Plan du site | Mentions légales | Crédits | Espace rédacteur

Docteur en droit

Chargée de cours à l’Université d’Evry Val d’Essonne

Nos mots-clefs

Régulation   Contrats   Noms de domaine   Bases de données   Vie privée   Droit d’auteur   Brevet   Contenu illicite   Consommateurs   Marques   Professions   Signes distinctifs   Lettre du Cejem   Au jour le jour   Conférences et colloques  

Cliquez sur un mot pour afficher la liste des articles correspondant

A Noter

Les contrats informatiques par Jérôme Huet et Nicolas Bouche

Présentation de l’éditeur L’ouvrage Les contrats informatiques vise à donner au lecteur, étudiant ou praticien, sous (...)

Droit de la communication numérique de Jérôme Huet et Emmanuel Dreyer

Présentation de l’éditeur : Le droit de la communication numérique est une discipline récente mais en pleine (...)

RECOMMANDATIONS DE LA CNIL CONCERNANT LES MODALITES D’ARCHIVAGE ELECTRONIQUE, DANS LE SECTEUR PRIVE, DE DONNEES A CARACTERE PERSONNEL

Mots-clefs : Vie privée |

par Claude Bourgeos, le mardi 20 décembre 2005

Par une délibération n° 2005-213 du 11 octobre 2005 (JO 23 novembre 2005) la CNIL a adopté une recommandation concernant les modalités d’archivage électronique, dans le secteur privé, de données à caractère personnel. Elle tend de cette manière à articuler les obligations de conservation de certaines données qui incombent aux entreprises pour des raisons civiles, fiscales et comptables avec les exigences de la loi « informatique et libertés ».

La CNIL définit l’archivage électronique de données à caractère personnel comme la conservation des données à caractère personnel, que celles-ci soient collectées, reçues, établies ou transformées sous forme électronique par toute personne, service ou organisme privé dans l’exercice de son activité.

La Commission distingue :
- Les archives courantes constituées par les données d’utilisation courante par les services concernés dans les entreprises organismes ou établissements privés (par exemple : les données concernant un client dans le cadre de l’exécution d’un contrat) ;
- Les archives intermédiaires constituées par les données qui présentent encore pour les services concernés un intérêt administratif, comme par exemple en cas de contentieux, et dont les durées de conservation sont fixées par les règles de prescription applicables ;
- Les archives définitives constituées par les données présentant un intérêt historique, scientifique ou statistique justifiant qu’elles ne fassent l’objet d’aucune destruction. Elle adopte ainsi sa propre définition des archives courantes, intermédiaires et définitives. Il convient de souligner que celle-ci diffère de celle qui est donnée par le décret du 3 décembre 1979 organisant la conservation des archives publiques.

Après avoir posé le principe selon lequel les archives courantes et intermédiaires doivent répondre à des durées de conservation spécifiques, proportionnées à la finalité poursuivie, la CNIL recommande que les responsables de traitements établissent, dans le cadre de leurs moyens d’archivage, des procédures aptes à gérer des durées de conservation distinctes selon les catégories de données qu’ils collectent et soient en mesure d’effectuer, le cas échéant, toute purge ou destruction sélective de données à caractère personnel.

Elle rappelle que les responsables de traitements doivent mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les données archivées notamment contre la diffusion ou l’accès non autorisés ainsi que contre toute autre forme de traitement illicite.

Elle recommande que l’accès aux archives intermédiaires soit limité à un service spécifique (par exemple un service du contentieux) et qu’il soit procédé, a minima, à un isolement des données archivées au moyen d’une séparation logique (gestion des droits d’accès et des habilitations).

Elle recommande que les archives définitives soient conservées sur un support indépendant, non accessible par les systèmes de production, n’autorisant qu’un accès distinct, ponctuel et précisément motivé auprès d’un service spécifique seul habilité à consulter ce type d’archives (par exemple la direction des archives de l’entreprise).

Elle recommande de mettre en œuvre des dispositifs sécurisés lors de tout changement de support de stockage des données archivées ainsi que des dispositifs de traçabilité des consultations des données archivées.

Elle recommande enfin que les entreprises définissent, dans le cadre de procédures formalisées, des règles d’archivage répondant à l’ensemble des préconisations précitées et qu’une information puisse être fournie sur ces règles, en cas de demande exprimée de leur part, aux individus faisant l’objet des traitements archivés.

Claude BOURGEOS