Combien de temps faut-il conserver les données de son mémoire après la soutenance ?
Vous venez de soutenir votre mémoire de master. Les transcriptions d’entretiens, les questionnaires remplis à la main, les enregistrements audio, les fichiers de données brutes — tout cela dort sur votre ordinateur ou dans un dossier partagé. La question que peu d’étudiants se posent, et que la CNIL considère pourtant comme une obligation légale, est la suivante : jusqu’à quand peut-on conserver les données personnelles collectées dans le cadre d’une recherche universitaire ? La réponse n’est pas laissée à votre libre appréciation. Le Règlement général sur la protection des données (RGPD) impose un principe de durée conservation données mémoire master RGPD directement proportionnel à l’objectif scientifique initial.
La CNIL a publié des fiches pratiques spécifiques à la recherche scientifique hors santé, qui couvrent explicitement les travaux menés dans le cadre de thèses et de mémoires de recherche affiliés à des établissements d’enseignement supérieur. Ces textes posent un cadre clair : dès que l’objectif pour lequel les données ont été collectées est atteint, les données à caractère personnel doivent être supprimées ou anonymisées de façon irréversible. Autrement dit, soutenance passée, le compteur tourne.
Quelle est la durée légale de conservation des données d’un mémoire ?
Le RGPD ne fixe pas de durée universelle. Il pose un principe de limitation de la conservation (article 5, §1, e) : les données personnelles ne peuvent être conservées que pendant une durée « n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». Appliqué à un mémoire de master, ce principe signifie que la durée est définie par l’objectif scientifique lui-même.
La CNIL illustre ce principe avec des exemples concrets dans sa fiche dédiée aux durées de conservation des données de recherche :
- 3 ans à compter de la fin de la collecte des données, pour permettre l’analyse et la publication éventuelle ;
- 3 ans à compter de la dernière publication scientifique issue de la recherche ;
- Jusqu’au renouvellement de l’enquête, si une vague ultérieure est prévue ;
- Durée du financement du projet plus 2 ans, lorsque l’anonymisation n’est pas immédiatement possible.
Pour un mémoire de master classique sans ambition de publication, une durée raisonnable est souvent 1 à 3 ans après le dépôt final. Cette durée doit être indiquée dans la notice d’information remise aux participants avant la collecte, et documentée dans le registre de traitement de l’établissement.
Que faire des données personnelles une fois le mémoire déposé ?
Le dépôt du mémoire et la validation par le jury constituent, dans la plupart des cas, l’achèvement de la finalité de recherche initiale. À ce stade, trois options s’offrent à vous selon les questions-réponses de la CNIL sur la recherche non-santé :
- Suppression définitive — Effacement sécurisé de tous les fichiers identifiants (enregistrements bruts, transcriptions nominatives, questionnaires avec données d’identification). C’est la solution la plus simple pour les mémoires sans perspective de publication.
- Anonymisation irréversible — Transformation des données de façon à rendre toute ré-identification impossible. Les données anonymisées sortent alors du champ du RGPD et peuvent être archivées ou partagées librement.
- Conservation prolongée sous pseudonymisation — Si une réutilisation future est envisagée (publication, thèse), les données pseudonymisées peuvent être conservées. Elles restent cependant des données personnelles, soumises à toutes les obligations du RGPD, et un nouveau consentement sera nécessaire si la finalité change.
La règle d’or est simple : ne rien conserver par défaut. La conservation doit toujours être justifiée par une finalité précise et documentée.
Les données anonymisées restent-elles soumises au RGPD ?
Non. C’est l’un des points les plus importants à retenir. Selon la CNIL, les données véritablement anonymisées — c’est-à-dire pour lesquelles toute ré-identification directe ou indirecte est rendue impossible — ne constituent plus des données à caractère personnel au sens du RGPD. Elles sortent intégralement du champ d’application du règlement.
