Le cycle de vie des données constitue la manière dont les données circulent tout au long de leur cycle de vie utile, depuis leur création ou collecte jusqu'à leur destruction.
La gestion du cycle de vie des données (ou data lifecycle management) est devenue indispensable.
Une politique de data lifecycle management (dlm) a deux objectifs :
- Exploiter efficacement la grande quantité de données collectées par les organismes ;
- Respecter la législation concernant les données personnelles, notamment le RGPD (règlement général sur la protection des données).
Le cycle de vie des données s’articule autour de 4 étapes principales que nous allons détailler dans ce guide.
1- Qu’est-ce que le cycle de vie des données personnelles ?
Une définition du cycle de vie des données
Les données personnelles suivent des étapes successives. Le terme de « cycle de vie » de la donnée personnelle est utilisé pour décrire ce processus qui débute à sa création (ou collecte) et se termine à leur destruction.
Désormais, les entreprises génèrent des quantités phénoménales de données dans le cadre de leur activité. Il est estimé que la quantité de données générée double tous les deux ans. Pour exploiter efficacement ces informations, la mise en œuvre d'un processus visant à les protéger tout au long de leur cycle de vie devient indispensable.
La gestion du cycle de la donnée
Ce processus est le Data lifecycle management (dlm) ou gestion du cycle de vie des données. Il désigne la gestion des flux de données tout au long de leur existence, c’est-à–dire toutes les phases par lesquelles passent les données depuis leur collecte ou création jusqu’à leur suppression. Des obligations légales jalonnent ce cycle de vie : base légale de collecte, durées de conservation, archivage, suppression …
En effet, une donnée à caractère personnel ne doit pas être stockée indéfiniment dans les systèmes informatiques. Une durée de vie doit être définie, et ceci dès sa création (ou collecte).
📝 Les données personnelles sont toutes celles permettant d’identifier directement (nom, prénom, numéro de sécurité sociale …) ou indirectement (métier, âge, taille, etc.) une personne physique.
2- Quelles sont les 4 phases du cycle de vie de la donnée ?
Le RGPD impose des obligations en matière de gestion des éléments à caractère personnel. Suivant celles-ci, le cycle de la vie des données repose sur 4 étapes principales.
Certaines étapes ne concernent pas toutes les données, comme l’archivage temporaire et définitif. Il s’agit de vérifier s’il existe des obligations légales particulières concernant ces informations afin de déterminer les durées de conservation à appliquer. Mettre trop vite fin au cycle de vie d’une durée peut avoir des conséquences, notamment si ces documents sont soumis à des obligations de conservation.
Les 4 phases du cycle de vie des données sont les suivantes :
- Acquisition de la donnée : collecte ou création ;
- Traitement des données (conservation en base active) ;
- Archivage temporaire et définitif ;
- Suppression des données.
étape 1 : L’acquisition de la donnée
Le cycle de vie d’une donnée démarre au moment de sa création ou, plus souvent pour une donnée personnelle, de sa collecte. Il s'agit de la première étape.
L’étape de la collecte d’une donnée personnelle est cruciale au regard de la législation. Le RGPD impose notamment des obligations conditionnant par la suite la licéité du traitement.
Si les données personnelles ne sont pas récoltées dans le respect de ces obligations, leur exploitation sera considérée comme illégale.
Pour être valable, la collecte de la donnée personnelle doit reposer sur l’une des 6 bases légales listées par l’article 6 du RGPD.
Le texte européen sur la protection des données liste les seules conditions dans lesquelles le traitement des informations personnelles est autorisé :
- Recueil du consentement,
- Exécution d’un contrat,
- Respect d’une obligation légale,
- Intérêt légitime,
- Sauvegarde des intérêts vitaux d’une personne,
- Mission d'intérêt public.
Selon le type de données, il est important d’établir des règles concernant la manière de les collecter. Vous devez savoir quand, où et comment elles ont été générées et se sont retrouvées dans votre base de données. C’est à ce prix que les entreprises peuvent exploiter leurs données en toute conformité.
étape 2 : Le traitement de la donnée
La définition du traitement de données est inscrite à l’article 4 du RGPD. On entend par traitement :“toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction”.
Concrètement, il s’agit de tout ce qui peut être fait sur une donnée personnelle durant le cycle de vie, jusqu’à sa suppression.
Pour suivre les traitements opérés sur les informations personnelles, il est obligatoire de tenir un registre des traitements. Cette obligation est prévue à l'article du 30 du RGPD. Il s'agit d'un document listant l’ensemble des activités de traitement de données personnelles.
Le registre des traitements permet à une organisation de répertorier toutes les opérations réalisées sur les données personnelles. Les organisations disposent ainsi d'une vue d'ensemble de toutes les données personnelles traitées et de la façon dont elles sont exploitées. Le registre s’organise autour des points suivants :
- le type de données,
- les finalités/objectifs des traitements réalisés,
- les personnes concernées,
- les destinataires des données,
- les transferts en dehors de l'Union Européenne,
- les délais d'effacement,
- les mesures de protection des données adoptées.
💡 Durant le temps où la donnée est exploitée, celle-ci est considérée comme “conservée en base active”. La donnée est conservée en base active durant la durée nécessaire à la réalisation de la finalité du traitement pour laquelle celle-ci a été collectée.
