- Le blog et les actualités de Witik
- Durée de conservation des données RGPD : règles CNIL
- 1 - Résumé pour les pressés
- 2 - Pourquoi la durée de conservation des données est-elle un principe du RGPD ?
- 3 - Comment déterminer la durée de conservation des données selon la finalité ?
- 4 - Quand la durée de conservation des données commence-t-elle à courir ?
- 5 - Quelles durées de conservation des données retenir en pratique (RH, clients, cookies) ?
- 6 - Comment gérer base active, archivage intermédiaire et suppression ?
- 7 - Peut-on conserver des données plus longtemps que prévu ?
- 8 - Comment piloter la durée de conservation des données au quotidien, sans oublier la purge ?
- 9 - FAQ
Durée de conservation des données : comment fixer les bons délais RGPD ?
:format(webp))
La durée de conservation des données fait partie des sujets RGPD qui semblent simples… jusqu’au moment où il faut décider quoi garder, combien de temps et à partir de quand.
Le RGPD ne donne pas une liste universelle de durées par type de données : c’est à l’organisme (souvent avec l’appui du DPO) de fixer des délais cohérents, justifiables et appliqués dans la réalité.
L’objectif : conserver utile, puis supprimer (ou anonymiser) dès que la conservation n’est plus nécessaire.
Résumé pour les pressés
La durée de conservation des données dépend toujours d’une finalité : quand l’objectif disparaît, la donnée n’a plus vocation à rester en base active. (cnil.fr)
Le « chrono » démarre en pratique à la fin de la relation (fin de contrat, prestation terminée, dernier contact significatif, etc.).
Repères CNIL fréquents : candidats non retenus : 2 ans max ; prospection/clients : 3 ans après la fin de relation commerciale (sauf exception) ; certains éléments RH se gardent en archive selon des obligations spécifiques.
Traceurs/cookies : recommandation d'une validité du consentement jusqu’à 13 mois max. (legifrance.gouv.fr)
Après la base active, on peut passer en archivage intermédiaire (accès restreint) avant suppression/anonymisation.
Pourquoi la durée de conservation des données est-elle un principe du RGPD ?
Le RGPD impose de ne pas conserver des données personnelles plus longtemps que nécessaire au regard de l’objectif poursuivi.
Ce principe est explicitement présenté dans les « principes » du règlement (dont la limitation de la conservation).
Concrètement, cela vous oblige à décider à l’avance :
combien de temps la donnée reste utile au service (contrat, support, recrutement, prospection…) ;
ce qui doit être supprimé, anonymisé ou archivé ensuite.
Comment déterminer la durée de conservation des données selon la finalité ?
La durée de conservation des données se fixe au cas par cas, en partant de la finalité, puis en intégrant les obligations légales et les besoins de preuve (par exemple en cas de litige).
La CNIL rappelle que, lorsque la durée n’est pas imposée par un texte, c’est à vous de la fixer selon l’utilité au regard du but poursuivi, puis d’effacer ou d’anonymiser au-delà.
Pour décider sans vous tromper, posez-vous ces questions :
Jusqu’à quand ai-je besoin des données pour délivrer le service ?
Existe-t-il une obligation légale de conservation (ex. documents comptables) ?
Quelles données sont réellement nécessaires en archivage (et lesquelles non) ?
Conseil Witik
Le risque le plus courant n’est pas d’avoir « une durée sur le papier », mais de ne pas l’appliquer. Formalisez une règle simple (finalité → base active → archivage → suppression) et rattachez-la au registre des traitements et aux procédures internes, pour qu’elle soit opérationnelle.
Quand la durée de conservation des données commence-t-elle à courir ?
La durée de conservation des données démarre généralement à la fin de la relation avec la personne concernée (ou au dernier événement significatif lié à la finalité).
Exemples pratiques :
salarié : départ de l’entreprise (fin de relation de travail) ;
client : achat, fin de contrat, fin de garantie ou fin de prestation ;
prospect : dernier contact/interaction montrant un intérêt (demande d’info, clic, etc.).
Point d’attention : selon les traitements, il peut y avoir plusieurs « horloges » (ex. relation commerciale terminée, mais conservation en archive pour obligation comptable).
Quelles durées de conservation des données retenir en pratique (RH, clients, cookies) ?
La CNIL publie des repères utiles, mais la durée de conservation des données doit rester alignée sur votre finalité et documentée.
Voici des exemples courants cités par la CNIL :
Recrutement (candidat non retenu) : conservation en base active 2 ans maximum (sauf demande d’effacement).
