Edrane Informations Juridiques
Tout savoir sur l'actualité juridique

L'archivage électronique et le droit

Les obligations légales en matière comptable, fiscale ou sociale imposent souvent aux entreprises de conserver pendant de longues périodes des documents à caractère personnel.

Si l'archivage électronique est, pour des raisons de volume de stockage et de facilité de consultation, l'une des solutions apparaissant comme les plus séduisantes, il n'en demeure pas moins qu'elle est fortement encadrée, et ce dans un but de préservation de la vie privée, au motif qu'il existe un « droit à l'oubli ».

I. Cadre juridique et normatif

Le code civil et le code de commerce édictent des obligations en matière de preuve des obligations.

Ainsi, le code civil prévoit que les engagements portant sur des sommes supérieures à 1.500 euros doivent être impérativement prouvés par écrit.

Pareillement, le contrat électronique est reconnu depuis la loi du 13 mars 2000 qui a introduit dans le Code civil l'article 1316-1 qui prévoit que :

« L'écrit sous forme électronique est admis en preuve au même titre que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans les conditions de nature à en garantir l'intégrité ».

Quel que soit le mode choisi pour procéder à un archivage électronique, ce dernier doit permettre de restituer cet acte, son auteur, et ce jusqu'à expiration des délais de prescription concernés.

En matière d'archivage électronique, le texte de référence est la délibération de la CNIL du 11 octobre 2005 portant adoption d'une recommandation concernant les modalités d'archivage électronique dans le secteur privé de données à caractère personnel.

Cette délibération a vocation notamment, en application des dispositions de la loi du 6 janvier 1978 modifiée, à permettre le respect du principe du droit à l'oubli, à éviter la dilution des données archivées dans le système informatique de l'entreprise et à utiliser, en cas de conservation à long terme de documents d'archives, des procédés d'anonymisation.

Les informations archivées par les entreprises peuvent comporter des données à caractère personnel qui seront protégées par les dispositions de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

II. Durée de conservation et réforme de la prescription

Ne seront abordés ici que les principales prescriptions :

Les actions personnelles ou mobilières, depuis le 17 juin 2008, se prescrivent par 5 ans à partir du jour où le titulaire a connu ou aurait dû connaître les faits lui permettant de l'exercer (art. 2224 du Code civil).

Les actions réelles immobilières se prescrivent, mais à compter du jour où le titulaire a connu ou aurait dû connaître des faits lui permettant de l'exercer par 30 ans (art. 2227).

Enfin, le Code de commerce dispose, en son article L110-4, que les contrats commerciaux doivent être conservés pendant une durée de 10 ans, durée ramenée à 5 ans depuis la loi du 17 juin 2008.

Il est ici important de préciser que, pour les hypothèses de modifications (allongements ou diminution de prescription), l'article 2222 du code civil prévoit que :

• - la loi qui allonge un délai de prescription ou de forclusion est sans effet sur une prescription acquise et s'applique lorsque le délai de prescription ou de forclusion n'était pas expiré à la date de son entrée en vigueur
• - si la loi qui réduit le délai de prescription, le nouveau délai court à compter du jour de l'entrée en vigueur de la loi nouvelle, sans que la durée totale ne puisse excéder la durée prévue par la loi antérieure.

III. Archivage des données personnelles et contrôle de la CNIL

La recommandation de la CNIL a vocation à s'appliquer aux différents types d'archives :

• - archives courantes: les données d'utilisation courante par les services concernés dans les entreprises, organismes ou établissements privés (données concernant un client pour l'exécution de son contrat)
• - archives intermédiaires: les données qui présentent encore pour les services concernés un intérêt administratif (en cas de contentieux, et dont les durées sont fixées par les règles de prescription applicables)
• - archives définitives: uniquement les données présentant un intérêt historique, scientifique ou statistiques et justifiant qu'elles ne fassent l'objet d'aucune destruction.

La délibération du 11 octobre 2005 portant adoption d'une recommandation concernant l'archivage électronique dans le secteur privé de données à caractère personnel prévoit que le non-respect de l'obligation des mesures qu'elle édicte est sanctionné par l'article 226-17 du Code pénal.

IV. Normes d'archivage électronique et politique d'archivage

Dans la délibération du 11 octobre 2005 la CNIL recommande que les entreprises, organismes ou établissements privés concernés définissent, dans le cadre de procédures formalisées, des règles d'archivage répondant à l'ensemble des préconisations précitées dans la délibération.

Il convient ainsi que l'entité (le responsable du traitement) qui collecte des informations personnelles, mette en œuvre les mesures techniques et d'organisation appropriées pour protéger les données archivées contre toute destruction accidentelle ou illicite, contre la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, ainsi que contre toute autre forme de traitement illicite, et ce en application de l'article 34 de la loi du 11 janvier 1978 modifié.

Enfin, la délibération prévoit que le responsable du traitement établisse, dans le cadre de ses moyens d'archivage, des procédures en vue de gérer des durées de conservation distinctes en fonction des catégories de données collectées. Il doit en outre pouvoir effectuer, si nécessaire, toute purge ou destruction sélective de données.

Le responsable de traitement doit aussi pouvoir justifier que les moyens d'archivage employés sont de nature à exclure tout risque d'atteinte à la vie privée des personnes concernées, notamment en utilisant, pour les données sensibles au sens de l'article 8 de la loi, des procédures d'anonymisation.

V. Responsabilité des tiers archiveurs et spécificités du contrat d'archivage

 L'article 35 de la loi du 6 janvier 1978, auquel fait référence la délibération du 11 octobre 2005, précise que le responsable du traitement qui fait procéder à un archivage pour son propre compte, doit choisir un sous traitant qui apporte des garanties suffisantes au regard des mesures de sécurité techniques et d'organisation relatives aux traitements et doit veiller à ce que ces mesures soient respectées.

Les traitements réalisés en sous-traitance doivent être régis par un contrat ou un acte juridique liant le sous-traitant au responsable du traitement.

Par ailleurs, ce contrat doit prévoir que le sous-traitant n'agit que sur instruction du responsable et que les obligations en matière de sécurité n'incombent qu'à lui.

Par conséquent, par rapport aux personnes dont les données sont collectées en vue d'un traitement automatisé, seul le responsable du traitement est tenu de garantir la sécurité des données recueillies.

Les obligations de sécurité relativement aux données collectées et faisant l'objet d'un traitement :

• - les archives intermédiaires ne doivent être accessibles que par un service spécifique et il doit pouvoir être procédé à un isolement des données archivées au moyen d'une séparation logique, notamment par une gestion des droits d'accès et des habilitations
• - les archives définitives doivent être conservées sur un support indépendant, qui ne doit pas être accessible par les systèmes de production et qui ne doit autoriser qu'un accès distinct, ponctuel et précisément motivé auprès d'un service seul habilité à procéder à la consultation de ce type d'archives (exemple: le service archives de l'entreprise)