Durée de conservation. Les mots sont simples et l’expression ne semble pas poser de problème de compréhension. Et pourtant, la durée de conservation est trop souvent maltraitée. C’est pourquoi je me réjouis de la prochaine entrée en vigueur du RGPD (Règlement général pour la protection des données personnelles) qui illustre très bien ce concept.
Qu’est-ce qu’une durée de conservation ?
Procédons par ordre.
La durée est le laps de temps pendant lequel une chose se déroule ou existe, avec un début et une fin à l’action ou à l’objet : la durée légale du travail, la durée d’un bail, la durée d’un mandat électoral, la durée d’un congé, la durée d’un trajet (plus longue par temps de grève, en cas de panne ou si on fait des pauses), la durée d’un projet, la durée d’une communication téléphonique, la durée d’une chanson (qui peut varier selon l’interprète), ladurée de cuisson d’un macaron, etc.
La conservation est l’action de maintenir quelque chose en l’état, avec deux modes opératoires : soit le quelque chose a la capacité intrinsèque de rester inaltéré, soit il faut qu’une action externe aide à la manœuvre, pour contrer l’effet délétère du temps qui passe sur toute chose, plus ou moins rapidement selon que l’on parle du monde minéral, végétal ou animal.
La durée de conservation est donc le laps de temps pendant lequel une chose se conserve (par ses propres moyens) ou est conservée (avec une intervention extérieure). La préposition de, en reliant durée et conservation, indique soit la possibilité (peut se conserver) soit l’obligation (doit être conservé). Il y a là une nuance à ne pas escamoter. Dans tous les cas, la durée de conservation a un début et a une fin, sauf bien sûr dans le cas d’une durée illimitée, dont on peut dire pour simplifier la formulation qu’il s’agit d’une durée de cent ans et plus.
Les deux grands types de choses auquel on attribue des durées de conservation sont les aliments et les documents.
Aliments et documents
Pour les aliments, il s’agit plutôt de la capacité propre du produit à se conserver ; la durée de conservation d’un aliment est le laps de temps pendant lequel cet aliment reste consommable (avec des conditions d’entreposage dans un réfrigérateur, un congélateur, ou simplement un lieu sec et frais). Selon les aliments, les durées de conservation vont de quelques jours à de très longues durées, voir ce site.
Pour les produits manufacturés, la durée de conservation doit figurer sur l’emballage ; elle est calculée par le fabricant en fonction de la nature des aliments et des composants ajoutés (les conservateurs…). Ce que l’on peut remarquer est que, par commodité pour tout le monde, la durée de conservation des aliments n’est pas exprimée en nombre de jours, mois ou années mais au moyen de la date de début et de la date de fin. La date de début est la date de fabrication du produit manufacturé et la date de fin est la date de péremption, c’est-à-dire la date à partir de laquelle il ne devrait plus être consommé.
Pour les aliments frais non conditionnés (fruits et légumes, viandes et poissons, graines), la tradition, l’éducation et le bon sens permettent apprécier le caractère consommable du produit à son aspect, quitte à goûter d’abord un petit bout.
Pour les aliments conditionnés, la durée de conservation qui figure sur l’emballage est une alerte pour indiquer que, après la date de péremption, il peut être toxique de consommer cet aliment et qu’il est préférable de le jeter (il y a bien sûr des nuances). En réalité, du moins sur les sites de grande distribution, les produits qui ont dépassé la durée de conservation affichée ne sont pas détruits ; ils sont retirés des rayons (déréférencés en quelque sorte) et éventuellement remis à des associations caritatives (c’est bien connu que les pauvres ont l’estomac plus résistant que les riches). Tout ceci est à moduler ; pour les amateurs de fromage (dont je suis), c’est parfois à la fin de leur durée de conservation officielle que certains fromages sont vraiment bons…
Les durées de conservation des aliments sont des durées préventives : on prévient le consommateur que, APRES la date, il y a un risque de mauvaise digestion ou d’intoxication. A noter au passage que l’intoxication alimentaire peut provenir d’autres causes qu’une durée de conservation dépassée.
Quant aux documents, la notion de durée de conservation est traditionnellement une obligation réglementaire ou une recommandation de maintenir tel document en l’état (non modifié, non altéré) pendant un certain laps de temps. Cette durée peut aller de quelques mois à plusieurs décennies voire plusieurs siècles (une facturette d’achat d’une casserole, un like sur un site, un message téléphonique, une géolocalisation, une vente d’appartement, un acte de naissance).
