Archives et RGPD

Le RGPD et les archives

 
Le Règlement général sur la protection des données (RGPD) est un règlement européen entré en vigueur le 24 mai 2016. Il s’applique aux pays membres de l’Union européennes qui l’ont respectivement transposé dans leur droit national. En France, le RGPD a été transposé par le biais de la loi n°2018-493 relative à la protection des données personnelles dite loi « CNIL 3 » du 20 juin 2018.
 
Le but du RGPD est de protéger les données à caractère personnel des citoyen·ne·s. Ils et elles peuvent, par exemple, demander à un organisme ou à une institution la rectification ou la suppression de leurs données conservées. Cependant, il y a des exceptions pour les fins archivistiques, notamment les données à caractère personnel ne peuvent être modifiées ni supprimées si elles sont présentes sur des archives définitives.
 
Enfin, le RGPD ne s’applique qu’aux personnes vivantes.
 

►Droits des personnes introduits par le RGPD

 
  • Droit d’accès aux données (article 15)
  • Droit à la rectification (article 16)
  • Droit à l’effacement (article 17)
  • Droit à la limitation du traitement : dans la durée, dans les finalités, dans le nombre, le type d’informations collectées (article18). La personne a le droit de s’opposer à la collecte de données non nécessaires au traitement et ses données ne doivent être conservées que durant le temps nécessaire au traitement.
  • Droit à la portabilité des données (article 20)
  • Droit d’opposition au traitement (article 21)

 

►Limites dans le cadre du traitement archivistique

 
  • Un traitement archivistique n’est pas incompatible avec le traitement des données à caractère personnel initialement déclaré. Donc, après leur utilisation courante, elles peuvent être conservées et utilisées à des fins archivistiques (article 5). 
  • Le droit à l’effacement des données à caractère personnel n’est pas applicable dans le cadre de traitement à des fins archivistiques dans l’intérêt du public (article 17).
  • Il existe un certain nombre de dérogations accordées à des fins archivistiques, récapitulées dans l’article 89.

 

►Obligations pour les services et structures conservant des archives définitives

Les responsables de traitements d’archives définitives sont soumis aux obligations suivantes :

 
  • Mettre en conformité les traitements des archives définitives. Par exemple, anonymiser les données collectées si l’identité des personnes n’est pas nécessaire au traitement (principe de limitation du traitement).
  • Documenter les traitements et être en capacité de montrer sa mise en conformité : registre des entrées, bordereaux de versement, bordereaux d’élimination, instruments de recherche…
  • Déclarer auprès du DPO les traitements mis en œuvre sur les archives définitives (collecte, classement, conservation, communication). Une déclaration unique peut suffire pour déclarer l’ensemble de ces traitements et sur tous les fonds conservés par le service d’archives.
  • Traiter les demandes des particuliers (accès, rectification, suppression…) en tenant compte de l’exception archivistique.
  • Informer les usagers de leurs droits et obligations au regard de l’exception archivistique. Par exemple, sur le site internet du service d’archives, dans une fiche d’information à l’accueil du service…
  • Introduire des clauses RGPD dans les contrats de sous-traitance. Les sous-traitants ont aussi des obligations au regard du RGPD.

 

Ressources et textes