Au titre de sa mission d’autorité nationale référente en matière de données à caractère personnel, la Commission nationale de l’informatique et des libertés (Cnil) est amenée à enquêter auprès de professionnels et parfois à les sanctionner pour des manquements. L’occasion de revenir sur un point de réglementation précis…
Durée de conservation des données : un besoin de cohérence
Afin de veiller au bon respect de la réglementation en matière de protection des données à caractère personnel, la Commission nationale de l’informatique et des libertés (Cnil) est habilitée, après des plaintes ou de sa propre initiative, à effectuer des contrôles auprès d’entités traitant des données.
Dans ce contexte, elle a effectué plusieurs contrôles auprès d’une société exploitant un site internet permettant aux particuliers de publier et de consulter des annonces immobilières.
Lors de ces contrôles, plusieurs manquements sont constatés, mais l’un en particulier mérite d’être détaillé : il s’agit d’une problématique liée à la durée de conservation des données.
En effet le site indiquait garder en archive les données personnelles pendant 10 ans pour les clients utilisant des services payants, et pendant 5 ans pour ceux utilisant les services gratuits.
D’une part, il a été constaté que les durées de conservations annoncées n’étaient pas respectées. D’autre part, la Commission rappelle qu’au-delà de devoir informer les utilisateurs sur la durée de conservation, il faut également que cette durée soit justifiée au regard de l’utilisation qui est faite des données.
Or ici, la durée annoncée de 10 ans ne reposait sur aucune justification cohérente.
Résultat : une amende de 100 000 € a été prononcée à l’encontre de la société !