La justification de la conservation est le besoin que l’on pourra avoir dans le futur de cette information non modifiée non altérée, pour revendiquer un droit (en action), pour se défendre (en réaction) ou pour éclairer une idée (connaissance). Les codes de loi comportent un certain nombre (pas très élevé d’ailleurs) de « durées de conservation » des documents dont le plus célèbre et le plus effectif dans les entreprises est l’article 123-22 du Code de commerce : « Les documents comptables et les pièces justificatives sont conservés pendant dix ans ». On peut citer également l’article L3243 du Code du travail : « L’employeur conserve un double des bulletins de paie des salariés ou les bulletins de paie remis aux salariés sous forme électronique pendant cinq ans ».
Tous les documents de l’entreprise ne sont pas des documents liés à un contrôle réglementaire, loin de là. Il y a beaucoup de documents dont la production et la conservation sont libres, dans le respect de la loi en général (ne pas faire des faux, ne pas porter atteinte à la réputation d’autrui, etc.). Les durées de conservation ne sauraient être définies dans la loi ; c’est à chaque entreprise (et à chacun pour les documents personnels) d’apprécier la durée de conservation et de fixer des règles, en fonction des risques.
Généralement, le risque documentaire ne se situe pas après la fin de conservation mais AVANT la date butoir. Il ne faut surtout pas supprimer le document trop tôt. En revanche, l’entreprise qui conserve plus de dix ans ses factures ne contrevient en aucune façon à la loi. Si cela lui fait plaisir de stocker des documents inutiles, pourquoi la contrarier ? Et si cette entreprise, ce qui arrive aussi, trouve un intérêt dans la conservation de ses factures (parce qu’elles renferment des informations originales utiles à autre chose qu’à la comptabilité), ce serait un comble qu’on lui interdise de les conserver.
C’est ce concept, pluriséculaire, que l’on retrouve dans la norme internationale sur le « records management » (ISO 15489) : le risque documentaire à gérer est le risque de non-disponibilité des documents le jour où ces documents pourraient être utilisés comme preuve ou comme source de connaissance pour mener une action.
Documents et données
Le monde a changé.
Cette approche traditionnelle de la durée de conservation des documents n’est plus exacte. Ou plutôt elle n’est plus la seule. La société numérique a introduit deux évolutions considérables pour la gestion de l’information dans la durée :
- d’une part, les documents traditionnels, relativement obéissants parce que bridés par la matérialité rectangulaire du papier, ont éclatés en des milliards de données émancipées et dotées d’une capacité de reproduction qui défie toutes les espèces qui les ont précédé ;
- d’autre part, la mise en réseau du monde a permis l’exploitation sans limite de ces données unitaires mais reliées ou reliables au moyen d’outils puissants ; ce qu’on appelle le big data.
Le risque de ne pas disposer de données produites et archivées pour un besoin de preuve ou d’action diminue dans la mesure où les moteurs de recherche finissent toujours par retrouver un des trop nombreux exemplaires de l’information recherchée. En revanche, le risque d’une utilisation erronée ou inappropriée de données dont la conservation n’est plus justifiée croît à toute vitesse.
Le risque informationnel existe aussi bien si on outrepasse la durée de conservation que si on la réduit. Il se situe AVANT et APRES le terme de la durée. Il incite à rechercher la « juste durée de conservation », ni trop courte ni trop longue.
La loi française du 6 janvier 1978 et la création de la CNIL (Commission Nationale de l’Informatique et des Libertés) avaient initié une recommandation visant à ne pas conserver certaines données plus longtemps que nécessaire quand elles concernaient la vie privée des personnes physiques et que le motif de leur création était éteint. Le respect de la vie privée est alors venu contrebalancer les exigences de conservation dans la définition des règles de conservation des documents des entreprises.
Les choses se sont accélérées avec l’iPhone et les réseaux sociaux il y a une dizaine d’années. Le droit à la vie privée a été rapidement dépassé. Les GAFAM se sont engouffrés dans la brèche.
Finalement, on peut dire que la société de consommation a cannibalisé la société de l’information. L’internaute, l’individu plus généralement, est devenu un produit de consommation. Et on s’aperçoit à l’usage que la conservation trop longue de certains produits numériques est toxique…
Les instances européennes ont donc édicté le Règlement général pour la protection des données personnelles (RGPD), voté en juillet 2016, applicable en mai 2018, pour contrer la mauvaise influence des GAFAM sur la liberté des citoyens.