Prospection / données clients utilisées à des fins de prospection : conservation pendant la relation commerciale, puis en principe 3 ans à compter de la fin de la relation commerciale (ex. achat, fin de contrat, dernier contact émanant du client).
Ressources humaines (exemples) : certaines données RH doivent être conservées en archive pour des durées prévues par des textes ou recommandées (par exemple, la CNIL cite 5 ans après le départ pour certains éléments, tels que des documents de paie).
Cookies/traceurs : la CNIL recommande que la validité du consentement au dépôt de cookies soit de 13 mois maximum, et que la durée de vie des cookies ne soit pas prolongée à chaque visite.
Conseil Witik
Évitez les durées « fourre-tout » (ex. “on garde tout 5 ans”). Associez à chaque catégorie (RH, clients, prospects, cookies) une règle de purge et une justification courte (finalité + référence CNIL/texte quand il existe). Le tout doit être compréhensible par les métiers.
Comment gérer base active, archivage intermédiaire et suppression ?
La durée de conservation des données se pilote comme un cycle de vie : base active (utilisation courante), puis archivage intermédiaire (accès restreint), puis suppression/anonymisation.
La CNIL décrit ce « cycle de vie » en trois phases :
Base active : données facilement accessibles, nécessaires à l’objectif (ex. gestion d’un recrutement en cours).
Archivage intermédiaire : données non utilisées au quotidien, mais conservées car il existe un intérêt administratif ou une obligation légale (ex. facturation). L’accès doit être ponctuel, motivé et limité à des personnes habilitées.
Archivage définitif : cas plus rare, quand la valeur d’archive le justifie, avec un tri strict.
Point clé : l’archivage n’est pas une « poubelle légale ». Il doit être organisé, documenté et limité aux seules données pertinentes.
Peut-on conserver des données plus longtemps que prévu ?
Oui, mais uniquement si vous pouvez justifier ce choix (obligation légale, intérêt administratif, besoin de preuve) et si l’accès est adapté (souvent via archivage intermédiaire).
La CNIL indique que certaines conservations sont fixées par des textes (ex. conservation de documents liés à la paie, ou documents comptables), et que, pour le reste, l’organisme doit documenter ses choix.
Bon réflexe : si vous allongez une durée, notez clairement :
la raison (obligation/nécessité) ;
la catégorie de données concernée ;
les mesures d’accès (restriction, traçabilité, habilitations).
Conseil Witik
Quand une équipe demande “on peut garder au cas où ?”, exigez une justification structurée (finalité, risque couvert, durée, accès). Cela évite les conservations indéfinies et facilite la mise à jour des durées lors d’un audit.
Comment piloter la durée de conservation des données au quotidien, sans oublier la purge ?
La durée de conservation des données doit être traduite en actions concrètes : règles de purge, déclencheurs, responsabilités et preuve de suppression.
Checklist opérationnelle :
Définir le déclencheur (fin de contrat, dernier contact, clôture dossier…).
Séparer base active et archive (au moins en droits d’accès, idéalement en espaces dédiés).
Mettre en place une purge (automatique quand c’est possible, sinon procédure mensuelle/trim.).
Tracer ce qui a été supprimé/anonymisé (journal interne, ticketing, procédure).
Aligner l’information fournie aux personnes (mentions d’information : durée ou critères de durée).
Conseil Witik
Pour éviter les oublis, adoptez un référentiel unique de durées (par finalité) partagé entre DPO, SI et métiers, puis reliez chaque durée à un propriétaire (RH, Sales, Support…). La gouvernance fait la différence entre “conforme” et “maîtrisé”.
FAQ
Faut-il indiquer une durée exacte, ou un critère peut suffire ?
Oui : vous pouvez indiquer une durée (ex. 3 ans) ou un critère clair (ex. « jusqu’à la fin du contrat, puis archivage selon obligations légales »), à condition que ce soit compréhensible et appliqué.
Que faire au terme du délai : supprimer ou anonymiser ?
La CNIL indique qu’au-delà de la durée définie, vous devez effacer ou anonymiser les données. Le choix dépend de votre besoin réel (statistiques, amélioration produit…) et du niveau d’anonymisation atteint.
Les données prospects et clients se gardent-elles toujours 3 ans ?
Non : 3 ans est un repère fréquemment rappelé par la CNIL pour la prospection après la fin de la relation commerciale, mais des exceptions peuvent exister si elles sont justifiées et documentées (ex. contentieux, obligations légales).
La durée de validité du consentement cookies est-elle bien de 13 mois ?
La CNIL recommande une validité du consentement au dépôt de cookies de 13 mois maximum, et que cette durée ne soit pas prolongée par de nouvelles visites.
:format(webp))
)
)