Parmi les obligations pas si nouvelles du Règlement Général sur la Protection des Données (GDPR) figure celle (article 5.1.e) de la limitation de la durée de conservation des données à caractère personnel. Le règlement n’a pourtant pas fait grand-chose pour faciliter la mise en application concrète de ce principe, qui se heurte encore régulièrement à la question d’espèce : qu’est-ce qu’une durée de conservation pertinente au vu de telle ou telle finalité ?
Non pas que l’autorité compétente n’ait pas donné quelques pistes à travers ses recommandations et autres outils de droit souple – mais enfin, ces outils sont aussi faits pour être discutés, et surtout ils ne sauraient à l’évidence couvrir l’immensité des possibles qui naissent du détail de situations toujours particulières.
Une difficulté majeure tient selon nous à la conservation de long terme des données (en archive) aux fins de se prémunir des preuves utiles dans l’anticipation d’un contrôle administratif ou d’une action judiciaire. Celle-ci est implicitement autorisée par les règles d’archivage édictées par la CNIL ; reste toutefois à en déterminer la durée maximale avant destruction ou anonymisation des données. Il est d’usage de se référer pour ce faire aux durées de prescription légales ou réglementaires, applicables au contrôle ou à l’action redouté(e) ; problème, cependant : quelle est la limite du raisonnable ? Un hébergeur ne doit-il, par exemple, que craindre une action en responsabilité civile de ses utilisateurs (prescription de cinq ans), ou peut-il légitimement toujours se préparer à une accusation criminelle (et partant conserver une trace des contenus hébergés jusqu’à trente ans) ? Rien de fantaisiste dans cette seconde proposition, tant les débats sur la responsabilité à l’égard des contenus terroristes sont d’actualité.
La question prend un tour encore plus mystérieux lorsqu’il s’agit des contrôles administratifs : ainsi par exemple de l’Autorité de Contrôle Prudentiel et de Régulation (ACPR), dont les pouvoirs de contrôle ne subissent aucune prescription légale (!), et qui pourra donc exiger communication de données dans l’avenir le plus lointain. Or ces données ne peuvent pas toujours être anonymisées, comme dans le cas de l’intermédiaire en financement participatif, soumis à des obligations de KYC très précises.
Comment donc concilier cette imprescriptibilité avec l’exigence de limitation des durées de conservation ? Difficile d’apporter une véritable réponse ici – si ce n’est que d’une autorité l’autre, il serait bon d’accorder ses violons…
