Bloquer des données ne consiste pas à les déplacer dans un dossier appelé « archives ». L'article 32 de la LOPDGDD (loi organique espagnole de protection des données et de garantie des droits numériques) oblige à les identifier et à les mettre en réserve dès lors que leur rectification ou leur suppression est requise, en interdisant tout traitement ou toute consultation, sauf pour les mettre à la disposition des juges, des tribunaux, du ministère public ou des administrations compétentes pendant les délais de prescription des responsabilités. Une fois ces délais écoulés, les données doivent être détruites.
Suppression, conservation et blocage
Avant de concevoir toute procédure, il convient de distinguer les quatre états que traverse une donnée personnelle au cours de son cycle de vie :
- Usage actif : la donnée reste nécessaire à la finalité qui justifiait son traitement.
- Suppression : le traitement ordinaire de la donnée cesse.
- Blocage : la donnée est mise en réserve temporairement en raison de responsabilités éventuelles liées au traitement.
- Destruction : la donnée est supprimée à l'expiration du délai de prescription correspondant.
Les données supprimées ne doivent pas toutes rester bloquées pendant la même durée : le délai dépend des responsabilités applicables à chaque cas.
Quand le blocage s'applique
Le blocage s'active lors de la rectification ou de la suppression d'une donnée, que ce soit à la demande de la personne concernée ou d'office, une fois la finalité atteinte ou le délai de conservation écoulé, selon le critère de l'AEPD (autorité espagnole de protection des données). Parmi les situations courantes figurent :
- la résiliation d'un compte client ;
- la fin d'un contrat de travail ;
- la rectification d'une facture ou d'un dossier ;
- le retrait d'un consentement ;
- le remplacement d'une donnée inexacte ;
- la fin d'un service.
Avant de bloquer une donnée, il convient de vérifier s'il existe une obligation légale de conservation active : on ne bloque pas ce qui doit continuer à être utilisé légalement.
Ce que permet le blocage
Tant qu'une donnée reste bloquée, elle ne peut être traitée que pour répondre à d'éventuelles responsabilités et pour la mettre à la disposition des autorités compétentes. Son utilisation à des fins marketing, analytiques, opérationnelles ou « par précaution » est exclue. L'accès aux données bloquées doit toujours rester exceptionnel, motivé et tracé.
Tableau de conservation
| Catégorie | Usage actif | Base | Blocage | Destruction |
|---|---|---|---|---|
| Contrat | Relation contractuelle | Contrat | Responsabilités | Fin du délai |
| Facture | Obligation fiscale | Loi | Responsabilités | Fin du délai |
| RH | Relation de travail/loi | Contrat/loi | Travail/fiscal | Fin du délai |
| Marketing | Base applicable | Consentement/intérêt légitime | Réclamations | Fin du délai |
| Incident | Gestion de l'incident | Obligation/intérêt légitime | Responsabilités | Fin du délai |
Les délais doivent être documentés par norme et par cas concret : il n'existe pas de tableau générique valant garantie universelle.
Conception du blocage
État logique
L'enregistrement passe à un état bloqué : il sort des applications ordinaires et seul un rôle exceptionnel peut y accéder.
Dépôt séparé
La donnée est exportée, chiffrée, vers un fichier restreint accompagné d'une empreinte, d'une date et de métadonnées, puis supprimée de l'environnement de production.
Copie sécurisée
Si le système ne permet pas le blocage, ou si son adaptation exige un effort disproportionné, l'article 32.4 prévoit la possibilité de réaliser une copie sécurisée avec preuve d'authenticité, de date et de non-altération. Cette option doit être justifiée.
Exigences techniques
Une procédure de blocage bien conçue exige :
- une marque univoque de l'état bloqué ;
- l'exclusion des recherches internes ;
- le blocage de l'accès via l'API et de l'export ;
- des permissions d'accès distinctes ;
- le chiffrement ;
- la journalisation des accès ;
- la date et le motif du blocage ;
- un délai de conservation calculé ;
- une destruction automatique ou contrôlée ;
- la préservation de l'intégrité de la donnée.
Un administrateur technique ne devrait pas pouvoir accéder à ces données de façon routinière.
Sauvegardes
Les sauvegardes compliquent à la fois la suppression et le blocage. Une politique spécifique doit prévoir :
- une rétention limitée ;
- un accès restreint aux seules fins de récupération ;
- l'interdiction de restaurer des données bloquées comme si elles étaient actives ;
- la réapplication des états correspondants après toute restauration ;
- l'expiration des sauvegardes ;
- la documentation du processus.
Il n'est pas nécessaire d'altérer une sauvegarde au point de compromettre son intégrité si un isolement et un cycle de vie définis sont en place, mais il faut garantir que la donnée ne revient pas en usage actif.
Systèmes SaaS
Le contrat avec le sous-traitant doit permettre de :
- marquer ou exporter les données bloquées ;
- restreindre l'accès ;
- appliquer les délais définis ;
- supprimer les données ;
- gérer les sauvegardes ;
- fournir des preuves de conformité ;
- couper l'accès des sous-traitants ultérieurs.
