Le règlement général sur la protection des données ou RGPD interdit aux organisations de conserver les données plus longtemps que nécessaire, tandis que la loi sur les archives oblige les services publics à conserver certaines informations au-delà de leur utilité administrative. Comment ces deux cadres légaux pourraient-ils être conciliés ?
- Quid du principe de la limitation de la conservation ?
- Quid du principe de la limitation de la finalité ?
- Quid de l’interdiction de traitement de « données sensibles » ?
- Quid du droit à l’oubli (et des autres droits des personnes concernées) ?
- Quid du devoir d’information ?
- Quelles sont les conditions stipulées à l’article 89?
- Conclusion
- Question ou remarque ?
Notions de base
- RGPD: Règlement européen du 27 avril 2016 (entré en vigueur le 24 mai 2016 et d’application depuis le 25 mai 2018) imposant des règles aux entreprises et aux organisations (du monde entier) traitant des données à caractère personnel des personnes physiques de l’Union européenne. Le règlement remplace la Directive sur la protection des données personnelles de 1995 et a été transposé en droit belge par la loi cadre du 30 juillet 2018 (en cours de révision) relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.
- Données à caractère personnel: toute information se rapportant à une personne identifiée ou identifiable, entre autres des données personnelles, des données en ligne, des données financières, juridiques, médicales, ethniques, commerciales, etc.
- Traitement: toute opération manuelle ou automatique effectuée sur les données, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
Quid du principe de la limitation de la conservation ?
D’après le RGPD, les données à caractère personnel ne peuvent être conservées pendant une période excédant celle nécessaire au regard des finalités pour lesquelles elles ont été collectées.
Le règlement prévoit toutefois une exception pour les fins archivistiques.
L'article 5 1e dit:
« Les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1 [voir ci-dessous], pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée. »
Quid du principe de la limitation de la finalité ?
D’après le RGPD les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités.
Selon le RGPD, le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré comme incompatible avec les finalités initiales (article 5 1b).
Quid de l’interdiction de traitement de « données sensibles » ?
En règle générale il est interdit de traiter des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique (article 9).
Dans ce cas également, l’archivage dans l’intérêt public est une base d’exception, à condition que :
- le traitement soit nécessaire à cette fin ;
- le traitement soit effectué conformément à l’ article 89 § 1 (voir ci-dessous) et au droit de l’État membre qui:
- garantit que le traitement soit proportionné à l’objectif poursuivi
- respecte l’essence du droit à la protection des données
- impose des mesures appropriées et spécifiques pour protéger les droits fondamentaux et les intérêts de la personne concernée.
Quid du droit à l’oubli (et des autres droits des personnes concernées) ?
D’après le RGPD, la personne concernée a le droit d’obtenir dans les meilleurs délais l’effacement des données à caractère personnel la concernant si l’instance qui les traite n’en a plus besoin pour les finalités pour lesquelles elles ont été collectées.
Dans le cas d’un traitement à des fins archivistiques dans l’intérêt public, ce droit ne vaut pas « dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement » (article 17 3d).
Les personnes concernées ne peuvent donc demander de faire éliminer des données que les Archives de l’État considèrent comme étant historiquement précieuses.
Des dérogations aux autres droits, spécifiés aux articles 15-16 et 18-21 du RGPD, sont également possibles, pour autant que ces droits rendent impossibles ou compromettent gravement la réalisation des objectifs spécifiques. Ces dérogations ne sont pas réglées dans le RGPD mais par le titre 4 de la loi cadre belge de 2018 :
- Il est en effet infaisable pour les services d’archives, qui collectent une masse de données à caractère personnel, de découvrir l’identité de toutes les personnes dont ils conservent des données. Une exception a donc été prévue au droit d’accès de la personne concernée (article 15).
- Le droit de rectification (article 16) n’est pas tenable pour les services d’archives, qui doivent en effet garantir l’intégrité et l’authenticité des informations. En conséquence, l’obligation de notification en ce qui concerne la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement n’est pas non plus d’application (article 19).
- Les services d’archives ne peuvent pas non plus respecter le droit à la limitation du traitement (article 18) étant donné que celui-ci les empêcherait d’exécuter des missions essentielles (et légalement obligatoires) telles que la conservation, l’inventoriage et la numérisation d’archives. Le même raisonnement vaut pour le droit d’opposition (article 21).