La notion de durée de conservation des données est une des notions centrales de ce nouveau règlement.
La durée de conservation des données dans le RGPD
Pour résumer très rapidement les 99 articles du règlement européen, on peut dire qu’il fait obligation aux entreprises (responsables des données qu’elles traitent) de justifier des traitements qu’elles font des données à caractère personnel de leurs clients et prospects, de leurs collaborateurs et plus généralement de toute personne physique. Les données à caractère personnel sont tout ce qui peut permettre d’identifier une personne : nom, coordonnées, physique, données de localisation, traces de comportement… Les données relatives aux opinions, à la santé, à la vie sexuelle, etc. sont dites « sensibles ». Le traitement illicite de données à caractère personnel peut coûter cher en sanction administratives, et peut-être plus encore dans le cas de poursuites judiciaires par les intéressés.
L’article 5 du règlement dispose que les données à caractère personnel doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées : (limitation de la conservation) ».
Les entreprises doivent tenir un « registre des traitements » et y décrire et motiver les processus qui mettent en jeu des données personnelles ainsi que les mesures prises pour la sécurité de ces données. Elles doivent également obtenir le consentement des personnes concernées et les informer notamment de la « la durée de conservation des données à caractère personnel ou les critères utilisés pour la déterminer ». Il est question par ailleurs (article 30) des « délais prévus pour l’effacement des différentes catégories de données ».
Autrement dit, une durée de conservation doit être attribuée à tout ensemble de données produit pour une finalité affichée ; les données à caractère personnel produites, conservées et accessibles sans qu’on puisse justifier de leur production, conservation et accessibilité sont susceptibles d’appeler une sanction.
Clarification linguistique
Je veux croire que, grâce à l’autorité et à l’impact du RGPD, la « durée de conservation » va détrôner trois formules ambiguës qui circulent dans le monde de la gouvernance de l’information et de l’archivage managérial. Je veux parler de la « DUA », du « délai de conservation » et de la « période de rétention ».
Paradoxalement, l’expression « durée de conservation » est assez peu utilisée dans le monde des archives publiques ; le jargon métier l’a remplacée par la « DUA » (durée d’utilité administrative) qui coïncide parfois avec la durée de conservation au sens réglementaire évoqué ci-dessus, parfois non… La raison en est que la DUA n’est pas centrée sur la responsabilité du producteur sur ses propres données, mais vise à définir le moment où l’objet physique archive pourra quitter l’espace de production pour rejoindre le périmètre de gestion des archives (souvent papier).
L’expression « délai de conservation » concurrence souvent « durée de conservation » mais elle est elle aussi trompeuse. En effet, le délai renvoie, comme la durée à un laps de temps mais ce n’est pas un laps de temps correspondant à quelque chose de positif, à quelque chose qui existe ou qui se déroule, mais à quelque chose qui pourrait avoir lieu ; ainsi, le délai de prescription commerciale (5 ans, article L110-4 du Code du commerce) signifie qu’une personne dispose de cinq années pour conduire une action en justice contre un commerçant par qui elle estimerait avoir été lésée. Un certain nombre d’acteurs sein de l’entreprise mêlent durée de conservation et délai de conservation en interprétant qu’un contrat, par exemple, doit être conservé cinq ans après sa résiliation, ce qui n’est pas faux mais est incomplet si on dit pense cette conservation commence le jour de la résiliation. Non ! La durée de conservation d’un contrat, la durée de conservation des données d’un contrat part de la date de signature du contrat et non de sa date de résiliation. La durée de conservation additionne la durée de validité et le délai de prescription.
Enfin, la « période de rétention », assez courante chez les responsables informatiques qui, ignorant l’activité traditionnelle d’archivage, ont découvert le problème au travers des outils américains et ont donc transposé l’anglais retention period sans avoir conscience de l’existence de durées de conservation dans les textes de loi français. Le plus drôle dans cette affaire est que le texte anglais du GDPR (General Data Protection Regulation) ne parle pas de retention period là où le texte français du RGPD parle de durée de conservation ; le GDPR parle de storage period.
_______
Dans ce monde complexe, essayons d’être simples et de ne pas ajouter de la confusion là où on peut dire les choses clairement.
Voilà pourquoi, RGPD, je te dis merci !