Ces éléments doivent être facilement accessibles durant cette partie de leur cycle de vie. Elles sont généralement stockées dans des systèmes d’information accessibles aux utilisateurs en charge du traitement. La disponibilité de la donnée est totale.
🔎 Exemple : un chargé de recrutement saisit un CV dans son logiciel RH. Les données sont accessibles à son équipe durant le traitement, à savoir le processus de recrutement. Ces données sont conservées “en base active” tant qu’elles sont utiles pour réaliser l’objectif, qui est la finalisation du processus de recrutement.
Parfois la loi fixe la durée maximum de conservation des données en base active par les entreprises. Par exemple, dans le cadre d’un recrutement, les informations personnelles concernant candidat non retenu peuvent être conservées 2 ans maximum.
étape 3 : L’archivage temporaire et archivage définitif
Les règles de conservation des données
Les données ne peuvent pas être conservées indéfiniment. Cependant, il existe deux règles distinctes selon les situations. Ces règles concernant la durée de conservation sont édictées à l’article 5 e) du RGPD :
- Principe : la durée de conservation des données personnelles une fois que les objectifs ont été atteint (finalité du traitement) ;
- Exceptions : les données personnelles peuvent être conservées pour des durées plus longues dans certaines situations :
- les données sont traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique, historique ou à des fins statistiques à condition de mettre en place des mesures pour garantir les droits et libertés de la personne ;
- des obligations légales obligent à conserver les données même après que la finalité ait été atteinte (durée de conservation de certains documents comme les contrats ou les bulletins de salaire).
Archivage temporaire
Certaines données sont archivées temporairement avant destruction par l' entreprise.
Ces informations ne sont plus utilisées pour atteindre l’objectif fixé. Elles sont cependant conservées comme preuve en cas de contentieux ou parce que la loi oblige le responsable de traitement à les conserver. Ainsi, la durée de conservation des données est parfois fixée par la réglementation.
Les entreprises doivent archiver certains documents. C’est notamment le cas des contrats, de la facturation (10 ans) ou encore des bulletins de salaire (5 ans). Ces données peuvent être consultées ponctuellement en cas de besoin (contrôle urssaf, contrôle fiscal, contentieux, etc.). Les entreprises n'en ont plus l' utilisation mais doivent les archiver.
Archivage définitif
Certaines données sont archivées définitivement par les organisations en raison de leur valeur. Par exemple, certaines administrations détiennent des données personnelles sans limitation de durée (collectivités locales, France Travail, administration fiscale, etc) ou encore certaines professions (études de notaires, etc.)
L’étape de l’archivage n’est pas toujours nécessaire. A la différence de la conservation en base active qui concerne toutes les données, ces deux étapes ne sont pas systématiquement à mettre en place. Tout dépend des obligations légales qui vous incombent.
🔎 Exemple : si vous avez collecté des adresses mails pour envoyer des offres promotionnelles, vous n’avez aucune obligation légale de les archiver. Dans ce cas, la durée de conservation n’est pas fixée par un texte. Il appartient alors au responsable du fichier de la déterminer en fonction de la finalité du traitement.
💡 La CNIL a élaboré un guide de l’identification des durées applicables à la conservation des données.
étape 4: La suppression des données
Le cycle de vie d’une donnée se termine avec sa suppression. Celle-ci peut avoir lieu :
- soit sur demande de la personne concernée : le droit à l’effacement des données est un droit inscrit à l’article 17 du RGPD. Le responsable est tenu d’y répondre dans un délai d’un 1 mois à compter de la réception de la demande.
- soit à l’issue de la durée de conservation : la plupart des données personnelles ont une durée de conservation au-delà de laquelle celles-ci doivent être supprimées.
Comme nous l’avons vu, certaines données personnelles peuvent ou doivent être archivées de manière pérenne, mais ce cas est rare. En principe, les données ne doivent pas être conservées indéfiniment.
Il est de toute façon dans l'intérêt des organisations de supprimer régulièrement les données devenues inutiles des bases de données et des archives. En effet, le coût de stockage et les frais générés pour leur protection sont importants. Si la donnée n’a plus de valeur, il s’agit d’un investissement à perte.
De la même manière qu’il ne faut collecter que les données utiles (principe de minimisation de la donnée), veillez à supprimer celles qui sont en fin de cycle de vie. Ces données doivent alors être supprimées définitivement.
📝 Notez que la CNIL vérifie les durées de conservation des données à caractère personnel lors de ses contrôles. En cas de manquement, vous vous exposez à des sanctions financières pouvant atteindre jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial de l' organisation pour l'exercice précédent.
🔎 Exemple : L' entreprise Doctissimo a été condamnée au paiement d’une amende de 280 000€. En effet, parmi d’autres manquements, la CNIL a identifié que la société conservait des données d’utilisateurs inactifs depuis plus de 3 ans. La société contrevenait ainsi aux règles sur la conservation des données.
- Besoin de faire un point sur votre conformité RGPD ? Leto peut vous aider ! Data mapping, exercice des droits ou encore registre des traitements : votre conformité en auto-pilote !