Achat de contenus numériques : quelle durée de conservation des comptes inactifs

Un principe de durée de conservation limitée des données personnelles

Le RGPD pose le principe que la durée de conservation des données personnelles doit être limitée en fonction de l'objectif poursuivi, quel que soit le support utilisé (papier ou numérique) : les organismes ne peuvent conserver les données personnelles sans définir dès le départ une durée précise de conservation ou les critères permettant de la déterminer.

De manière générale, pour les activités commerciales qui impliquent la création d'un compte en ligne, la CNIL estime que l'organisme doit fixer une durée de conservation pour ne pas conserver indéfiniment des comptes auxquels les utilisateurs ne se connectent plus (comptes inactifs). La suppression des comptes pour lesquels aucune action n'a été effectuée par les utilisateurs depuis deux ans est jugé proportionné. Il est recommandé d'avertir les utilisateurs concernés avant cette échéance pour leur permettre de maintenir leur compte actif.

Le cas particulier des secteurs de l'audiovisuel et du jeu vidéo

Les professionnels doivent garantir un accès sans interruption aux contenus numériques achetés, comme le prévoit le droit de la consommation. Dans le secteur audiovisuel et du jeu vidéo, cet accès passe souvent par un compte personnel qui fait office de vidéothèque, permettant à l'utilisateur de retrouver ses films, séries ou jeux à tout moment.

Pour garantir aux utilisateurs un accès continu aux contenus qu'ils ont achetés, les professionnels peuvent conserver certaines données, même si le compte est inactif depuis plus de deux ans. Cependant, cette conservation ne doit concerner que les données strictement nécessaires pour permettre à l'utilisateur d'accéder à ses contenus numériques, notamment celles directement liées au compte comme l'e-mail, le nom, le prénom ou encore le pseudonyme utilisé, mais aussi pour les données liées à l'utilisation des contenus comme les sauvegardes effectuées au sein des jeux.

Les autres données, dont celles utilisées à des fins commerciales ou statistiques, ne sont pas concernées. Leur conservation doit être limitée dans le temps et justifiée.

Des mesures appropriées pour protéger ces données

L'organisme doit veiller à communiquer à l'utilisateur la durée de conservation ainsi que les différentes phases de conservation (conservation en base active puis archivage) de manière précise, claire et transparente.

Pour protéger efficacement ces données conservées sur une longue durée, la CNIL recommande de mettre en place des mesures techniques et organisationnelles appropriées tout en préservant les droits de l'utilisateur sur les contenus concernés.

Après une durée d'inactivité de deux ans du compte permettant d'accéder à des contenus numériques, la CNIL recommande de mettre en place des mesures pour le désactiver et de conserver les informations associées dans une base d'archivage, tout en permettant la réactivation des comptes en question.