Purger ou ne pas purger telle est la question
En matière de conservation des données personnelles, le règlement général sur la protection des données (RGPD) n’impose pas une durée de conservation rigide. Des dispositions légales ou les référentiels de la CNIL fournissent un cadre cohérent d’analyse. Toutefois, ils n’exonèrent pas les responsables de traitement de se poser la question, ni d’expliciter la réponse, quant à la conservation des données sous leur responsabilité.
Ceci étant dit, à la fin, que faire des données personnelles qui ont atteint la limite de leur durée de conservation et surtout, comment les identifier ?
Posons les bases
Avant d’aborder le sujet des données à caractère personnel en fin de cycle de vie, il faut justement aborder cette notion dans le cadre du RGPD. A cette fin, il faut partir du dénominateur commun des DCP : le traitement. Pour chaque traitement, les données personnelles vont passer de phase en phase tout au long de ce cycle :
- La conservation en base active, c’est la phase la plus connue car c’est au cours de celle-ci que la DCP est manipulée pour servir les usages (finalité du traitement) pour lesquels les consentements ont été dûment recueillis le cas échéant. C’est dans cette base que les données seront le plus facilement accessible. Or, l’une des particularités de la donnée c’est qu’elle est aisément duplicable, il faut donc garder cet élément à l’esprit au moment d’élaborer son système de purge.
- L’archivage intermédiaire, il concerne toutes les données qui ne sont plus utiles aux fins du traitement pour lesquelles elles étaient conservées dans la base active. Toutefois, elles peuvent encore servir d’autres usages et/ou doivent être conservées pour répondre à certaines obligations comme garantir la piste d’audit par d’exemple.
- L’archivage définitif, est l’exception qui confirme la règle de purge. Certaines données sont conservées de manière pérenne, il s’agit principalement des données ayant un intérêt public (historique, scientifique, statistique, …).
Pour déterminer la durée de conservation des données dans les bases actives et d’archivage, le responsable du traitement va donc analyser, au cas par cas, les nécessités qui pèsent sur les données sous sa responsabilité et les objectifs du traitement.
En effet, un même traitement nécessite le plus souvent des données de natures diverses : il faut donc les connaître et les distinguer. Une grille d’analyse est d’ailleurs proposée par la CNIL pour aider à la décision sur ce sujet.
Et la purge dans tout ça ?
Toute activité de mise en conformité s’effectue en regard des risques encourus. Concernant notre sujet du jour, ce n’est pas qu’un risque théorique, en septembre dernier, la CNIL a rendu publique une sanction de 250.000€ à l’encontre du GIE INFOGREFFE pour le manquement à ses obligations sur les durées de conservation. Au-delà de l’amende, cette sanction publique à été reprise dans la presse spécialisée et dans la presse généraliste. Le risque d’image n’est donc pas non plus à négliger, alors comment le réduire concrètement ?
Dans un premier temps, la question des modalités pratiques de purge est à déterminer : suppression ou anonymisation ? S’il est possible de faire du cas par cas, une approche globale permet de réduire la complexité. La stratégie vis-à-vis des données arrivées en fin de durée de conservation doit être appréciée avec la DSI en fonction des capacités réelles de l’organisation à anonymiser les données à caractère personnel qu’elle possède. Chaque citoyen européen dispose du droit à l’oubli, aussi les procédés d’anonymisation doivent apporter les garanties suffisantes qu’il ne sera pas possible de remonter jusqu’à la personne concernée, y compris en les croisant avec d’autres jeux de données. Le simple effacement du nom et du prénom ne paraît donc pas suffisant à cet égard.
La suppression est actuellement l’approche la plus prudente compte tenu des capacités de croisement et de reconstitution croissante, mais elle porte sa propre complexité : connaitre l’emplacement de l’ensemble des données à supprimer, y compris dans les dispositifs de sauvegarde dont le but est justement de parer au risque de disparition des données…
La purge des données est un processus qui doit être automatisé dès que possible, car la sélection manuelle périodique en regard des règles de conservations définies est non seulement source d’erreur mais est une tâche chronophage et rébarbative. Que l’opération soit manuelle ou automatisée, pour une mise en conformité d’applications existantes ou pour un nouveau projet, les éléments suivants doivent être adressés :
- Définir un référentiel des durées de conservation selon les usages
- Définir les modalités d’archivage (pour chaque phase du cycle), physique et/ou logique ainsi que les règles d’accès à ces données archivées (comment et pour quel usage)
- Définir les caractéristiques opérationnelles des purges (périodicité, propagation, traçabilité, …)
- Identifier les impacts de la purge sur les autres SI (données de référence, historicité des reporting, …).
Ces prérequis vont nécessiter la mise en commun de compétences métier, juridique et informatique ; en un mot, il va falloir collaborer. Enfin, sans cartographie à jour du SI et des données, les travaux ne pourront reposer que sur les experts et leur capitalisation, nécessaire à la maintenabilité du système, doit être pensée.