Cela signifie concrètement que :
- des statistiques agrégées sans données individuelles identifiables peuvent être conservées et publiées librement ;
- des verbatims anonymisés dans lesquels tout identifiant a été supprimé ou altéré peuvent être archivés ;
- des jeux de données entièrement anonymisés peuvent être partagés en accès ouvert sur des plateformes comme Zenodo ou l’entrepôt Nakala.
Attention : l’anonymisation est un processus technique exigeant. La simple suppression du nom n’est pas suffisante si d’autres attributs (profession, ville, tranche d’âge, combinaison de caractéristiques) permettent une ré-identification. La CNIL recommande d’évaluer le risque de ré-identification avant de déclarer des données comme anonymisées.
Quelle différence entre anonymisation et pseudonymisation pour les données de mémoire ?
La confusion entre les deux concepts est fréquente. Elle a pourtant des conséquences juridiques majeures.
| Caractéristique | Pseudonymisation | Anonymisation |
|---|---|---|
| Ré-identification possible ? | Oui, avec la clé de correspondance | Non, de façon irréversible |
| Champ du RGPD ? | Oui — données personnelles | Non — données hors champ RGPD |
| Durée de conservation | Limitée à la finalité | Sans limite légale RGPD |
| Exemple concret | « Participant P-07 » avec table de correspondance | Statistiques agrégées, verbatims altérés |
| Technique pour le mémoire | Codage des participants, chiffrement | Agrégation, suppression des identifiants combinés |
Pour approfondir la méthode concrète d’anonymisation des entretiens et des données collectées, consultez le guide pratique sur comment anonymiser les entretiens et données personnelles dans un mémoire de master, qui détaille les techniques applicables selon le type de données.
Doit-on préciser la durée de conservation dans la notice d’information remise aux participants ?
Oui, c’est une obligation légale directe. L’article 13 du RGPD impose, lors de la collecte des données, de fournir aux personnes concernées notamment « la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ».
En pratique, pour un mémoire de master, la notice d’information (ou le formulaire de consentement éclairé) doit inclure une mention du type :
« Les données personnelles collectées dans le cadre de cette recherche seront conservées jusqu’à [date précise ou événement déclencheur, ex. : 24 mois après le dépôt définitif du mémoire], puis définitivement supprimées ou anonymisées. »
L’absence de cette mention constitue une violation de l’article 13 du RGPD. Le service juridique ou le délégué à la protection des données (DPO) de votre université peut vous aider à formuler cette clause correctement. Beaucoup d’établissements mettent désormais à disposition des modèles de formulaires de consentement conformes. Pour une méthode complète sur la rédaction de ce formulaire, consultez le guide sur le consentement éclairé des participants à un entretien de mémoire.
La fiche pratique de la CNIL pour la recherche scientifique hors santé présente les principes et exemples de durées de conservation (3 ans post-collecte, 3 ans post-publication…), les conditions d’anonymisation et les obligations d’inscription dans le registre de traitement. Référence officielle pour tout mémoire impliquant des participants humains.
Qui est responsable de la conservation des données : l’étudiant ou l’université ?
La CNIL est explicite sur ce point : lorsqu’une recherche est conduite sous l’égide d’un établissement d’enseignement supérieur, c’est l’établissement qui est responsable de traitement, et non l’étudiant à titre individuel. L’étudiant agit en tant que personne habilitée (chercheur ou équivalent) au sein de la structure.
Conséquences pratiques importantes :
- Les données doivent être stockées sur les systèmes d’information de l’établissement (serveurs institutionnels, solutions cloud validées par l’université) et non exclusivement sur l’ordinateur personnel de l’étudiant.
- Le registre des activités de traitement de l’université doit inclure le traitement relatif au mémoire, avec les durées de conservation définies.
- En cas de contrôle de la CNIL, c’est l’établissement qui répond en premier lieu, pas l’étudiant.
Cela ne décharge pas l’étudiant de toute responsabilité : il doit respecter les procédures internes de l’établissement, notamment en matière de sécurité et de confidentialité des données collectées.
Peut-on conserver les données pour une future thèse ou publication ?
