Alors que bon nombre de physiciens, à l’image d’Étienne Klein, s’accordent à dire que le temps ne peut être défini, il semble que les concepts clefs de la protection des données échappent à ces réflexions. Bien au contraire, la réglementation en vigueur met l’accent sur l’importance de définir, en amont de chaque traitement, une durée de conservation pour les données traitées.
Un temps pour définir les durées de conservation
Cette attention toute particulière que réserve la Loi informatique et liberté[1] et le Règlement Général sur la Protection des Données[2](RGPD) à l’égard du temps qui passe s’explique par la volonté de réduire sensiblement les utilisations inadaptées des données « périmées ».
Le caractère obsolète de la donnée va s’apprécier par la nature même du traitement. Les responsables de traitement doivent ainsi déterminer une durée pendant laquelle la donnée est pertinente et au-delà de laquelle sa conservation doit être considérée comme illicite.
Cependant, entre le moment où la donnée est nécessaire à l’activité et sa date de péremption, une phase d’entre-deux peut être parfois nécessaire. Cette phase s’appelle l’archivage intermédiaire. Cela permet au responsable de traitement de conserver la donnée dans un état de « sommeil » afin qu’elle puisse être accessible pour répondre à des obligations légales ou administratives ultérieures. Là encore, un encadrement temporel est nécessaire et dépendra notamment des délais de prescriptions de ces obligations.
Enfin, certaines données se voient accorder le caractère sacré de l’immortalité pour un certain devoir de mémoire à leur égard. Cet archivage définitif intéresse notamment les données d’archives nationales, patrimoniales et scientifiques.
De son côté, la CNIL[3] a pu fournir, dans son rôle de conseiller, des référentiels de durée de conservation en fonction du secteur d’activité.
Vous l’aurez compris, tout est une question de contexte et l’environnement dans lequel la donnée est conservée a également son importance.
Une fois sa durée de vie déterminée et intégrée dans le registre de traitement, des dispositifs pour sécuriser son lieu de vie doivent à leur tour être pensés. Chiffrement, pare-feu, antivirus et autres cadenas vous seront utiles pour établir le dispositif adéquat.
Mais en cas de doute, encore est-il préférable de se tourner vers des professionnels qui sauront vous conseiller.
[1] L. no 78-17 du 6 janv. 1978
[2] Règlement (UE) 2016/679
[3] Commission Nationale Informatique et Liberté