Actuellement, les délais de conservation des documents fiscaux, comptables ou sociaux répondent aux mêmes critères que ceux du papier, ce qui n'est pas forcément adapté aux besoins des entreprises, ni aux capacités de stockage et de conservation électronique du matériel.
Le Forum des droits sur l'Internet a formé en 2004 un groupe de travail chargé de réfléchir aux moyens de développer la confiance dans le secteur de l'archivage électronique, en tenant compte des "politiques d'archivage du secteur privé". Le but étant de favoriser le développement d'une pratique sûre de l'archivage électronique en entreprise en posant les principes directeurs devant entourer les modalités de conservation d'un document électronique (actualité du 8/03/04).
Bien que ce groupe de travail n'ait pas encore rendu ses conclusions, la CNIL a décidé de prendre les devants en adoptant une recommandation (n°2005-213) en date du 11 octobre 2005 sur l'archivage électronique dans les entreprises.
La CNIL a adopté une recommandation, qui fait le point sur les bonnes pratiques en matière d'archivage des documents pouvant comporter des données personnelles. En effet, les entreprises ont l'obligation, au regard de la réglementation applicable, d'archiver nombre d'informations très détaillées sur leur activité passée, en particulier au sujet des opérations effectuées avec leurs clients, fournisseurs ou salariés. Ces informations (documents internes, pièces comptables, déclarations sociales et fiscales, transactions bancaires, contrats, etc.) peuvent comporter des données à caractère personnel qui sont protégées.
Encadrement de toutes les archives :
La recommandation adoptée par la CNIL a vocation à s'appliquer aux archives dites courantes, intermédiaires et définitives, ainsi définies :
- archives courantes : il s'agit des données d'utilisation courante par les services concernés dans les entreprises, organismes ou établissements privés (par exemple les données concernant un client dans le cadre de l'exécution d'un contrat) ;
- archives intermédiaires : données qui présentent encore pour les services concernés un intérêt administratif, comme par exemple en cas de contentieux, et dont les durées de conservation sont fixées par les règles de prescriptions applicables ;
- archives définitives : données présentant un intérêt historique, scientifique ou statistique justifiant qu'elles ne fassent l'objet d'aucune destruction.
Respecter le principe du droit à l'oubli :
Les archives courantes et intermédiaires doivent répondre, conformément à la loi informatique et libertés, à des durées de conservation spécifiques, proportionnées à la finalité poursuivie qui doivent être précisées dans le cadre des dossiers de formalités préalables adressés à la CNIL. La CNIL recommande que "les responsables de traitements établissent, dans le cadre de leurs moyens d'archivage, des procédures aptes à gérer des durées de conservation distinctes selon les catégories de données qu'ils collectent et soient en mesure d'effectuer, le cas échéant, toute purge ou destruction sélective de données à caractère personnel".
Eviter la dilution des données archivées dans le système informatique de l'entreprise :
Pour la Commission nationale informatique, les responsables de traitements doivent mettre en oeuvre les mesures techniques et d'organisation appropriées pour protéger les données archivées notamment contre la diffusion ou l'accès non autorisés ainsi que contre toute autre forme de traitement illicite. Ces mesures doivent assurer un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.
Aussi, la CNIL recommande que l'accès aux archives intermédiaires soit limité à un service spécifique (par exemple un service du contentieux) et qu'il soit procédé, à minima, à un isolement des données archivées au moyen d'une séparation logique (gestion des droits d'accès et des habilitations).
Elle recommande également que les archives définitives soient conservées sur un support indépendant, non accessible par les systèmes de production, n'autorisant qu'un accès distinct, ponctuel et précisément motivé auprès d'un service spécifique seul habilité à consulter ce type d'archives (par exemple la direction des archives de l'entreprise). Elle recommande enfin de mettre en oeuvre des dispositifs sécurisés lors de tout changement de support de stockage des données archivées ainsi que de mettre en oeuvre des dispositifs de traçabilité des consultations des données archivées.
Utiliser des procédés d'anonymisation en cas de conservation à long terme de documents d'archives :
Pour la CNIL, s'il peut exister pour les archives dites définitives une exception au principe du droit d'accès aux données archivées, elle recommande néanmoins d'utiliser, en particulier en cas de données sensibles, des procédés d'anonymisation.
Développer, dans les entreprises, des procédures formalisées :
La CNIL recommande que les entreprises définissent, dans le cadre de procédures formalisées, des règles d'archivage répondant à l'ensemble des préconisations précitées et qu'une information puisse être fournie sur ces règles, en cas de demande exprimée de leur part, aux individus faisant l'objet des traitements archivés.
Article de veille publié le mercredi 2 novembre 2005.
La CNIL demande des garanties supplémentaires dans le projet de loi de lutte contre le terrorisme
Première Visite ?
Inscription Gratuite !
Offre d'Abonnement
Achat Confiance
RSS
Aide & Contact