Ou comment concilier archivage et protection des données à caractère personnel ?

Corps

Le Règlement européen 2016/679 relatif à la protection des données à caractère personnel (ou RGPD) est entré en vigueur le 25 mai 2018 dans tous les États membres de l’Union européenne. La plupart de ses dispositions sont d’application directe.

Le RGPD est complété par la loi du 6 janvier 1978, dite loi Informatique et Libertés, modifiée à plusieurs reprises, notamment par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, qui a servi à “implémenter” le RGPD en droit national puis par l’ordonnance n° 2018-1125 du 12 décembre 2018 qui a restructuré la loi Informatique et Libertés. 

Les archives bénéficient d’un statut spécifique, dérogatoire au régime de droit commun, statut justifié par la finalité de la conservation des archives (apporter des preuves, documenter l’histoire) qui implique la conservation d’archives intègres.

Ce régime dérogatoire n’est toutefois pas applicable à toutes les archives : il ne concerne que les archives définitives et il est de nature différente selon qu’il s’agit d’archives traitées par des services publics d’archives ou d’archives privées détenues par des personnes physiques ou morales de droit privé (entreprises, associations, Églises, etc.).

Les archives définitives conservées par les services publics d’archives

Corps

Le RGPD et l’article 36 de la loi Informatique et Libertés révisée confirment la possibilité de conserver les données au-delà de la durée de conservation dans le traitement initial (durée qui correspond habituellement à la durée d’utilité administrative – DUA) “à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques”.

En application de l’article 36 de la loi Informatique et Libertés et des articles 17 et 89 du RGPD, les traitements mis en œuvre par les services publics d’archives dérogent à certains droits des personnes concernées par les traitements. Ces droits seraient susceptibles de rendre impossibles ou de compromettre gravement les finalités de ces traitements. Il s’agit des dérogations :

  • au droit à l’oubli ou droit à l’effacement, 
  • au droit d’opposition, 
  • au droit de rectification, 
  • au droit à la limitation du traitement, 
  • au droit à la portabilité des données, 
  • au droit d’accès de la personne concernée (au sens Informatique et Libertés),
  • à l’obligation de notification “en ce qui concerne la rectification ou l’effacement des données ou la limitation du traitement”.

Ces dérogations s’appliquent également aux archives définitives encore conservées par les producteurs, dans l’attente de leur versement dans le service public d’archives compétent. Elles s’appliquent aussi, le cas échéant, aux archives conservées par les services d’archives dont la DUA ne serait pas échue, mais dont, nécessairement puisqu’il y a eu versement, la durée de conservation dans le traitement initial est expirée.

Ces dérogations aux droits des personnes ont été obtenues en contrepartie de “conditions et garanties appropriées” constituées, s’agissant des archives publiques, par le très riche corpus normatif qui encadre leur gestion en France (Code du patrimoine, Code des relations entre le public et l’administration, décret relatif aux modalités de diffusion en ligne des archives, normes en matière d’archivage électronique, etc.).

Les archives courantes et intermédiaires

Corps

Les archives courantes et intermédiaires relèvent du régime de droit commun du RGPD et de la loi Informatique et Libertés, c’est-à-dire que le droit à l’effacement, le droit de rectification, le droit d’opposition, etc. peuvent s’exercer à leur égard. Ces droits sont cependant limités dans certains cas, limitations précisées dans chacun des articles du RGPD qui leur sont dédiés. Le droit à l’effacement, par exemple, ne s’applique pas lorsque le traitement est nécessaire pour respecter une obligation légale ou pour exécuter “une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement” (art. 17 du RGPD).

Les données personnelles ont donc un cycle de vie comme les autres données. Cependant, pour offrir aux citoyens la plus grande sécurité des données les concernant, il faut que les outils présentent toutes les garanties appropriées. Quand elles doivent être conservées définitivement, elles ne doivent pas être anonymisées ou pseudonymisées. 

Cycle de vie de la donnée personnelle Archives courantes Archives intermédiaires Archives historiques
Lieu de conservation Base de données active du producteur Base de données dédiée du producteur Système d'archivage électronique
Finalité de la collecte et de la conservation Répondre à un besoin métier Répondre à une obligation légale ou à un besoin métier Recherche scientifique ou historique, recherche statistique/finalité archivistique dans l'intérêt public

Les archives définitives de la sphère privée

Corps

Les archives du secteur privé ne peuvent pas bénéficier des dérogations associées aux “traitements à des fins archivistiques dans l’intérêt public” dans la mesure où les personnes ou organismes en cause n’ont pas d’obligation légale de collecte, de conservation, de traitement et de communication de leurs archives.

Mais comme leur traitement a pour finalité la recherche historique, ces archives bénéficient du régime spécifique accordé aux traitements à des fins de recherche scientifique ou historique ou à des fins statistiques. Ces traitements dérogent au droit à l’oubli dans la mesure où ce droit serait susceptible de rendre impossible ou de compromettre gravement la réalisation de leurs finalités.