Oui, mais sous conditions strictes. La conservation prolongée pour une finalité différente de celle initialement prévue (par exemple, réutiliser les données d’entretiens d’un mémoire de M2 pour une thèse de doctorat) requiert que :
- La notice d’information initiale ait mentionné explicitement la possibilité d’une réutilisation future dans le cadre de recherches ultérieures ;
- Les participants aient consenti à cette finalité supplémentaire lors de la collecte initiale, ou qu’un nouveau recueil de consentement soit effectué avant la réutilisation ;
- La finalité de réutilisation soit compatible avec la finalité initiale (ce que le RGPD autorise pour la recherche scientifique sous certaines conditions).
Si ces conditions ne sont pas réunies, la réutilisation des données sans nouveau consentement constitue un traitement sans base légale, en violation du RGPD.
Que faire des enregistrements audio ou vidéo des entretiens après la soutenance ?
Les enregistrements bruts d’entretiens sont des données personnelles particulièrement sensibles : ils contiennent la voix — parfois le visage — des participants, des informations parfois intimes, et constituent des données biométriques au sens large. Après la soutenance :
- Suppression définitive recommandée : effacement sécurisé des fichiers audio et vidéo, y compris dans les corbeilles et les sauvegardes cloud ;
- Anonymisation si conservation souhaitée : altération irréversible de la voix (pitch shifting, suppression des passages identifiants), floutage des visages pour les enregistrements vidéo, suppression de toute mention de noms ou de lieux identifiants ;
- Transcriptions : les verbatims nominatifs doivent subir le même traitement (suppression ou anonymisation). Seuls les extraits correctement anonymisés intégrés dans le corps du mémoire bénéficient de la protection liée à la publication académique.
Pour tout ce qui concerne la phase de transcription elle-même et les bonnes pratiques associées, le guide sur comment retranscrire un entretien pour son mémoire détaille la méthode verbatim et les outils conformes au RGPD.
Faut-il déclarer la suppression des données quelque part ?
Il n’existe pas d’obligation légale de notifier la CNIL lors de la suppression de données. Le RGPD ne prévoit pas de procédure déclarative systématique pour les fins de traitement.
En revanche, deux bonnes pratiques s’imposent :
- Mettre à jour le registre des activités de traitement de l’établissement, en y inscrivant la date effective de suppression ou d’anonymisation des données liées au mémoire. Ce registre est le document de référence en cas de contrôle.
- Conserver une trace documentaire de la procédure de suppression (type de données supprimées, date, méthode utilisée). Cette traçabilité interne démontre la conformité de l’établissement en cas de plainte d’un participant.
Sur le fond, le plan de gestion des données (PGD) que certains établissements exigent désormais pour les mémoires de recherche doit prévoir cette étape de clôture. Si votre établissement vous a demandé de rédiger un PGD, vérifiez qu’il inclut une section dédiée à la fin de traitement. Pour approfondir ce point, le guide sur le plan de gestion des données pour la thèse et le master détaille les rubriques à compléter, y compris la section conservation et destruction.
Quelles sanctions encourt-on en cas de conservation illicite des données d’un mémoire ?
Le RGPD est un règlement à portée contraignante, avec des sanctions graduées. Pour les violations les plus graves (traitement sans base légale, non-respect des durées de conservation), le règlement prévoit des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’organisme, le montant le plus élevé étant retenu.
Pour les universités et établissements d’enseignement supérieur en France, la CNIL dispose en outre du pouvoir de :
- mettre en demeure l’établissement de régulariser sa situation dans un délai fixé ;
- prononcer une injonction de cesser le traitement ;
- publier la sanction (name and shame), ce qui peut nuire à la réputation de l’établissement.
Du côté de l’étudiant, la responsabilité est principalement couverte par l’établissement en sa qualité de responsable de traitement. Cependant, un étudiant qui aurait stocké des données sur ses propres systèmes personnels sans autorisation, ou qui aurait transmis des données identifiantes à des tiers sans base légale, pourrait engager sa propre responsabilité civile, voire pénale, dans les cas les plus graves.
