Maîtriser les outils

Sur le terrain de la protection des données personnelles communiquées en matière contractuelle, la Commission nationale de l'informatique et des libertés (dite « CNIL ») formule des recommandations aux entreprises en matière d'archivage.

Une forme de « droit à l'effacement » est également prévue et la conservation des données est, généralement, limitée dans le temps selon les dispositions de l'article 6, 5° de la loi du 6 juillet 1978, relative à l'informatique aux fichiers et aux libertés.

Sur la typologie des archives :

En ce qui concerne les archives « courantes », ce sont principalement celles qui sont relatives à l'exécution d'un contrat trois exigences sont imposées par la « CNIL », ce sont principalement celles qui concernent les acteurs du « commerce électronique ».

• En premier lieu, les archives concernant les données à caractère personnels d'un client doivent faire l'objet de dossiers de formalités préalables adressées à la « CNIL ».

• En deuxième lieu, les durées de conservation des données doivent être proportionnées aux durées de prescription et aux finalités pour lesquelles elles avaient été collectées.

• En troisième et dernier lieu, les clients doivent bénéficier d'un droit d'accès aux données personnelles archivées.

En ce qui concerne les archives « intermédiaires », c'est-à-dire celles qui présentent un intérêt « administratif » pour l'entreprise, notamment pour tenir compte du risque d'un contentieux, la « CNIL » recommande qu'elles soient confiées à un service spécifique sécurisé et à accès limité.

Un droit d'accès est prévu au profit de ceux qui ont communiqué des données conservées dans des archives courantes ou intermédiaire est organisé, et, le service de l'entreprise auquel l'archivage a été confié doit procéder à des destructions ciblées et progressives des données.

En ce qui concerne les archives dites « définitives », c'est-à-dire celles qui présentent un intérêt spécifique d'ordre statistique, scientifique, voire historique, l'anonymisation des données sensibles est recommandée par la « CNIL ». Les données en raison de leur intérêt spécifique ne doivent pas risquer la destruction, elles doivent être confiées à un nombre restreint de personnes d'un service spécifiquement dédié et d'accès motivé et ponctuel.

La transposition de la directive 95/46/CE a été l'objet d'un arrêt récent de La Cour de justice de l'Union européenne. La CJUE a été saisie d'un recours préjudiciel en interprétation par une juridiction espagnole suite aux demandes formulées par la centrale positive espagnole (ASNEF) et une fédération professionnelle de vente en ligne et de marketing direct (FECEMD) ayant critiqué la législation espagnole ayant transposé la directive précitée. La CEDH estime que les États ne peuvent ajouter d'autres exigences à celles figurant dans l'article 7 de la directive 95/46/CE, fixant les règles relatives aux fondements légitimes des traitements de données personnelles. (CJUE, 24 nov. 2011, aff. jtes C-468/10 et C-469/10).

En France, la CNIL a été récemment confrontée à la problématique de la conservation des données bancaires des clients d'un site célèbre de commerce électronique qui avait souhaité  pour faciliter les démarches commerciales de clients en facilitant leur identification, sous la forme d'un « portefeuille électronique ». La délibération CNIL n° 2012-214 du 19 juillet 2012 précise d'abord en substance, sous forme d'avertissement : « qu'une société de vente  distance ne peut, sans l'accord préalable du client conserver dans un « compte client » les coordonnées les noms de porteurs de cartes bancaires, ainsi que  les numéros de ces dernières et leurs dates d'expiration ». Elle rappelle ensuite, conformément aux dispositions de l'article L. 133-4 du Code monétaire et financier, que la conservation, dans une base numérique dédiée à l'archivage des données bancaires à des fins probatoires peut être effectuée sans le consentement des clients, mais qu'elle est limitée dans le temps (quinze mois). Elle indique enfin surtout que la conservation des cryptogrammes visuels des cartes bancaires dans une base consultable par les salariés de l'entreprise, alors même que ceux-ci étaient soumis par leur employeur à une obligation de confidentialité, expose les utilisateurs du site marchand, à un risque d'utilisation frauduleuse des données bancaires nonobstant la « traçabilité » des opérations mise en place. Dès lors l'entreprise de commerce électronique avait gravement manqué à l'obligation de sécurité et à l'obligation de confidentialité des données. L'ensemble des règles et des principes rappelés par la CNIL sont mentionnés dans la norme simplifiée n°48 relative à aux traitements automatisés de données à caractère personnel relatifs à la gestion des clients et prospects modifiée par la délibération de la CNIL n° 2012-209 du 21 juin 2012. En outre, la loi « Informatique et liberté » du 6 janvier 1978 impose au responsable d'un traitement qui ne respecterait pas les exigences de la norme précitée, une « déclaration normale » certifiant que le traitement respecte les exigences de la loi et indiquant ses finalités ainsi que la durée de conservations des éléments recueillis.