Le principe de limitation de la conservation oblige les responsables du traitement à ne pas conserver les données à caractère personnel “plus longtemps que nécessaire pour les finalités pour lesquelles elles sont traitées” et à introduire des mesures de pseudonymisation et d’anonymisation qui réduisent/suppriment l’identifiabilité des personnes concernées lorsque l’identification n’est plus nécessaire pour ces finalités. Le problème ici est que les responsables du traitement pourraient être intéressés par le stockage de données plus nombreuses que nécessaire, pour des périodes plus longues que nécessaire, pour finalement utiliser les données stockées à des fins différentes. En outre, comme nous l’avons mentionné, les données sont parfois collectées et stockées “juste au cas où” elles pourraient servir à des utilisations imprévues.

Par conséquent, les périodes de stockage doivent être proportionnées aux finalités du traitement : “Pour définir les périodes de stockage (délais), il convient de prendre en compte des critères tels que la durée et la finalité de la recherche. Il convient de noter que les dispositions nationales peuvent également stipuler des règles concernant la période de stockage.”^[1]

Les responsables du traitement doivent être conscients du fait que, même si le RGPD autorise la conservation pendant des périodes plus longues, bien qu’il doive y avoir une raison bonne et réelle d’opter pour une telle période prolongée, par exemple, lorsque la seule finalité est la recherche scientifique ultérieure (ou les autres circonstances mentionnées dans la liste rapprochée contenue dans l’art. 5.1(c) du RGPD comme l’archivage dans l’intérêt public, la recherche historique ou les fins statistiques) (voir la section “Protection des données et recherche scientifique” dans les “Concepts principaux” et la sous-section “Aspect temporel” dans la section “Limitation de la conservation” des “Principes”, Partie II de ces Lignes directrices).

Afin d’éviter tout stockage illicite, un “test de nécessité” doit être effectué par chacune des parties prenantes à la fourniture d’un service spécifique sur l’IdO, car les finalités de leurs traitements respectifs peuvent en fait être différentes. Par exemple, les données à caractère personnel communiquées par les utilisateurs lorsqu’ils s’abonnent à un service spécifique sur l’IdO doivent être supprimées dès que les utilisateurs mettent fin à leur abonnement. De même, les informations supprimées par les utilisateurs dans leur compte ne doivent pas être conservées. Lorsqu’un utilisateur n’utilise pas le service ou l’application pendant une période définie, le profil de l’utilisateur doit être considéré comme inactif. Après une autre période, les données doivent être supprimées. L’utilisateur devrait être informé avant que ces mesures ne soient prises, par tous les moyens dont dispose la partie prenante concernée”.^[2]

En résumé, si les responsables du traitement n’ont pas besoin des données et qu’aucune raison juridique obligatoire ne les oblige à les conserver, ils doivent les rendre totalement anonymes ou les effacer. Les chercheurs devraient consulter leur DPD s’ils souhaitent conserver des données pendant une longue période et se renseigner sur la réglementation nationale applicable. Ce pourrait également être le moment idéal pour envisager des délais d’effacement des différentes catégories de données et documenter ces décisions ou les appliquer de manière automatisée (voir la section “Responsabilité” dans la partie “Principes”, partie II des présentes lignes directrices).

Liste de contrôle : gouvernance des données Minimisation ☐ Les systèmes IdOutilisent des données anonymisées, en particulier si ces données sont partagées avec d’autres dispositifs, dans la mesure du possible. ☐ Si l’anonymisation n’est pas possible, les systèmes IdOoptent pour l’agrégation des données dans un format standardisé. ☐ Les responsables du traitement ont veillé à ce que personne d’autre que la personne concernée ne puisse accéder aux données brutes, à moins qu’une base juridique ne légitime un tel traitement (et à condition qu’il soit nécessaire aux fins recherchées). ☐ Les responsables du traitement ont veillé à ce que la matière première quittant l’appareil reste le strict minimum nécessaire. Limitation de la finalité ☐ Les responsables du traitement n’utilisent les données que pour les finalités pour lesquelles elles ont été collectées, sauf si une base juridique permet leur traitement illicite par des tiers. ☐ Le responsable du traitement informe de manière transparente sur ces finalités et sur la base juridique qui soutiendra chacune d’entre elles. Limitation du stockage ☐ Les responsables du traitement ne conservent pas les données à caractère personnel pendant “plus longtemps que nécessaire pour les finalités pour lesquelles les données à caractère personnel sont traitées”, selon le Necessity Toolkit du CEPD[3] . ☐ Lescontrôleurs vérifient l’utilité des données stockées pour l’usage prévu d’un produit ou d’un service particulier, qui devra être réévalué périodiquement. ☐ Lesdonnées personnelles communiquées par les utilisateurs lorsqu’ils s’abonnent à un service spécifique sur l’IdO sont supprimées dès que les utilisateurs mettent fin à leur abonnement. ☐ Lesinformations supprimées par les utilisateurs dans leur compte ne sont pas conservées par le système IdO. ☐ Si une personne concernée et utilisateur n’utilise pas le système IdOpendant une période définie, son profil est défini comme inactif et, après une autre période, les données sont supprimées. ☐ L’utilisateur est prévenu avant que ces mesures ne soient prises. ☐ Lesresponsables du traitement ont documenté toutes les informations concernant ces problèmes.

 

1. CEPD (2020) Lignes directrices 03/2020 sur le traitement des données relatives à la santé à des fins de recherche scientifique dans le cadre de l’épidémie COVID-19 Adoptées le 21 avril 2020. Contrôleur européen de la protection des données, Bruxelles, p.10. Disponible à l’adresse https://edps.europa.eu/sites/edp/files/publication/20-01-06_opinion_research_en.pdf (consulté le 23 avril 2020). ↑
2. Avis 8/2014 du groupe de travail Art 29 sur la protection des données sur les développements récents de l’Internet des objets (SEP 16, 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088. ↑
3. https://edps.europa.eu/data-protection/our-work/publications/papers/necessity-toolkit_en ↑