Les données à caractère personnel font l'objet de règles spéciales de conservation en raison des multiples précautions qui doivent être prises afin de ne pas porter atteinte aux principes généraux qui sont édictés par les textes relatifs à la protection des données personnelles, le RGPD et la Loi informatique et libertés.

Outre les règles relatives à la sécurité des données personnelles, les règles de conservation sont surtout dictées par le principe de minimisation des données qui tend à limiter la durée de conservation des données personnelles, ce qui explique que les règles applicables en matière de conservation de données personnes soient nécessairement appréhendées sous l'angle de la durée de conservation qu'il convient de limiter.

À l'exception de quelques textes légaux spécifiques mentionnés plus haut, il n’existe pas de principe général fixant la durée de conservation des données à caractère personnel, y compris lorsqu'elles sont produites ou utilisées à des fins de recherche. 

Le principe est que la durée de conservation des données personnelles ne doit pas excéder la durée nécessaire permettant de réaliser les finalités du traitement pour lequel elles ont été collectées.

« Les données à caractère personnel doivent être : (...)

e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».

- Article 5, e) du Règlement général sur la protection des données

Il appartient en principe au responsable du traitement lui-même de fixer la durée de conservation des données au regard de la finalité du traitement. En vertu du principe de loyauté et de transparence, il doit informer les personnes concernées de la durée de conservation de leurs données personnelles, via les mentions d’information. 

L'on considère ainsi que la durée de conservation des données n'est pas fixée lorsque le responsable du traitement prévoit que les données sont conservées « le temps nécessaire » à la réalisation des finalités du traitement. – CNIL, Délibération de la formation restreinte n° SAN-2022-021 du 24 novembre 2022 concernant la société Électricité de France, point 38

Pour certaines données spécifiques, des textes peuvent définir une durée de conservation à appliquer aux données collectées : 

• les dispositions légales ou réglementaires (le Code de santé publique, le Code des postes et des communications électroniques, etc.). Ces textes peuvent prévoir des durées minimales ou maximales de conservation. Par exemple, les données relatives aux bulletins de paie des salariés doivent être conservées au moins 5 ans (article L. 3243-4 du Code du travail) ;
• les délibérations de la Commission Nationale Informatique et Libertés (CNIL). En effet, la CNIL peut adopter des référentiels sectoriels de durées, des cadres de référence. Par exemple, les référentiels de santé (MR-001, etc.) ;
• les références sectorielles (Code de conduite, etc.) ;
• pour les archives publiques : l’ensemble des préconisations élaborées par l’administration des archives de France ou les tableaux de gestion des archives rédigés par le service d’archives de la structure ou le service d’archives territorialement compétent.

– Commission Nationale Informatique et Libertés (CNIL) et Service interministériel des archives de France (SIAF), Guide pratique. Les durées de conservation, juillet 2020, p. 7

Le Règlement général sur la protection des données et la Loi informatique et libertés prévoient des dérogations à la règle limitant la durée de conservation des données personnelles.

« Les données à caractère personnel peuvent être conservées pour les durées plus longues dans la mesures où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, § 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation dans le temps) ».

- Article 5, e) du Règlement général sur la protection des données

Ainsi, les données personnelles peuvent être conservées au-delà de la durée strictement nécessaire aux finalités initiales du traitement, dès lors qu’elles sont destinées à des usages archivistiques, scientifiques, historiques ou statistiques. – Article 4, 5° de la Loi informatique et libertés

Le choix des données conservées à des fins archivistiques dans l’intérêt public est opéré dans les conditions prévues à l’article L. 212-3 du Code du patrimoine.

La Commission nationale de l’informatique et des libertés (CNIL) recommande de conserver les données personnelles, dans le cadre de la valorisation de résultats de recherche, « pour une durée correspondant à celle du financement de la recherche, avec une période supplémentaire de deux ans si l’anonymisation des données n’est pas envisageable pour une telle valorisation ». – CNIL, Recherche scientifique (hors santé). Les durées de conservation des données, 31 janvier 2022

Toutefois, ces traitements doivent être assortis de garanties appropriées pour protéger les droits et libertés des personnes concernées, au moyen de mesures techniques et organisationnelles. L’objectif poursuivi est celui d’assurer le respect du principe de minimisation des données. Ces garanties incluent, par exemple, la pseudonymisation des données personnelles.  

Enfin, chaque fois que ces finalités peuvent être atteintes par un traitement ultérieur ne permettant pas ou plus l’identification des personnes concernées, il convient de procéder de cette manière. – Article 89, 1° du Règlement général sur la protection des données

En cas d’alerte sanitaire, et afin d’en gérer les suites, les traitements de données personnelles dans le domaine de la santé sont soumis aux seules dispositions de la section 3 du chapitre IV du Règlement général sur la protection des données. – Article 67 de la Loi informatique et libertés

Seuls les organismes ou les services chargés d’une mission de service public figurant sur une liste fixée par arrêté des ministres chargés de la Santé et de la sécurité sociale, pris après avis de la CNIL peuvent mettre en œuvre de tels traitements. Leur seule finalité est de répondre à ces situations d’urgence et d’alerte sanitaire. 

Dans ces situations exceptionnelles, l’utilisation du numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) est autorisée. 

Cette utilisation est cependant strictement encadrée :

• elle n’est permise que si le recours au NIR constitue le seul moyen de collecter les données de santé nécessaires pour répondre à l’urgence sanitaire ;
• sa transmission et sa conservation doivent être réalisées sur des supports électroniques ou numériques avec un chiffrement conforme aux recommandations, référentiels ou règlements types adoptés par la CNIL ;
• le NIR est conservé uniquement pour la durée nécessaire à l’appariement des données.

– Article 30 de la Loi informatique et libertés ; Article 86 du Décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Dans certains cas, comme lors de l’élaboration de mesures de gestion à plus long terme, la durée de conservation des données peut être prolongée. Ce prolongement est encadré par des dispositions spécifiques, telles que celles figurant dans la délibération CNIL n° 2020-083 du 23 juillet 2020, qui précise les conditions d’application du décret n° 2020-1018 du 7 août 2020 pris en application de l'article 3 de la loi n° 2020-856 du 9 juillet 2020 organisant la sortie de l'état d'urgence sanitaire.