Le RGPD et l'archivage : qu'est-il encore possible de faire ?

Le RGPD offre une protection de grande envergure pour la vie privée et les données personnelles. Cette législation affecte également la gestion des archives. Heureusement, vous pouvez faire usage de certaines exceptions dans le cadre de la gestion des archives.
Grâce à cet outil, vous apprendrez :

• Quels sont les principes généraux du RGPD ?
• Quelles sont les implications du RGPD pour les archives ?
• Quelles exceptions utiliser dans le cadre de l'archivage ?

Le règlement général sur la protection des données, plus connu sous l'acronyme RGPD, est entré en vigueur le 25 mai 2018. À cause d'un grand nombre d'ambiguïtés, cela ne s'est pas fait sans heurts. Ce qui est rarement, voire jamais, apparu dans toute l'agitation autour de la nouvelle législation, ce sont les informations concernant les répercussions sur la gestion des documents. Quelles données les organisations sont-elles encore autorisées à collecter ? Quelles données peuvent être conservées pendant de longues périodes ? Et lesquelles ne le peuvent pas ? Qu'en est-il d'un transfert d'archives, par exemple ? Qu'en est-il de l'accès (en ligne), de la consultation et de la réutilisation des documents d'archives ?

Les principes relatifs au traitement des données personnelles

Pour répondre aux questions ci-dessus, il convient d'examiner de près les principes relatifs au traitement des données à caractère personnel. Avant cela, il convient de revenir sur les définitions du traitement et des données à caractère personnel.

Données à caractère personnel : "toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée "personne concernée") ; est réputée être une "personne physique identifiable" une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale."^[1]

Traitement : "toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction."^[2]

Selon ces définitions, l'archivage est, dans presque tous les cas, un traitement de données à caractère personnel. Après le glossaire, le règlement énumère une série de principes relatifs au traitement des données à caractère personnel : légalité, loyauté, transparence, limitation de la finalité, traitement minimal des données, exactitude, limitation du stockage, intégrité et confidentialité, ainsi que responsabilité. Ces principes doivent être respectés lors du traitement des données à caractère personnel et donc également lors de l'archivage.

Le premier principe stipule que les données à caractère personnel doivent être traitées de manière juste, correcte et transparente. Le traitement juste est évoquée dans six cas :

1. lorsque la personne concernée a donné son consentement ;
2. lorsque le traitement est nécessaire à l'exécution d'un accord ou d'un contrat ;
3. dans le cas de la poursuite d'un intérêt légitime ;
4. pour se conformer à une obligation légale ;
5. pour la protection des intérêts vitaux ;
6. pour l'exécution d'une mission d'intérêt public.

Les principaux fondements juridiques du traitement des données à caractère personnel pour les organisations artistiques sont le consentement de la personne concernée, l'exécution d'un accord ou d'un contrat et la poursuite d'un intérêt légitime (ex. assurer le bon fonctionnement de l'organisation).^[3]

Un traitement adéquat signifie, entre autres, que le traitement des données collectées se fait dans le respect de la personne concernée et d'une manière conforme à ses attentes. Par exemple, il est adéquat d'utiliser une adresse e-mail de votre fichier d'adresses pour envoyer une newsletter. Cependant, il n'est pas adéquat de laisser d'autres organisations ayant un groupe cible similaire traiter cette adresse e-mail. La transparence de traitement repose avant tout sur une communication ouverte, claire et facilement compréhensible. La personne concernée doit savoir quelles données sont collectées et ce qu'il advient de ses données à caractère personnel. Cela peut se faire, par exemple, par le biais d'une déclaration de confidentialité.

Un deuxième principe important pour le traitement des données à caractère personnel est celui de la limitation des finalités. Le traitement doit toujours avoir lieu pour des finalités bien définies, explicites et légitimes, pour lesquelles la personne concernée a donné son consentement dans chaque cas. En principe, les données ne peuvent être traitées de manière incompatible avec ces finalités, sauf si un intérêt légitime peut être démontré. D'autres principes découlent de ce principe de limitation des finalités. Par exemple, il y a le principe du traitement minimal des données, qui stipule que le traitement doit être limité à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Il convient également de limiter la conservation des données. Les données ne doivent pas être conservées plus longtemps que nécessaire pour les finalités énumérées lors de leur collecte.

