• Données personnelles

    par brm_admin

    Recommandation de la CNIL sur l’archivage électronique des données personnelles dans les entreprises du secteur privé – 07/11/2005

    Dans sa délibération n° 2005-213 du 11 octobre 2005, la CNIL a adopté une recommandation concernant les modalités d’archivage électronique, dans le secteur privé, de données à caractère personnel.

    Face au développement exponentiel de l’archivage électronique dans les entreprises, la Commission nationale de l’informatique et des libertés a rendu le 11 octobre 2005 une recommandation « visant à sensibiliser les professionnels sur certaines règles générales de bonnes pratiques à mettre en œuvre ».

    La Commission relève qu’en vertu des dispositions légales, il incombe aux entreprises d’archiver pour des durées plus ou moins importantes, toutes les informations relevant de leur activité et concernant aussi bien les données comptables que fiscales ou les données sociales. Bien souvent ces données sont régies par les principes du droit à l’oubli ou de finalité consacrés par les articles 6-5° et 24 de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004, relative aux fichiers, à l’informatique et aux libertés. La Commission a entendu préciser les modalités de cet archivage électronique.

    Tout d’abord, s’agissant de la durée de conservation des données, la CNIL souhaite que le responsable du traitement procède à la mise en place de procédures d’archivage distinctes suivant « les catégories de données » collectées. À cette fin, la Commission distingue trois catégories de données. En premier lieu, les données d’utilisation courantes qui peuvent être par exemple pour la CNIL « les données concernant un client dans le cadre de l’exécution d’un contrat ». En second lieu, les données intermédiaires « qui présentent encore pour les services concernés un intérêt administratif et dont les durées de conservation sont fixées par les règles de prescription applicables», par exemple en cas de contentieux. Enfin les données définitives « présentant un intérêt historique, scientifique ou statistique justifiant qu’elles ne fassent l’objet d’aucune destruction ». En outre le responsable doit être en mesure d’effectuer, le cas échéant, « toute purge ou destruction sélective de données ».

    Sur la sécurité des données archivées, la Commission recommande s’agissant des archives intermédiaires ou des archives définitives que leur accès soit limité à « un service spécifique » de l’entreprise, comme par exemple le service des archives de l’entreprise lorsqu’il s’agit d’archives définitives. Également, l’accès aux archives définitives ne devrait être possible que par un « accès distinct, ponctuel et précisément motivé auprès de ce service spécifique seul habilité à consulter ce type d’archives ». De surcroît, la Commission indique la nécessité pour l’entreprise de « garantir l’intégrité des données archivées » ainsi que la mise en place de dispositifs permettant la « traçabilité des consultations des données archivées ».

    En outre, la CNIL recommande, s’agissant des données sensibles relevant de l’article 8 de la loi « Informatique et Libertés », des procédés d’anonymisation.

    Enfin, la CNIL souhaite que les entreprises définissent, dans le cadre de « procédures formalisées », des règles d’archivage répondant à l’ensemble de ses préconisations. Ces règles pouvant être accessibles sur simple demande, à toutes personnes objet du traitement des données nominatives.