Selon l’article 5, paragraphe 1, point e), du RGPD, les données à caractère personnel doivent être “conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées”. Cette exigence est double. D’une part, elle concerne l’identification : les données doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire. Par conséquent, les développeurs d’IA devraient mettre en œuvre des politiques visant à éviter l’identification dès qu’elle n’est pas nécessaire au traitement. Cela implique l’adoption de mesures adéquates pour garantir qu’à tout moment, seul le degré minimal d’identification nécessaire à la réalisation des finalités doit être utilisé (voir “Limitation du stockage” dans la partie II, section “Principes”).
D’autre part, la conservation des données implique que les données ne peuvent être stockées que pour une période limitée : le temps strictement nécessaire aux finalités pour lesquelles les données sont traitées. Toutefois, le RGPD autorise la “conservation pour des périodes plus longues” si la seule finalité est la recherche scientifique (ou l’archivage dans l’intérêt public, la recherche historique ou les fins statistiques) (voir “Protection des données et recherche scientifique” dans la partie II, section “Concepts principaux”).
Dans le cas du développement de l’IA, cette exception soulève le risque que les développeurs décident de conserver les données plus longtemps que ce qui est strictement nécessaire, afin de s’assurer qu’elles sont disponibles pour des raisons autres que les finalités initiales pour lesquels elles ont été collectées. Les responsables du traitement doivent savoir que, même si le RGPD autorise la conservation des données pendant des périodes plus longues, ils doivent avoir une bonne raison d’opter pour une telle prolongation (voir “Aspect temporel” dans la sous-section “Limitation du stockage” des “Principes” de la partie II). Pour autant qu’un risque réel découle du non-respect du principe de limitation de la finalité, le test de compatibilité devrait faire partie de toute réutilisation potentielle des données.
L’intention du législateur semble avoir été de dissuader le stockage illimité, même dans le cadre de ce régime spécial, et de veiller à ce que la recherche scientifique ne serve pas de prétexte à un stockage prolongé à d’autres fins, privées. En cas de doute, le responsable du traitement doit examiner si une nouvelle base juridique est appropriée. Ainsi, les durées de conservation doivent être proportionnées aux finalités du traitement : “Pour définir les périodes de stockage (délais), il convient de prendre en compte des critères tels que la durée et la finalité de la recherche. Il convient de noter que les dispositions nationales peuvent également prévoir des règles concernant la période de stockage.” [1]
Ainsi, si les responsables du traitement n’ont pas besoin des données, et qu’il n’y a pas de raisons légales obligatoires qui les obligent à conserver les données, il vaut mieux les anonymiser ou les supprimer. Les chercheurs devraient consulter leur DPD s’ils souhaitent conserver des données pendant une longue période et s’informer de la réglementation nationale applicable. Ce pourrait également être un excellent moment pour envisager des délais d’effacement des différentes catégories de données et documenter ces décisions (voir la section “Responsabilité” des “Principes” de la partie II des présentes lignes directrices).
- CEPD (2020) Lignes directrices 03/2020 sur le traitement des données relatives à la santé à des fins de recherche scientifique dans le cadre de l’épidémie de COVID-19 Adoptées le 21 avril 2020. Contrôleur européen de la protection des données, Bruxelles, p.10. Disponible sur https://edps.europa.eu/sites/edp/files/publication/20-01-06_opinion_research_en.pdf (consulté le 23 avril 2020). ↑