Qu’est-ce qu’un calendrier de conservation ?

Calendrier de conservation - définition

Un calendrier de conservation (retention schedule) est un document formel qui répertorie les durées de conservation ainsi que les règles de suppression ou d’archivage pour des catégories d’informations clairement définies. En matière de gestion des données à caractère personnel et des contenus vidéo ou photographiques, il constitue une preuve de conformité au principe de limitation de la conservation prévu à l’article 5, paragraphe 1, point e du RGPD, ainsi qu’au principe de minimisation des données. Cette définition est consacrée par les normes de gestion documentaire et de l’information, notamment l’ISO 15489‑1:2016, ainsi que par son extension dédiée à la protection de la vie privée, l’ISO/IEC 27701:2019, qui soutiennent la documentation des critères de rétention, des responsables désignés et des mécanismes d’application de ces règles.

Dans le contexte de l’anonymisation des images et des enregistrements vidéo, le calendrier de conservation décrit le cycle de vie des fichiers sources, des versions anonymisées (par exemple après floutage des visages et des plaques d’immatriculation), des métadonnées techniques, des fichiers intermédiaires et des journaux de traitement. Il précise à quel moment les données brutes doivent être définitivement supprimées, dans quels cas une version anonymisée peut être conservée, et comment démontrer le caractère irréversible des opérations. Les lignes directrices 3/2019 de l’EDPB relatives aux dispositifs vidéo lient la durée de conservation à la finalité du traitement et au principe de limitation de la durée, sans fixer de délais universels : la période doit découler d’une analyse documentée et d’une base juridique valable.

Rôle dans l’anonymisation des images et des vidéos

En pratique, les DPO (délégués à la protection des données) et les équipes de sécurité intègrent le calendrier de conservation comme un maillon clé de la chaîne de traitement. Celle‑ci comprend la capture des images, leur transfert vers un environnement on‑premise, la détection et le floutage des visages ou des plaques d’immatriculation à l’aide de modèles d’apprentissage profond, la validation qualité, l’exportation et la suppression finale. Lorsque des modèles d’IA dédiés sont développés pour la détection des visages et des plaques, le calendrier de conservation doit également couvrir les jeux de données d’entraînement et de validation, incluant les règles de collecte, de stockage et de destruction sécurisée après l’apprentissage. Du point de vue des outils d’anonymisation, notamment en environnement on‑premise, le calendrier distingue clairement les données sources des résultats anonymisés. Dans de nombreux cas, la version anonymisée peut être conservée plus longtemps, à condition que le processus réponde aux critères d’anonymisation définis dans l’avis du Groupe de travail Article 29 (WP216) et qu’une évaluation du risque de ré‑identification ait été menée.

Technologies et mise en œuvre de la conservation

La mise en œuvre d’un calendrier de conservation dans le traitement d’images requiert des mécanismes techniques cohérents. Au‑delà de la politique écrite et du registre des activités de traitement, des outils automatisés d’exécution des règles de conservation et des procédures de destruction sécurisée des données à échéance sont indispensables. Ci‑dessous figurent les composants les plus courants dans des environnements on‑premise.

• Couche de stockage : partitions WORM, politiques de cycle de vie dans des stockages objets compatibles S3‑API, priorisation des classes de stockage pour les données sources et anonymisées.
• Bases de données et métadonnées : colonnes TTL, tâches cron de réconciliation, empreintes cryptographiques irréversibles servant de preuves d’intégrité.
• Suppression et assainissement : effacement cryptographique, écrasement conforme au NIST SP 800‑88 Rev. 1, journaux d’audit avec identifiant de dossier.
• Orchestration : workflows reliant la finalité du traitement à la date de suppression, gestion des exceptions et des blocages juridiques (litigation hold).

Dans les environnements utilisant des outils de floutage des visages et des plaques d’immatriculation, il convient de tenir compte du fait que la détection automatique ne concerne généralement que ces deux catégories d’objets. D’autres éléments de l’image peuvent nécessiter un marquage manuel, impliquant des cycles de conservation distincts pour les fichiers de travail et les masques d’édition. L’absence de traitement en temps réel facilite l’application des règles de conservation, les opérations étant réalisées par lots et entièrement journalisées sous le contrôle de l’administrateur.

Paramètres et indicateurs clés de la conservation

Pour qu’un calendrier de conservation soit mesurable et auditable, il est recommandé de définir des paramètres pouvant être surveillés techniquement. Le tableau ci‑dessous présente les attributs courants et leurs modes de vérification.

