ARCHIVAGE ÉLECTRONIQUE
La CNIL adopte une recommandation sur l’archivage électronique dans les entreprises
lundi 7 novembre 2005
Les obligations légales en matière de gestion fiscale, comptable ou sociale imposent souvent aux entreprises de conserver sur de longues périodes des documents contenant des données à caractère personnel. L’archivage électronique de ces documents doit se faire dans le respect des principes de la loi informatique et libertés, notamment le droit à l’oubli et la finalité. Dans une recommandation adoptée le 11 octobre 2005, la CNIL fait le point sur les bonnes pratiques en la matière.
Les entreprises ont l’obligation, au regard de la réglementation applicable, d’archiver nombre d’informations très détaillées sur leur activité passée, en particulier au sujet des opérations effectuées avec leurs clients, fournisseurs ou salariés. Ces informations, de tous degrés d’importance (documents internes, pièces comptables, déclarations sociales et fiscales, transactions bancaires, contrats, etc.) peuvent comporter des données à caractère personnel et sont, dès lors, protégées par les dispositions de la loi du 6 janvier 1978 modifiée.
Face à la mémoire de l’informatique, seul le principe du «droit à l'oubli» consacré par la loi du 6 janvier 1978 modifiée en août 2004 peut garantir que les données archivées sur les clients, fournisseurs ou salariés ne soient pas conservées, dans les entreprises, pour des durées qui pourraient apparaître comme manifestement excessives. Par ailleurs, lorsque certaines données sont conservées, de façon légitime, sur de longues durées, il importe que les modalités pratiques de cet archivage garantissent les personnes contre, notamment, tout détournement de finalité.
La CNIL, réunie en séance plénière le 11 octobre 2005, a par conséquent adopté une recommandation visant à sensibiliser les professionnels sur certaines règles générales de bonnes pratiques à mettre en oeuvre.
Encadrer les archives courantes, intermédiaires et définitives
La recommandation adoptée par la CNIL a vocation à s’appliquer aux archives dites courantes, intermédiaires et définitives, ainsi définies :
par archives courantes, il convient d’entendre les données d'utilisation courante par les services concernés dans les entreprises, organismes ou établissements privés (par exemple les données concernant un client dans le cadre de l’exécution d’un contrat) ;
par archives intermédiaires, il convient d’entendre les données qui présentent encore pour les services concernés un intérêt administratif, comme par exemple en cas de contentieux, et dont les durées de conservation sont fixées par les règles de prescription applicables ;
par archives définitives, il convient d’entendre exclusivement les données présentant un intérêt historique, scientifique ou statistique justifiant qu’elles ne fassent l’objet d’aucune destruction.
Respecter le principe du « droit à l’oubli »
Les archives courantes et intermédiaires doivent répondre, conformément aux articles 6-5° et 24 de la loi du 6 janvier 1978 modifiée en août 2004, à des durées de conservation spécifiques, proportionnées à la finalité poursuivie (en particulier au regard des durées de prescription définies par la réglementation commerciale, civile ou fiscale), qui doivent être précisées dans le cadre des dossiers de formalités préalables adressés à la CNIL.
La CNIL recommande à cet égard que les responsables de traitements établissent, dans le cadre de leurs moyens d’archivage, des procédures aptes à gérer des durées de conservation distinctes selon les catégories de données qu’ils collectent et soient en mesure d’effectuer, le cas échéant, toute purge ou destruction sélective de données à caractère personnel.
Eviter la « dilution » des données archivées dans le système informatique de l’entreprise
En application de l’article 34 de la loi du 6 janvier 1978 modifiée, les responsables de traitements doivent mettre en oeuvre les mesures techniques et d'organisation appropriées pour protéger les données archivées notamment contre la diffusion ou l'accès non autorisés ainsi que contre toute autre forme de traitement illicite. Ces mesures doivent assurer un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.
La CNIL recommande que l’accès aux archives intermédiaires soit limité à un service spécifique (par exemple un service du contentieux) et qu’il soit procédé, a minima, à un isolement des données archivées au moyen d’une séparation logique (gestion des droits d’accès et des habilitations).
Elle recommande également que les archives définitives soient conservées sur un support indépendant, non accessible par les systèmes de production, n’autorisant qu’un accès distinct, ponctuel et précisément motivé auprès d’un service spécifique seul habilité à consulter ce type d’archives (par exemple la direction des archives de l’entreprise).
Elle recommande enfin de mettre en oeuvre des dispositifs sécurisés lors de tout changement de support de stockage des données archivées ainsi que de mettre en oeuvre des dispositifs de traçabilité des consultations des données archivées.
Utiliser des procédés d’anonymisation en cas de conservation à long terme de documents d’archives
Si, en application de la loi informatique et libertés modifiée, il peut exister pour les archives dites définitives une exception au principe du droit d’accès aux données archivées, la CNIL recommande néanmoins d’utiliser, en particulier en cas de données sensibles au sens de l’article 8 de la loi précitée, des procédés d’anonymisation.
Développer, dans les entreprises, des procédures formalisées
La CNIL recommande que les entreprises définissent, dans le cadre de procédures formalisées, des règles d’archivage répondant à l’ensemble des préconisations précitées et qu’une information puisse être fournie sur ces règles, en cas de demande exprimée de leur part, aux individus faisant l’objet des traitements archivés.
Plus d'infos
© 2024 Dataevent