Il y a également les principes d'exactitude, d'intégrité et de confidentialité. Le principe d'exactitude implique que les données à caractère personnel collectées doivent contenir des informations exactes et que des modifications sont apportées si nécessaire. Dans ce cadre, les personnes concernées ont le droit de rectification. Le principe d'intégrité et de confidentialité invite le responsable du traitement à assurer une sécurité adéquate et à prévenir le traitement non autorisé ou illicite, ou encore la perte ou la destruction accidentelle de données à caractère personnel. À cette fin, des mesures techniques et organisationnelles appropriées doivent être prises.

Qu'en est-il de l'archivage ?

Les principes décrits ci-dessus représentent les intérêts des personnes dont les données à caractère personnel sont traitées. Toutefois, d'autres intérêts sont également en jeu et doivent être conciliés avec la protection des données à caractère personnel. Il s'agit notamment du droit à l'information, des intérêts de la recherche scientifique et historique ou simplement du bon fonctionnement et de la gestion efficace d'une organisation (dont les archives font partie).

Quiconque lit et énumère les principes peut penser que le RGPD pose un problème pour l'archivage d'une organisation. Les principes de limitation des finalités, de traitement minimal des données et de limitation du stockage semblent impliquer que l'archivage devient une entreprise juridiquement délicate. En effet, les finalités de traitement communiquées incluent rarement la conservation à long terme des données collectées (ce qui est d'ailleurs contraire aux principes de protection minimale des données et de limitation du stockage).

Toutefois, le texte juridique tient compte de cette question. Ainsi, on peut lire que “le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré comme incompatible avec les finalités initiales“.^[4] Le RGPD offre donc aux responsables du traitement une marge de manœuvre en matière d'archivage. L'affaire n'est pas terminée pour autant.

Étant donné que de nombreux traitements de données à caractère personnel ne prévoient pas l'archivage comme finalité, le consentement de la personne concernée fait généralement défaut. Dans ce cas, le responsable du traitement ne pourra pas invoquer le consentement comme base juridique du traitement. L'option la plus évidente consiste à invoquer l'intérêt légitime comme motif de traitement. Les différentes exceptions prévues par le texte juridique en matière d'archivage montrent que le législateur reconnaît l'importance de l'archivage. En effet, il est important, tant pour l'organisme d'archivage que pour la société dans son ensemble, que des archives de qualité soient conservées. Une société sans archives ne peut pas reconstituer son histoire. Une organisation sans archives perd de vue ses actions antérieures et perd des informations vitales. Une bonne gestion des archives dynamiques est également essentielle au bon fonctionnement d'une organisation. En outre, une bonne gestion des archives est importante pour respecter les principes d'intégrité et de confidentialité du RGPD, car elle peut empêcher la perte d'informations et le traitement illégal.

Les activités de traitement dans le cadre de la gestion des archives constituent donc un intérêt légitime. Toutefois, dans le cas d'un intérêt légitime, il est nécessaire de toujours prendre en considération le droit à la vie privée, d'une part, et l'intérêt de l'organisation (et de la société), d'autre part.

En expliquant le principe de limitation de la conservation, le RGPD mentionne également que les données à caractère personnel peuvent être conservées plus longtemps “dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques".^[5] Les traitements ainsi rendus possibles sont la conservation à long terme et permanente, le transfert d'archives, la mise à disposition et la consultation d'archives, l'établissement d'un inventaire ou d'autres accès, etc. Cependant, dans tous ces traitements, la protection des données à caractère personnel doit être activement recherchée. L'article 89 du RGPD, qui crée spécifiquement un motif d'exemption pour l'archivage, approfondit ce point en précisant que des mesures techniques et organisationnelles appropriées doivent être prises.

Concepts supplémentaire et articles importants

Mesures techniques et organisationnelles appropriées

Le RGPD mentionne à plusieurs reprises que chaque organisation doit mettre en œuvre des mesures techniques et organisationnelles appropriées lorsqu'elle traite des données à caractère personnel. Ces mesures doivent tenir compte de l'état de la technique, des coûts de mise en œuvre ainsi que de la nature, de la taille et du contexte de l'organisation et des finalités du traitement. Le texte juridique mentionne la pseudonymisation et le cryptage comme mesures possibles, et indique également que les organisations doivent garantir, évaluer et apprécier la fiabilité de leurs systèmes de traitement.