FAQ
Combien de temps faut-il conserver les données personnelles d’un mémoire de master après la soutenance ?
La durée de conservation doit être proportionnelle à l’objectif de recherche. La CNIL recommande de fixer une date limite précise dans le registre de traitement : par exemple, 3 ans à compter du dépôt définitif du mémoire. Dès que l’objectif est atteint, les données nominatives doivent être supprimées ou anonymisées.
Que faut-il faire des données personnelles une fois le mémoire déposé ?
Une fois l’objectif de recherche atteint (soutenance, dépôt, éventuelle publication), les données à caractère personnel doivent être soit supprimées définitivement, soit anonymisées de façon irréversible. La conservation sous forme pseudonymisée reste possible mais continue de relever du RGPD.
Les données anonymisées restent-elles soumises au RGPD ?
Non. Selon la CNIL, les données véritablement anonymisées — c’est-à-dire dont toute ré-identification est impossible — ne relèvent plus du RGPD. En revanche, les données pseudonymisées (clé de correspondance conservée) restent des données personnelles et demeurent soumises à toutes les obligations du règlement.
Quelle différence entre anonymisation et pseudonymisation pour les données de mémoire ?
La pseudonymisation remplace les identifiants directs par un code, mais la ré-identification reste possible avec la table de correspondance. L’anonymisation supprime irrémédiablement tout lien avec la personne. Seule l’anonymisation fait sortir les données du champ du RGPD.
Doit-on préciser la durée de conservation dans la notice d’information remise aux participants ?
Oui. L’article 13 du RGPD impose d’indiquer la durée de conservation ou, si elle n’est pas connue précisément, les critères permettant de la déterminer, dès la collecte des données. Cette mention doit figurer dans la notice d’information ou le formulaire de consentement remis à chaque participant.
Qui est responsable de la conservation des données : l’étudiant ou l’université ?
D’après la CNIL, c’est généralement l’établissement (université, école) qui est responsable de traitement lorsque la recherche est conduite sous son égide. L’étudiant agit en tant que personne habilitée. En pratique, les données doivent être stockées sur les systèmes d’information de l’établissement, pas uniquement sur un ordinateur personnel.
Peut-on conserver les données de son mémoire pour une future thèse ou publication ?
Oui, à condition que la notice d’information initiale ait mentionné cette possibilité et que les participants aient consenti à cette finalité supplémentaire. Si ce n’est pas le cas, un nouveau recueil de consentement est nécessaire avant toute réutilisation des données dans un nouveau projet.
Que faire des enregistrements audio ou vidéo des entretiens après la soutenance ?
Les enregistrements bruts sont des données personnelles sensibles. Après la soutenance, ils doivent soit être supprimés définitivement, soit être anonymisés (altération irréversible de la voix, du visage, suppression des noms). Conserver des enregistrements identifiants sans base légale après l’achèvement de la recherche constitue une violation du RGPD.
Faut-il déclarer la suppression des données quelque part ?
Il n’existe pas d’obligation légale de notification à la CNIL pour la suppression des données. En revanche, il est recommandé de mettre à jour le registre des activités de traitement tenu par l’établissement, afin de documenter que les données ont été effectivement supprimées ou anonymisées à la date prévue.
Quelles sanctions encourt-on en cas de conservation illicite des données d’un mémoire ?
Le RGPD prévoit des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial pour les violations graves. Pour un étudiant, la responsabilité incombe principalement à l’établissement responsable de traitement. Une violation peut aussi entraîner des mesures correctrices de la CNIL et nuire à la réputation de l’université.
Rédigez votre mémoire en toute conformité avec Tesify
Tesify intègre les exigences RGPD dans le flux de rédaction : modèles de formulaires de consentement, aide à la rédaction de la notice d’information, et structuration automatique du chapitre méthodologique incluant la section sur la protection des données personnelles. Pas besoin de partir de zéro pour être conforme.
Leave a Reply