Si le prestataire ne prend pas en charge le blocage, une alternative ou une procédure sécurisée équivalente doit être envisagée.
Rectification
Lorsqu'une donnée est rectifiée, l'ancienne valeur ne doit être conservée bloquée que si elle est nécessaire pour répondre à des responsabilités, tandis que la nouvelle donnée reste active. L'application ne doit pas afficher les deux valeurs comme valides en même temps : la traçabilité doit indiquer quelle est la donnée correcte et depuis quand.
Droits des personnes concernées
Face à une demande de suppression, la procédure doit suivre ces étapes :
- vérifier l'identité du demandeur ;
- analyser l'application de l'article 17 du RGPD ;
- identifier les obligations de conservation existantes ;
- cesser l'usage ordinaire de la donnée ;
- bloquer la donnée si nécessaire ;
- répondre à la personne concernée ;
- détruire la donnée à l'expiration du délai.
La réponse à la personne concernée peut expliquer la limitation appliquée sans révéler de contrôles internes sensibles.
Accès exceptionnel
Toute demande émanant d'une autorité doit être validée et journalisée, en conservant la trace de :
- le demandeur ;
- sa compétence ;
- la base légitimant la demande ;
- la portée de la demande ;
- les données transmises ;
- la date ;
- le responsable ayant autorisé l'accès.
L'ensemble des données ne doit pas être débloqué si la remise d'une partie suffit.
Délais
Le délai de blocage est lié à la prescription des responsabilités découlant du traitement et des obligations applicables. Lorsque plusieurs délais coexistent, le critère retenu doit être documenté, et la suspension ou l'interruption du délai est gérée lorsque la loi l'exige. Le système ne doit jamais utiliser la mention « indéfini ».
Destruction
À l'échéance du délai de blocage :
- le dépôt est supprimé ;
- les supports sont détruits selon le cycle défini ;
- les sauvegardes sont clôturées à leur expiration ;
- l'exécution est journalisée ;
- un échantillon est vérifié ;
- seule la preuve non personnelle nécessaire attestant que la destruction a eu lieu est conservée.
Gouvernance
| Rôle | Responsabilité |
|---|---|
| Juridique / DPO | Critère juridique et supervision |
| Data owner | Définition de la catégorie et de la finalité |
| IT | Mise en œuvre technique |
| Sécurité | Accès et intégrité |
| Prestataire | Exécution conforme aux instructions |
| Direction | Ressources et gestion du risque |
Tests
Avant de valider une procédure de blocage, il convient de vérifier que :
- un utilisateur ordinaire ne peut pas accéder aux données bloquées ;
- les recherches internes ne les font pas apparaître ;
- l'API ne les expose pas ;
- l'export ne les inclut pas ;
- une autorité compétente peut y accéder via le flux prévu ;
- la restauration des sauvegardes préserve l'état bloqué ;
- la destruction s'exécute correctement ;
- les journaux restent intègres.
Erreurs fréquentes
- Confondre le blocage avec un simple archivage.
- Continuer à utiliser des données bloquées à des fins marketing.
- Conserver un accès administratif général aux données bloquées.
- Appliquer un délai unique à toutes les catégories.
- Ne pas fixer de date de destruction.
- Laisser les sauvegardes réactiver des données bloquées.
- Souscrire des systèmes SaaS sans capacité de blocage.
- Afficher l'ancienne donnée après une rectification.
- Transmettre plus de données que nécessaire à une autorité.
- Détruire des données sans laisser de preuve du processus.
Checklist
- Catégories de données et délais définis.
- Base de conservation identifiée.
- État bloqué mis en œuvre.
- Exclusion d'usage et d'affichage garantie.
- Procédure d'accès exceptionnel en place.
- Journaux et intégrité vérifiés.
- Politique de sauvegardes mise à jour.
- Prestataires révisés.
- Tests de restauration réalisés.
- Processus de destruction documenté.
Questions fréquentes
Bloquer, est-ce la même chose que supprimer ?
Non. Bloquer consiste à mettre temporairement la donnée en réserve, sans usage ordinaire, pour répondre à d'éventuelles responsabilités.
L'entreprise peut-elle consulter des données bloquées ?
Seulement dans les cas et pour les finalités limitées prévus par l'article 32.
Combien de temps dure le blocage ?
Jusqu'à l'expiration des délais de prescription applicables, définis selon la catégorie de la donnée et la responsabilité correspondante.
Et si le système ne permet pas le blocage ?
Une copie sécurisée peut être réalisée dans les conditions de l'article 32.4, en justifiant la décision et en garantissant l'intégrité de la donnée.
Sources officielles consultées
Chez Summum Consultoría, nous pouvons élaborer le tableau de conservation de votre organisation et concevoir la procédure de blocage avec votre équipe IT et vos prestataires.