Archivage : les règles préconisées par la CNIL

Publié le 27/04/2007 - Le Monde Informatique

La Commission nationale de l’informatique et des libertés (Cnil) énonce plusieurs recommandations à l’attention des entreprises dans le cadre de leurs procédures d’archivage et s’appliquant aux archives.

Elle opère tout d’abord une distinction entre les archives :

– Les archives courantes concernent les données d’utilisation courante par les services concernés dans les entreprises (ex. : données concernant un client dans le cadre de l’exécution d’un contrat). Ces archives sont soumises non seulement à des durées de conservation spécifiques, proportionnées à la finalité poursuivie (durées de prescription commerciale, civile ou fiscale), qui doivent être précisées dans le cadre des dossiers de formalités préalables adressés à la Cnil, mais également au droit d’accès de la personne concernée.

– S’agissant des archives intermédiaires (données qui présentent encore pour les services concernés un intérêt administratif, comme par exemple en cas de contentieux, et dont les durées de conservation sont fixées par les règles de prescription applicables), elle suggère « que l’accès à celles-ci soit limité à un service spécifique (par ex. un service du contentieux) et qu’il soit procédé, a minima, à un isolement des données archivées au moyen d’une séparation logique (gestion des droits d’accès et des habilitations) ».

– S’agissant des archives définitives (données présentant un intérêt historique, scientifique ou statistique justifiant qu’elles ne fassent l’objet d’aucune destruction), elle conseille de les conserver « sur un support indépendant, non accessible par les systèmes de production, n’autorisant qu’un accès distinct, ponctuel et précisément motivé auprès d’un service spécifique seul habilité à consulter ce type d’archives (par ex. la direction des archives de l’entreprise) ».

La Cnil recommande également de mettre en œuvre (i) des dispositifs sécurisés lors des changements de support de stockage des données archivées, afin d’en garantir l’intégrité et (ii) des dispositifs de traçabilité des consultations des données archivées.
En marge de ce dispositif sécuritaire et pour respecter le droit à l’oubli (la durée de conservation des données est limitée à la durée précisée dans le dossier de formalités préalable adressé à la Cnil), la Cnil recommande également « que le responsable de traitement établisse, dans le cadre de ses moyens d’archivage, des procédures aptes à gérer des durées de conservation distinctes selon les catégories de données qu’il collecte et soit en mesure d’effectuer, le cas échéant, toute purge ou destruction sélective de données ». Le droit d’accès doit pouvoir s’appliquer aux archives courantes et intermédiaires. La Cnil préconise l’anonymisation en cas de conservation d’archives définitives, en particulier si des données sensibles sont concernées.

Autres publications