Combien de temps conserver les données générées par les outils d'IA en entreprise ?
Réponse courte
La durée de conservation des données générées par l'IA en entreprise au Luxembourg est déterminée par le principe de limitation du RGPD (article 5) : les données ne peuvent être conservées que le temps strictement nécessaire à la finalité du traitement. L'AI Act impose en complément une conservation des logs de 6 mois minimum pour les systèmes à haut risque. Il n'existe pas de durée unique applicable à toutes les données IA.
L'employeur doit définir des durées proportionnées pour chaque type de données : transcriptions de réunions (30 jours recommandés), recommandations algorithmiques de recrutement (durée du processus + délai de contestation), logs de surveillance (durée de la finalité de sécurité). Les données doivent être supprimées automatiquement à l'expiration, sauf obligation légale contraire. La CNPD peut contrôler la conformité des durées de conservation.
Définition
La conservation des données IA désigne la période pendant laquelle l'employeur stocke les données personnelles générées, traitées ou produites par les systèmes d'intelligence artificielle déployés en entreprise. Ces données comprennent les données d'entrée (données des salariés), les données de traitement (logs, scores, recommandations) et les données de sortie (décisions, rapports, transcriptions).
Le RGPD impose le principe de limitation de la conservation dans le cadre des obligations RGPD : les données ne doivent pas être conservées plus longtemps que nécessaire au regard de la finalité pour laquelle elles ont été collectées. L'AI Act ajoute des durées minimales spécifiques pour les systèmes à haut risque.
Conditions d’exercice
Les durées de conservation varient selon le type de données, la finalité du traitement et les obligations légales applicables.
| Critère | Détail |
|---|---|
| RGPD - Principe général | Conservation limitée à la durée nécessaire à la finalité (art. 5, § 1, e) ; suppression ou anonymisation à l'expiration ; documentation des durées dans le registre des traitements |
| AI Act - Logs | Conservation 6 mois minimum pour les systèmes à haut risque (art. 26) ; période proportionnée à la finalité et au risque ; traçabilité des décisions algorithmiques |
| Données de recrutement IA | Durée du processus + délai de contestation (3 à 6 mois) ; candidats non retenus : suppression après 6 mois sauf consentement ; logs AI Act : 6 mois minimum |
| Transcriptions IA | Transcriptions brutes : 30 jours recommandés ; comptes rendus validés : selon politique documentaire ; enregistrements audio/vidéo : suppression après transcription |
| Données d'évaluation IA | Recommandations algorithmiques : durée du cycle d'évaluation + 1 an ; historique de performance : 5 ans (prescription droit du travail) |
| Données de surveillance | Proportionnée à la finalité de sécurité ; alertes non confirmées : suppression rapide ; logs de sécurité : 6 mois maximum sauf incident |
Modalités pratiques
La gestion des durées de conservation nécessite une politique structurée et des outils adaptés.
| Étape | Détail |
|---|---|
| Cartographie des données | Inventorier tous les types de données générées par les outils IA ; classifier par finalité et niveau de risque ; identifier les obligations légales applicables |
| Définition des durées | Fixer une durée pour chaque catégorie de données ; documenter la justification de chaque durée ; valider avec le DPO et le juriste |
| Automatisation | Paramétrer la suppression automatique à l'expiration ; mettre en place des alertes de révision ; tester régulièrement le processus de purge |
| Anonymisation | Prévoir l'anonymisation comme alternative à la suppression pour les données à valeur statistique ; vérifier l'irréversibilité de l'anonymisation |
| Audit annuel | Vérifier le respect des durées définies ; contrôler l'absence de données conservées au-delà de la durée autorisée ; mettre à jour la politique si nécessaire |
Pratiques et recommandations
Documenter les durées de conservation dans le registre des traitements RGPD et dans la charte IA, en précisant pour chaque type de données la durée retenue et sa justification juridique.
Automatiser la suppression des données à l'expiration de la durée de conservation, en évitant de dépendre de processus manuels qui sont sources d'erreurs et de non-conformité.
Distinguer les durées minimales imposées par l'AI Act (6 mois pour les logs des systèmes à haut risque) des durées maximales imposées par le RGPD (proportionnalité), en trouvant un équilibre entre ces deux exigences.
Prévoir des exceptions documentées pour les cas de contentieux en cours (gel de la suppression pendant la procédure) ou d'obligation légale de conservation prolongée (archivage fiscal, comptable).
Réaliser un audit annuel de conformité des durées de conservation en collaboration avec le DPO, en vérifiant que les systèmes automatisés de purge fonctionnent correctement.
Cadre juridique
| Référence | Objet |
|---|---|
| RGPD - Article 5, § 1, e | Principe de limitation de la conservation des données |
| RGPD - Article 17 | Droit à l'effacement des données |
| RGPD - Article 30 | Registre des activités de traitement (durées de conservation) |
| AI Act (UE 2024/1689) - Article 12 | Enregistrement automatique des événements pour systèmes à haut risque |
| AI Act - Article 26 | Conservation des logs par les déployeurs (6 mois minimum) |
| Art. L.261-1 | Encadrement du traitement des données personnelles des salariés |
| Loi du 1er août 2018 | Loi nationale RGPD : prescriptions et durées spécifiques |
Note
La gestion des durées de conservation est un enjeu majeur de conformité RGPD pour les entreprises utilisant l'IA. L'absence de politique de conservation expose l'employeur à des sanctions CNPD et à des demandes d'effacement des salariés. L'automatisation de la purge est la meilleure garantie de conformité. Les données anonymisées ne sont plus soumises au RGPD et peuvent être conservées sans limitation de durée.