aux personnes concernées, Version 2.0, Adoptées le 8 octobre 2019