L’estimation de la capacité de stockage peut s’appuyer sur un modèle simple, intégrant notamment le volume d’entrée des données et la durée de conservation.

capacité_estimée = (flux_MB_par_jour × durée_conservation_en_jours × facteur_réplication) ÷ facteur_compression

Ces paramètres permettent de concevoir des politiques de classes de stockage et des seuils d’archivage ou de suppression automatiques, sans imposer de délais arbitraires.

Défis et contraintes juridiques

Au sein de l’Union européenne, il n’existe pas de durée unique et obligatoire de conservation des enregistrements vidéo. Le RGPD impose que la durée soit la plus courte possible au regard de la finalité poursuivie. L’EDPB, dans ses lignes directrices 3/2019 relatives aux dispositifs vidéo, souligne que la conservation doit être justifiée et proportionnée au risque. Des réglementations sectorielles peuvent toutefois prévoir des limites spécifiques. En Pologne, le Code du travail prévoit que les enregistrements issus de la vidéosurveillance de l’employeur ne doivent pas être conservés plus de trois mois, sauf s’ils constituent une preuve dans une procédure : dans ce cas, la conservation est prolongée jusqu’à la clôture définitive de l’affaire (article 222, §3).

Le statut des plaques d’immatriculation en tant que données à caractère personnel fait l’objet d’interprétations variables selon les pays. Les autorités de contrôle et la jurisprudence tendent néanmoins à considérer les plaques comme des données personnelles lorsqu’il existe une possibilité réelle de les relier à une personne identifiable. Le calendrier de conservation doit tenir compte de cette divergence en adoptant une approche prudente et dûment documentée dans l’AIPD, en particulier pour les enregistrements réalisés dans l’espace public.

Exemples d’application dans la pratique des DPO

Avant de mettre en place des règles concrètes, il est essentiel d’analyser les flux de données et les risques associés. Les scénarios suivants illustrent des décisions typiques en matière de conservation dans des projets d’anonymisation d’images.

• Vidéosurveillance en entreprise : les données brutes servent à assurer la sécurité. Le calendrier de conservation les rattache aux limites sectorielles prévues par le Code du travail. Les versions anonymisées, destinées à des partenaires ou à des formations, peuvent être conservées plus longtemps, à condition que le floutage supprime toute possibilité d’identification et qu’aucun moyen raisonnable de ré‑identification n’existe.
• Projets à valeur probante : lorsqu’un extrait vidéo constitue une preuve dans une procédure, le calendrier de conservation active une exception avec blocage de la suppression jusqu’à la fin de l’affaire. Pour les communications à des tiers, une version anonymisée est utilisée, et les contrats de sous‑traitance précisent la date de suppression chez le destinataire.
• Entraînement de modèles de détection des visages et des plaques : les jeux de données d’entraînement contenant des images de personnes nécessitent des durées de conservation clairement définies et une base juridique documentée. Après l’apprentissage, les données sont supprimées conformément au NIST SP 800‑88, seules les pondérations du modèle étant conservées, celles‑ci ne constituant généralement pas des données personnelles.
• Opérations on‑premise : le calendrier de conservation différencie les données d’entrée, les fichiers intermédiaires issus de l’édition manuelle et le résultat final. L’outil ne conserve pas de journaux de détection contenant des données personnelles, ce qui limite le périmètre des catégories soumises à conservation côté application. Le contrôle de la suppression reste entièrement entre les mains du responsable de traitement.

Références normatives et sources

• RGPD - article 5, paragraphe 1, point e, principe de limitation de la conservation. Texte du règlement : EUR‑Lex, 2016, https://eur-lex.europa.eu/eli/reg/2016/679/oj.
• EDPB, Lignes directrices 3/2019 sur le traitement des données personnelles par des dispositifs vidéo, version adoptée le 29/01/2020, lien.
• ISO 15489‑1:2016, Information and documentation - Records management - Part 1: Concepts and principles. Organisation internationale de normalisation, 2016, https://www.iso.org/standard/62542.html.
• ISO/IEC 27701:2019, Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management. ISO/IEC, 2019, https://www.iso.org/standard/71670.html.
• NIST SP 800‑88 Rev. 1, Guidelines for Media Sanitization, décembre 2014, https://csrc.nist.gov/publications/detail/sp/800-88/rev-1/final.
• Code du travail polonais, article 22², §3 - conservation des enregistrements de vidéosurveillance de l’employeur. Texte consolidé : Journal officiel 2023, position 1465, ISAP.

Groupe de travail Article 29, Avis 05/2014 sur les techniques d’anonymisation (WP216), 10/04/2014, lien.