Quelles durées prévoir dans sa politique de conservation des données à caractère personnel ?

Tant la Loi fédérale de protection des données (LPD) que le Règlement général sur la protection des données à caractère personnel (RGPD) exigent que le traitement de données personnelles soit proportionnel. Ceci signifie que ces données ne peuvent pas être conservées indéfiniment, que ce soit sous format papier ou électronique. Au contraire, leur conservation doit se limiter à une durée n’excédant pas celle nécessaire au regard des finalités du traitement (art. 5 al. 1 let. e RGPD – principe de limitation de la conservation).
Concrètement, chaque responsable de traitement (p. ex. PME suisse) doit ainsi s’interroger sur les données personnelles qu’il traite, la finalité de ce traitement, la durée pendant laquelle il conserve ces données et comment il les détruit. Adopter une politique interne de conservation des données lui permettra non seulement d’avoir des lignes directrices pour ses collaborateurs, mais également de vérifier et démontrer dans une certaine mesure qu’il respecte ses obligations légales (art. 5 al. 2 RGPD).
La durée de conservation sera définie soit par une base légale s’il en existe une, soit par le responsable de traitement, qui sera bien inspiré de prendre préalablement connaissance des recommandations du Préposé fédéral.

A titre d’exemple, les dispositions légales suivantes devront être considérées lors de l’adoption de ladite politique de conservation :

– Art. 958f CO : les livres, les pièces comptables, le rapport de gestion et le rapport de révision de la société sont conservés 10 ans à compter de la fin de l’exercice ;

– Art. 46 LTr et art. 73 al. 2 de l’OLT-1 : toute documentation pertinente lors d’une enquête sur les infractions au droit du travail sera conservée 5 ans au minimum après l’expiration de sa validité ;

– Art. 41 al. 2 LPP : les actions en recouvrement de créances se prescrivent par cinq ans quand elles portent sur des cotisations ou des prestations périodiques, par dix ans dans les autres cas. Par conséquent, nous recommandons de conserver les données relatives aux régimes de retraite durant 10 ans ;

– Art. 7 al. 3 LBA : les documents établis en vertu de l’art. 7 al. 1 LBA doivent être conservés 10 ans après la cessation de la relation d’affaires ou après la fin de la transaction ;

– Art. 127 et 128 CO : certaines actions se prescrivent par 10 ans, d’autres par 5 ans (les loyers, les pensions alimentaires, les actions des travailleurs pour leurs services et celles des artisans pour leur travail, etc.). Eu égard à ces délais, nous sommes d’avis qu’il convient de conserver notamment les documents contractuels (contrats, avenants, etc.) pendant 10 ans à partir de la fin du contrat ou de son exécution ;

– En ce qui concerne les dossiers RH, ils doivent à notre sens être conservés entre 1 an, 5 ans et 10 ans, en fonction des données concernées. Le Préposé fédéral semble partager cet avis, comme il ressort du Guide pour le traitement des données personnelles dans le secteur du travail publié sur son site internet ;
Il ressort de ce qui précède que le législateur suisse n’a pas légiféré sur cette problématique dans une seule loi spéciale, mais au contraire dans un certain nombre de lois, dont il sera nécessaire de tenir compte afin de réussir sa mise en conformité.