L’ensemble de ces éléments doivent vous sembler familier, Ô lecteur assidu de nos articles de blog, c’est bien normal : il s’agit du cœur de nos sujets de Gouvernance des données.
Comment voulez-vous gouverner une conformité data où il existe 258 variétés de traitements ?
La mise en conformité RGPD a souvent été une initiative des services Conformité ou Juridique, après tout, il s’agit de leur cœur de métier. Toutefois, idéalement en amont, souvent en cours de route, se pose la question de l’organisation et du pilotage du dispositif :
- Mobilisation des acteurs
- Priorisation des actions
- Suivi de la mise en œuvre
- Evaluation des résultats
- Pérennisation
En bref, il faut mettre en place une gouvernance, celle-ci peut être ad hoc ou intégrée dans une gouvernance plus générale (sans interdire pour autant des structures de pilotage opérationnel spécifique). Les organisations que nous accompagnons dans leur transformation data driven intègrent les exigences réglementaires, donc RGPD, comme une des composantes de leur organisation data pour tirer de la valeur de leur patrimoine data tout en maîtrisant le risque de conformité. Pour d’autres, la planification de leur mise en conformité constitue un cas d’usage parfait pour poser les bases d’une gouvernance élargie de leurs données. Ainsi, les nécessaires efforts investis par l’ensemble des parties prenantes (métiers, DSI, RSSI, DPO…) sont exploités pour servir d’autres cas d’usages concrets au service de l’entreprise.
La complémentarité des approches fera très prochainement l’objet d’un article dédié.
Il existe toutefois un point commun qu’il nous semble opportun d’aborder : pour gouverner ses données au sens large ou plus spécifiquement ses données personnelles, il faut disposer d’une vue d’ensemble sur celles-ci. La cartographie du SI couplée aux interviews métier pour identifier les traitements constitue l’approche classique pour élaborer le registre des traitements. Mais une fois la phase de découverte réalisée, comment suivre les évolutions de nos traitements, leurs modalités de stockage, les règles de gestion, de conservation d’accès ?
Pour rassembler toutes ces informations et organiser la manière dont elles doivent être capitalisées puis tenues à jour la question de l’investissement dans un outil dédié se pose.
Or, il existe un outil dont la vocation est de rassembler, stocker et mettre à disposition les informations réunies sur les 3 couches sémantiques de vos données (métier, logique, technique) : le data catalog ou metadata repository. Notre avis sur le sujet n’a pas changé depuis notre dernier article sur le sujet : choisir l’outil adapté à votre niveau maturité est un investissement nécessaire pour permettre la valorisation du travail de collecte effectué et assurer sa pérennité grâce à son adoption par les métiers.
La contextualisation des métadonnées permise par un catalogue est, notamment, un formidable facilitateur pour la vérification du respect des dispositions de l’article 5 du RGPD, en particulier la licéité, la minimisation et, le sujet d’aujourd’hui, la limitation de la conservation. En effet, la durée maximale de conservation est une métadonnée qui peut être managée à partir du catalogue, il constituera également un excellent support en réponse aux interrogations du régulateur sur ces sujets.
Néanmoins, c’est dans sa capacité à concilier les 3 couches sémantiques que ce type d’outil démontre toute son utilité pour piloter et assurer la conformité de l’organisation sur la conservation des données.
En effet, une fois les données identifiées, encore faut-il être certain de leur localisation pour réaliser les purges, vérifier leur réalisation ou bien appliquer l’exercice des droits des personnes concernées. Quoi de mieux pour implémenter des contrôles ou des routines de purge qu’une représentation visuelle du cycle de vie des données ? C’est que vous apportent ces outils avec la modélisation de leur lignage.
Enfin, cet outil de gouvernance pourra utilement être votre base de référence pour le découpage des droits et habilitations aux données, y compris entre les bases actives et les bases d’archivages intermédiaires.
La purge est-elle le point faible de votre conformité ?
La gestion de la conservation des données à caractère personnel est l’un des sujets les plus complexes à adresser dans une organisation, c’est du coup l’un des plus passionnants !
Il est la conclusion logique de tout le travail fait en amont pour construire le registre des traitements et se traduit de manière très concrète. Par corollaire, c’est un sujet sur lequel il est facile de se faire prendre en défaut par le régulateur. Un auditeur qui relève des DCP conservées au delà de la durée nécessaire et c’est tout l’édifice de conformité qui est remis en cause. Or, sa bonne tenue nécessite un pilotage adapté et une collaboration des acteurs qui rend nécessaire la mise en place d’une gouvernance vivante.
Et vous, où en êtes vous dans votre organisation ? Les outils maisons sont-ils suffisants pour assurer votre conformité ou avez-vous besoin de produits plus spécifiques ? La collaboration et l’implication des collaborateurs est-elle suffisante pour vous apporter une assurance raisonnable sur la maîtrise du dispositif ?
Auteur : Yohann Bagot