12/07/19

Newsflash RGPD : Délais de conservation

En vertu du Règlement Général sur la Protection des Données (« RGPD »), les délais de conservation des données à caractère personnel applicables sont les mêmes que précédemment. Le principe de base reste que les données à caractère personnel ne peuvent pas être conservées plus longtemps que ce qui est nécessaire au vu des finalités du traitement (ce que l'on appelle la « limitation de la conservation »). La durée exacte des délais doit être évaluée au cas par cas, en fonction de l'activité de traitement.

Conformément au considérant 39 du RGPD, les entreprises doivent fixer des délais pour l'effacement des données ou pour leur examen périodique, afin de garantir que les données à caractère personnel ne sont pas conservées plus longtemps que nécessaire. Concrètement, cela signifie qu'avant le traitement des données à caractère personnel, les entreprises doivent déterminer, dans une politique de conservation, la durée pendant laquelle les données seront conservées. Si cela n'est pas possible, des critères de détermination du délai de conservation devraient en tout état de cause être déterminés.

Outre le respect du principe susmentionné de limitation de la conservation, l'élaboration d'une politique de conservation par l'entreprise est également importante étant donné que les délais de conservation prévus devraient - si possible - être inscrits dans le registre des activités de traitement.

Par ailleurs, conformément aux dispositions du RGPD, les personnes physiques doivent également être informées des délais de conservation de leurs données ou, si cela n'est pas possible, des critères permettant de déterminer ces délais. Selon les lignes directrices du Comité Européen de la Protection des Données, cela devrait se faire de manière à ce que les personnes concernées puissent, en fonction de leur propre situation, comprendre combien de temps leurs données seront conservées. Par exemple, il ne suffit pas d'indiquer en termes généraux que les données seront conservées « dans la mesure nécessaire aux finalités du traitement ». Le cas échéant, les différents délais de conservation (y compris les délais d'archivage) doivent être mentionnés pour les différentes catégories de données à caractère personnel et/ou les différentes finalités du traitement.

En général, il est recommandé de conserver les données et les documents relatifs aux travailleurs pendant la durée de leur occupation et durant une période de cinq ans après la fin de la relation de travail. Ce délai de conservation général trouve son origine dans les délais de prescription, civil et pénal, pour les actions intentées dans le cadre de la relation de travail. Les actions civiles découlant du contrat de travail entre l'employeur et le travailleur expirent cinq ans après le fait qui a donné naissance à l’action, sans que ce délai ne puisse excéder un an après la cessation du contrat. Toutefois, si la violation des règles du droit du travail constitue une infraction (par exemple, le non-paiement de la rémunération ou des pécules de vacances), il est possible, pour ces actions civiles fondées sur une infraction (« action ex delicto »), de remonter jusqu’à cinq ans.

Selon l'activité de traitement, des délais de conservation particuliers peuvent cependant s'appliquer. Pour les données à caractère personnel pertinentes dans le cadre des droits à la pension légale et/ou complémentaire, il est conseillé, par exemple, de les conserver jusqu'à l'âge légal de la pension, prolongé d'un an. Le délai de conservation des images de caméra peut être de maximum un mois, à moins que les images ne puissent pas contribuer à prouver une infraction, un dommage ou une incivilité, ou à identifier l’auteur d’une infraction, un perturbateur de l'ordre public, un témoin ou une victime.

L'entreprise qui traite des données à caractère personnel à des fins d'intérêt public, de recherche scientifique ou historique, ou à des fins statistiques peut les conserver plus longtemps que ne l'exige la finalité initiale du traitement. Le cas échéant, des mesures techniques et organisationnelles appropriées devraient être prises pour protéger la vie privée de l'employé (par exemple, une anonymisation).

dotted_texture