En raison de ce manque de spécificité, il est conseillé de consulter les codes de conduite sectoriels. Dans ces codes, les différents secteurs définissent les meilleures pratiques en matière de traitement des données à caractère personnel. Ces codes sont élaborés par des groupes représentatifs et approuvés par l'Autorité de protection des données. L'élaboration de ces codes de conduite sectoriels est encore en suspens en Belgique.

Article 30 : registre des activités de traitement

Une autre innovation importante du RGPD est le registre des activités de traitement (des données) (article 30). Les organisations sont tenues de répertorier dans ce registre les activités de traitement qui ont lieu sous leur responsabilité. Ce registre contient les coordonnées du responsable du traitement, les finalités du traitement, une description des catégories de personnes concernées, une description des catégories de données à caractère personnel et des destinataires, si possible le délai d'effacement et si possible les mesures de sécurité techniques et organisationnelles.

Ce registre doit se présenter sous forme écrite, ce qui inclut la forme électronique. Le texte précise qu'il n'est pas obligatoire pour les organisations employant moins de 250 personnes, sauf s'il existe un risque pour les personnes concernées, si le traitement des données à caractère personnel n'est pas occasionnel ou si le traitement porte sur des catégories particulières de données à caractère personnel. Étant donné que même des traitements très classiques tels que l'administration du personnel ou l'envoi d'une lettre d'information sont des traitements non occasionnels, presque toutes les organisations devront tenir un tel registre.

Les opérations que vous effectuez dans le cadre de la gestion des archives doivent figurer dans ce registre. Par exemple, le transfert d'archives dans un dépôt relève du traitement de données à caractère personnel, tout comme l'ouverture et la mise à disposition ou la consultation. L'organisation, la valorisation et la destruction des archives relèvent également du traitement de données à caractère personnel et doivent figurer dans ce registre.

Article 17 : droit à l'effacement ("droit à l'oubli")

Dans le cadre de la tentative de donner aux individus plus de droits et de protection, le RGPD invoque le droit à l'oubli et à l'effacement des données avec l'article 17. Les personnes concernées ont ainsi le droit de demander l'effacement de leurs données à caractère personnel.

Les responsables du traitement doivent également supprimer les données à caractère personnel qui ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées ou traitées, pour lesquelles le consentement a été retiré ou qui ont fait l'objet d'un traitement illicite.

Toutefois, ce droit n'est pas absolu et ne s'applique pas au traitement nécessaire à l'exercice du droit à la liberté d'expression et d'information, ni au traitement à des fins d'archivage dans l'intérêt public, de recherche scientifique ou historique ou à des fins statistiques.

Article 83 : amendes administratives

Les organisations qui ne respectent pas les exigences du RGPD dans leur traitement des données à caractère personnel s'exposent à une amende.

Le texte fournit davantage d'informations sur les amendes, précisant qu'elles doivent être effectives, proportionnées et dissuasives et tenir compte de la nature, de la gravité et de la durée de la violation. La nature, la portée et la finalité du traitement doivent également être analysées. Lors de la détermination de la sanction, il faut également tenir compte du caractère intentionnel ou négligent de la violation, de l'existence de mesures (techniques et organisationnelles) visant à atténuer les dommages et de l'existence de violations antérieures pertinentes. Elle examine également les efforts déployés pour remédier à l'infraction et le degré de coopération avec l'autorité de contrôle. Enfin, les gains financiers éventuels sont également pris en compte dans la détermination des sanctions.

Le secrétaire d'État à la protection de la vie privée de l'époque, Philippe De Backer, a déjà déclaré qu'il n'était pas question d'organiser une chasse aux sorcières. Toutefois, cela ne signifie certainement pas que les violations ne peuvent pas avoir de conséquences. La jurisprudence révèlera dans un avenir proche quelle sera l'application concrète du système de sanctions.

Article 85 : traitement et liberté d'expression et d'information

L'article 85 est un article très important pour les organisations artistiques. Il stipule en effet que le droit à la protection des données doit être concilié avec le droit à la liberté d'expression et d'information. Cela inclut les formes d'expression artistique. Dans le cadre de cet alignement, certaines exceptions peuvent être adoptées par les différents États membres. En Belgique, ce n'est pas encore le cas. Il faut espérer que cela changera le plus rapidement possible, afin que la clarté et la marge de manœuvre nécessaires soient établies ici aussi.

Auteurs : Jens Bertels (AMVB) et Bart Magnus (Meemoo)