.png)
Par Haas Avocats
Les consommateurs sont, aujourd’hui, conduits à créer une multitude de comptes en ligne, souvent à l’occasion d’un simple achat, d’un essai temporaire ou de l’accès ponctuel à un service.Or, ces créations répétées soulèvent la question du devenir des données associées une fois le compte devenu inactif.
C’est dans ce contexte que la CNIL est intervenue afin de préciser le régime de conservation applicable aux comptes en ligne et les bonnes pratiques à adopter par les organismes pour assurer la conformité au Règlement Général sur la Protection des Données (RGPD).
Principe général : durée de conservation des comptes en ligne et RGPD
Le RGPD consacre, en effet, un principe fondamental : les données à caractère personnel ne peuvent être conservées que pour une durée strictement nécessaire à la réalisation de la finalité pour laquelle elles ont été collectées[1]. Cette exigence de « minimisation » de la durée de conservation s’applique à tous les types de traitements de données personnelles. Ce principe vise à éviter toute conservation excessive ou injustifiée des données, source potentielle d’atteinte à la vie privée.
Dans le cadre des activités à caractère commercial, et plus particulièrement pour les services nécessitant la création d’un compte en ligne, la CNIL recommande que les responsables de traitement fixent une durée de conservation raisonnable afin d’empêcher le maintien indéfini de comptes inactifs.
Ainsi, la suppression des comptes n’ayant fait l’objet d’aucune connexion ou activité depuis une période de deux ans est considérée comme proportionnée au regard des objectifs de protection des données.
En outre, dans une logique de transparence et de respect des droits des utilisateurs, il est préconisé d’informer préalablement les personnes concernées avant toute suppression de leur compte, afin de leur offrir la possibilité de le maintenir actif si elles le souhaitent.
Comptes inactifs : exception pour l’audiovisuel et le jeu vidéo
En application du droit de la consommation, les professionnels ont l’obligation de garantir aux utilisateurs un accès permanent et sans interruption aux contenus numériques qu’ils ont acquis.
Cette exigence découle du principe selon lequel un bien ou service acheté doit pouvoir être utilisé conformément aux droits attachés à sa propriété ou à sa licence d’utilisation. Dans les secteurs de l’audiovisuel et du jeu vidéo, cet accès s’effectue le plus souvent au moyen d’un compte personnel mis à disposition par le fournisseur (Netflix, Playstation, Steam, etc).
Comme le rappelle la CNIL, le compte joue alors un rôle central : il constitue une véritable bibliothèque numérique (ou vidéothèque), permettant à l’utilisateur de retrouver à tout moment ses films, séries ou jeux, et d’en poursuivre l’usage indépendamment de son activité récente.
Afin de respecter cette obligation d’accès continu, les professionnels sont autorisés à conserver certaines données à caractère personnel, même lorsque le compte de l’utilisateur est demeuré inactif pendant plus de deux ans. Toutefois, cette conservation doit rester strictement limitée aux informations nécessaires à la fourniture du service, c’est-à-dire à celles qui permettent d’identifier le titulaire du compte et d’assurer la disponibilité de ses contenus numériques[2].
En revanche, les autres catégories de données — notamment celles exploitées à des fins commerciales, marketing ou statistiques — ne peuvent être conservées que pour une durée restreinte et justifiée par la finalité poursuivie. Leur maintien au-delà de cette période serait contraire au principe de minimisation et au principe de limitation de la conservation énoncés par le RGPD.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Article 5 du RGPD
[2] Il s’agit notamment des données d’identification (adresse e-mail, nom, prénom, pseudonyme) et des données techniques indispensables à l’usage du service, telles que les sauvegardes de progression dans les jeux vidéo.
.png?width=110&name=Neurotech%20%20au%20coeur%20de%20lesprit,%20aux%20fronti%C3%A8res%20du%20droit%20(69).png)
.png?width=110&name=Neurotech%20%20au%20coeur%20de%20lesprit,%20aux%20fronti%C3%A8res%20du%20droit%20(62).png)
.png?width=110&name=Neurotech%20%20au%20coeur%20de%20lesprit,%20aux%20fronti%C3%A8res%20du%20droit%20(60).png)
.png?width=110&name=Neurotech%20%20au%20coeur%20de%20lesprit,%20aux%20fronti%C3%A8res%20du%20droit%20(55).png)
