Blocage des données selon la LOPDGDD

·

Bloquer des données ne consiste pas à les déplacer dans un dossier appelé « archives ». L'article 32 de la LOPDGDD (loi organique espagnole de protection des données et de garantie des droits numériques) oblige à les identifier et à les mettre en réserve dès lors que leur rectification ou leur suppression est requise, en interdisant tout traitement ou toute consultation, sauf pour les mettre à la disposition des juges, des tribunaux, du ministère public ou des administrations compétentes pendant les délais de prescription des responsabilités. Une fois ces délais écoulés, les données doivent être détruites.

Suppression, conservation et blocage

Avant de concevoir toute procédure, il convient de distinguer les quatre états que traverse une donnée personnelle au cours de son cycle de vie :

Les données supprimées ne doivent pas toutes rester bloquées pendant la même durée : le délai dépend des responsabilités applicables à chaque cas.

Quand le blocage s'applique

Le blocage s'active lors de la rectification ou de la suppression d'une donnée, que ce soit à la demande de la personne concernée ou d'office, une fois la finalité atteinte ou le délai de conservation écoulé, selon le critère de l'AEPD (autorité espagnole de protection des données). Parmi les situations courantes figurent :

Avant de bloquer une donnée, il convient de vérifier s'il existe une obligation légale de conservation active : on ne bloque pas ce qui doit continuer à être utilisé légalement.

Ce que permet le blocage

Tant qu'une donnée reste bloquée, elle ne peut être traitée que pour répondre à d'éventuelles responsabilités et pour la mettre à la disposition des autorités compétentes. Son utilisation à des fins marketing, analytiques, opérationnelles ou « par précaution » est exclue. L'accès aux données bloquées doit toujours rester exceptionnel, motivé et tracé.

Tableau de conservation

CatégorieUsage actifBaseBlocageDestruction
ContratRelation contractuelleContratResponsabilitésFin du délai
FactureObligation fiscaleLoiResponsabilitésFin du délai
RHRelation de travail/loiContrat/loiTravail/fiscalFin du délai
MarketingBase applicableConsentement/intérêt légitimeRéclamationsFin du délai
IncidentGestion de l'incidentObligation/intérêt légitimeResponsabilitésFin du délai

Les délais doivent être documentés par norme et par cas concret : il n'existe pas de tableau générique valant garantie universelle.

Conception du blocage

État logique

L'enregistrement passe à un état bloqué : il sort des applications ordinaires et seul un rôle exceptionnel peut y accéder.

Dépôt séparé

La donnée est exportée, chiffrée, vers un fichier restreint accompagné d'une empreinte, d'une date et de métadonnées, puis supprimée de l'environnement de production.

Copie sécurisée

Si le système ne permet pas le blocage, ou si son adaptation exige un effort disproportionné, l'article 32.4 prévoit la possibilité de réaliser une copie sécurisée avec preuve d'authenticité, de date et de non-altération. Cette option doit être justifiée.

Exigences techniques

Une procédure de blocage bien conçue exige :

Un administrateur technique ne devrait pas pouvoir accéder à ces données de façon routinière.

Sauvegardes

Les sauvegardes compliquent à la fois la suppression et le blocage. Une politique spécifique doit prévoir :

Il n'est pas nécessaire d'altérer une sauvegarde au point de compromettre son intégrité si un isolement et un cycle de vie définis sont en place, mais il faut garantir que la donnée ne revient pas en usage actif.

Systèmes SaaS

Le contrat avec le sous-traitant doit permettre de :

Si le prestataire ne prend pas en charge le blocage, une alternative ou une procédure sécurisée équivalente doit être envisagée.

Rectification

Lorsqu'une donnée est rectifiée, l'ancienne valeur ne doit être conservée bloquée que si elle est nécessaire pour répondre à des responsabilités, tandis que la nouvelle donnée reste active. L'application ne doit pas afficher les deux valeurs comme valides en même temps : la traçabilité doit indiquer quelle est la donnée correcte et depuis quand.

Droits des personnes concernées

Face à une demande de suppression, la procédure doit suivre ces étapes :

  1. vérifier l'identité du demandeur ;
  2. analyser l'application de l'article 17 du RGPD ;
  3. identifier les obligations de conservation existantes ;
  4. cesser l'usage ordinaire de la donnée ;
  5. bloquer la donnée si nécessaire ;
  6. répondre à la personne concernée ;
  7. détruire la donnée à l'expiration du délai.

La réponse à la personne concernée peut expliquer la limitation appliquée sans révéler de contrôles internes sensibles.

Accès exceptionnel

Toute demande émanant d'une autorité doit être validée et journalisée, en conservant la trace de :

L'ensemble des données ne doit pas être débloqué si la remise d'une partie suffit.

Délais

Le délai de blocage est lié à la prescription des responsabilités découlant du traitement et des obligations applicables. Lorsque plusieurs délais coexistent, le critère retenu doit être documenté, et la suspension ou l'interruption du délai est gérée lorsque la loi l'exige. Le système ne doit jamais utiliser la mention « indéfini ».

Destruction

À l'échéance du délai de blocage :

Gouvernance

RôleResponsabilité
Juridique / DPOCritère juridique et supervision
Data ownerDéfinition de la catégorie et de la finalité
ITMise en œuvre technique
SécuritéAccès et intégrité
PrestataireExécution conforme aux instructions
DirectionRessources et gestion du risque

Tests

Avant de valider une procédure de blocage, il convient de vérifier que :

Erreurs fréquentes

  1. Confondre le blocage avec un simple archivage.
  2. Continuer à utiliser des données bloquées à des fins marketing.
  3. Conserver un accès administratif général aux données bloquées.
  4. Appliquer un délai unique à toutes les catégories.
  5. Ne pas fixer de date de destruction.
  6. Laisser les sauvegardes réactiver des données bloquées.
  7. Souscrire des systèmes SaaS sans capacité de blocage.
  8. Afficher l'ancienne donnée après une rectification.
  9. Transmettre plus de données que nécessaire à une autorité.
  10. Détruire des données sans laisser de preuve du processus.

Checklist

Questions fréquentes

Bloquer, est-ce la même chose que supprimer ?

Non. Bloquer consiste à mettre temporairement la donnée en réserve, sans usage ordinaire, pour répondre à d'éventuelles responsabilités.

L'entreprise peut-elle consulter des données bloquées ?

Seulement dans les cas et pour les finalités limitées prévus par l'article 32.

Combien de temps dure le blocage ?

Jusqu'à l'expiration des délais de prescription applicables, définis selon la catégorie de la donnée et la responsabilité correspondante.

Et si le système ne permet pas le blocage ?

Une copie sécurisée peut être réalisée dans les conditions de l'article 32.4, en justifiant la décision et en garantissant l'intégrité de la donnée.

Sources officielles consultées

Chez Summum Consultoría, nous pouvons élaborer le tableau de conservation de votre organisation et concevoir la procédure de blocage avec votre équipe IT et vos prestataires.