- Enfin, une exception est prévue au droit à la portabilité des données (article 20), c’est-à-dire pouvoir recevoir les données à caractère personnel qui ont été fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine. Toutefois, ce droit est rarement d’application, étant donné que la plupart des archives n’arrivent pas aux services d’archives via la personne concernée elle-même.
Lors d’un transfert, il ne faut pas de convention pour le traitement ultérieur.
En principe, une instance souhaitant traiter des données qu’elle n’a pas collectées elle-même doit conclure une convention avec le responsable du traitement initial (article 194 de la loi cadre).
Ceci ne s’applique pas pour un transfert aux Archives de l’État, vu que l’établissement a un mandat pour le traitement d’archives dans l’intérêt public.
Quid du devoir d’information ?
D’après le RGPD, les personnes concernées ont le droit d’être informées à propos du traitement de leurs données (quoi, qui et pourquoi) et de savoir quels sont leurs droits à ce sujet.
Si le traitement est effectué à des fins archivistiques dans l’intérêt public, et que ce devoir d’information rend impossible ou compromet cet objectif (comme il est infaisable de contacter individuellement toutes les personnes concernées), on peut y déroger pourvu que les informations soient rendues publiquement disponibles. (article 14 5b)
À cet effet, les Archives de l’État ont publié sur leur site internet une déclaration de protection des données (« data protection statement »).
Quelles sont les conditions stipulées à l’article 89?
Le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas un laisser-passer. Même si des dérogations sont d’application, l’instance responsable du traitement doit toujours prendre les mesures techniques et organisationnelles nécessaires pour respecter l’esprit de la loi et notamment son principe de minimisation des données, c’est-à-dire de ne traiter que les données nécessaires dans la mesure et pour la durée qu’elles sont nécessaires pour cet objectif. Des mesures concrètes à cet effet sont par exemple :
- la pseudonymisation
- le tri (ne conserver que ce qui est historiquement précieux)
- fixer des délais qui doivent venir à échéance avant que les données à caractère personnel ne deviennent consultables
- faire signer une déclaration de recherche lors d’une consultation
L’article stipule aussi que les États membres peuvent prévoir encore d’autres dérogations aux articles 15-16 et 18-21. Comme déjà signalé, en Belgique c’est fait au moyen du titre 4 de la loi cadre (voir ci-dessus).
Conclusion
- La Loi sur les archives reste entièrement d’application. Les services publics ne peuvent donc éliminer des documents ou des données sans l’autorisation des archives de l’État.
- Dans leur registre des activités de traitement (article 30 RGPD) les services publics font référence au tableau de tri reprenant les délais de conservation et la destination définitive des documents (à savoir l’élimination ou le transfert aux Archives de l’État pour une conservation permanente).
- Les services publics transfèrent leurs archives statiques - n’ayant plus d’utilité administrative et destinées à une conservation permanente – aux Archives de l’État qui ont un mandat pour les conserver dans l’intérêt public. Dans chaque phase du cycle de vie des documents, l’accès aux données doit être restreint aux personnes qui en ont besoin pour l’exercice de leurs fonctions.
- Les données non destinées à une conservation permanente sont éliminées le plus rapidement possible après l’échéance du délai de conservation, et après qu’une demande d’élimination ait été adressée aux Archives de l’État et que leur autorisation ait été obtenu. Les éliminations doivent être effectuées de façon que des tiers non autorisés n’aient à aucun moment un accès aux données, aux supports de celles-ci ou aux restes des supports après l’élimination. Pour plus d’informations voir la page Éliminer de l’information.
- Les services publics doivent pouvoir garantir la réversibilité de tout type de chiffrement (encryptage).
- Le transfert des données aux Archives de l’État ne signifie pas que ces données sont rendues publiques immédiatement et de façon illimitée :
- des modalités spécifiques de consultation s’appliquent selon le type de producteur d’archives
- les données à caractère personnel d’individus en vie ne sont jamais diffusées en ligne (sauf moyennant l’autorisation de la personne concernée ou s’il s’agit de personnes publiques ou de données en relation étroite avec des faits historiques - voir article 205 de la loi cadre)
- les données à caractère personnel peuvent être communiquées dans le cadre d’une recherche historique et scientifique, pourvu que des garanties appropriées soient offertes, dont la signature d’une déclaration de recherche.
- Pour son fonctionnement quotidien et sa gestion (contacts avec les lecteurs, les fournisseurs, le personnel, etc.) les Archives de l’État sont soumises aux mêmes restrictions et obligations que toute autre organisation. Dans le contexte du principe de transparence, vous trouvez à cette page un aperçu de nos activités de traitement.