Article mis en ligne le 4 novembre 2009
La contradiction entre devoir de mémoire numérique et respect du droit à l’oubli est réelle. Des convergences existent pourtant entre archivage électronique et protection des données personnelles. Extraits d’un article paru dans le dossier « Protection des données personnelles » de la revue « Banque Stratégie » d’octobre 2009.
***
L’informatisation et le développement de la dématérialisation conduisent à constater deux phénomènes contradictoires mais tout deux largement fondés : la disparition du droit à l’oubli et la fragilité des contenus numériques sur de longues durées. La gestion de cette contradiction est au cœur de la difficile conciliation de la protection de la vie privée et du respect des obligations des organismes en matière d’archivage électronique.
Comme toutes les institutions, les banques se doivent de mettre en œuvre un archivage pour respecter les obligations légales, pour être à même de disposer des pièces nécessaires lors de contrôles ou de contentieux mais aussi pour préserver la mémoire de l’entreprise. Les établissements bancaires sont de plus confrontés à des spécificités sectorielles qui renforcent les exigences en matière d’archivage. D’une part, les pouvoirs publics exercent une pression continue pour qu’elles s’engagent à conserver des données pour des objectifs de sécurité publique comme ceux relatifs à la lutte contre le blanchiment. D’autre part, les durées de conservation dans le secteur bancaire, qui correspondent à des règles impératives imposées par la règlementation, sont bien souvent de l’ordre de 5 ans. Cependant, cela correspond en pratique à des durées bien supérieures dans la mesure où il s’agit d’une durée de 5 ans à compter de la clôture d’un compte, de la conclusion d’une opération ou du remboursement intégral d’un prêt.
Avec le développement de l’économie numérique, ces obligations incitent les banques à mettre en œuvre des systèmes d’archivage électronique à même de traiter sur de longues durées la question de l’obsolescence permanente des supports et des formats informatiques.
Devoir de mémoire et droit à l’oubli : des objectifs a priori contradictoires
Pour autant, lorsqu’il s’agit de données à caractère personnel, il ne peut être question de garder les informations sans limitation de durée. C’est ce que recouvre le concept de « droit à l’oubli », expression dont on soulignera qu’elle ne figure pas expressément dans la Loi informatique et libertés. Il y est indiqué que les données à caractère personnel doivent être conservées « pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».
Ne devant être ni des institutions Orwelliennes, incapable d’oublier, ni des organismes amnésiques dans l’impossibilité de faire valoir leurs droits ou de se souvenir de leurs obligations, les banques se trouvent ainsi dans l’obligation de concilier les impératifs a priori apparemment contradictoires.
Pour s’en tenir au seul respect du droit à l’oubli, la démarche à suivre pourrait sembler, à première vue, relativement simple. Il suffirait de s’organiser pour que soit mis en œuvre de façon régulière des purges informatiques au terme des durées de conservation indiquées dans les formalités effectuées auprès de la Cnil. En pratique, la situation est loin d’être aussi évidente. Cette disposition de la loi informatique et libertés est l’une des plus difficiles à faire appliquer. Historiquement, les systèmes d’information n’ont pas été conçus pour que soient pris en compte les durées de conservation des informations qui y figurent. De plus, les évolutions les plus récentes de l’informatique tendent à rendre la situation totalement inextricable. Avec les courriers électroniques adressés à des destinataires multiples, les sauvegardes, les réplications, les architectures techniques virtualisées, le cloud computing, les Directeurs des Système d’Information les plus vertueux sont le plus souvent dans l’impossibilité de faire strictement appliquer le droit à l’oubli. En forçant le trait, on peut avoir le sentiment que plus personne ne sait où sont passées les données nominatives.
Les bonnes pratiques archivistiques naturellement protectrices de la vie privée
Confronté à cette situation, les responsables de la protection de données personnelles, qu’il s’agisse de Correspondants Informatique et Libertés (CIL) ou de personnes effectuant cette mission sans en avoir le titre, vont trouver dans les archivistes de précieux alliés. En effet, les bonnes pratiques archivistiques contribuent naturellement à mettre en œuvre des stratégies de conservation par nature protrectrices des données personnelles. Les archivistes vont dans un premier temps mettre l’accent sur la notion de choix de façon à ne conserver que ce qui doit l’être. En outre, ils prennent naturellement en compte le cycle de vie de l’archive avec une durée de conservation au terme de laquelle elle doit être détruite ou versée aux services d’archives historiques. Une différence culturelle peut cependant être soulignée dans la façon d’aborder la question de la confidentialité. Les archivistes vont souvent raisonner sur le principe de communicabilité qui implique en général qu’un document accessible dans un premier temps à un nombre restreint de destinataires pourra au fil de temps être plus largement diffusé. Le principe du droit à l’oubli repose sur le postulat inverse avec un accès qui va devenir de plus en plus limité au fil de temps. A cette nuance près, le professionnel de la protection des données et l’archiviste vont plutôt être des alliés. Rien d’étonnant donc si certains organismes ont désigné comme CIL une personne en charge de l’archivage électronique.
A l’inverse, les oppositions culturelles qui rendent difficille l’application du droit à l’oubli vont plutôt se retrouver chez les responsables de la sécurité informatique ou chez les spécialistes du marketing décisionnel. Pour les premiers, on trouvera fréquemment la volonté de tout conserver au maximum à des fins de traçabilité et de reconstitution alors que pour les seconds la tentation sera la suivante : le datamining fait des progrès continuels en matière de coût et de performance, conservons tout, cela pourra toujours servir un jour.
Une recommandation Cnil sur l’archivage électronique dans le secteur privé
Pour guider les entreprises du secteur privé et les aider à respecter le droit à l’oubli, la Cnil a rendu publique en octobre 2005 une recommandation relative à l’archivage électronique. Ce texte de référence préconise notamment de prévoir un système d’archivage électronique qui soit distinct du système de production avec un contrôle d’accés aux seules personnes autorisées associé à un dispositif de traçabilité des archives consultées. La recommandation préconise également l’utilisation de dispositifs d’anonymisation.
Ainsi considéré, l’archivage électronique en vient à ne plus être un problème pour la protection des données mais constitue à l’inverse une partie de la solution. Certains écrits de la Cnil sont a cet égard révélateurs dans ce qu’ils laissent transparaitrent. Dans la de la recommandation Cnil du 8 décembre 2005 relative à l’autorisation unique pour les dispositifs d’alertes professionnelles (whistleblowing), il est ainsi indiqué « les données relatives à une alerte ayant fait l’objet d’une vérification sont détruites ou archivée ». Dans le même ordre idée on peut lire « « les fichiers de données individuelles constitués pour la réalisation de l’étude (échantillons, réponses) seront effacés à l’issue de l’enquête ou archivés dans des conditions préservant leur confidentialité » dans le recommandation Cnil du 16 mai 2007 consacrée à la mesure de la diversité. Dans les deux cas, il s’agit clairement d’archiver ou de détruire et non d’archiver puis de détruire.
L’archivage électronique, s’il est géré avec des procédures et des solutions techniques appropriées, loin d’être un obstacle à l’application de la loi informatique et libertés devient ainsi un moyen efficace pour la faire respecter.
Arnaud Belleil
A lire aussi