Home / Blog / RGPD & Conformité / Durée de conservation des données :...
RGPD & Conformité 2026-01-23

Durée de conservation des données : Comprendre les obligations de la CNIL

Durée de conservation des données : L'impératif de la conformité CNIL

Dans un contexte de digitalisation croissante et de multiplication des données personnelles collectées, la question de la durée de conservation des informations est primordiale. Le Règlement Général sur la Protection des Données (RGPD) encadre strictement cette problématique, avec la Commission Nationale de l'Informatique et des Libertés (CNIL) en tant que gendarme de la conformité en France. Maîtriser les règles établies par la CNIL en matière de durée de conservation est essentiel pour toute organisation traitant des données personnelles, sous peine de sanctions financières importantes et d'atteinte à la réputation.

Principes clés : Le RGPD et la limitation de la durée de conservation

Le RGPD pose le principe de la limitation de la durée de conservation. L'article 5.1.e) stipule que les données à caractère personnel doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Cela signifie que la durée de conservation doit être définie précisément, en fonction de l'objectif du traitement des données. Plusieurs éléments entrent en jeu dans la détermination de cette durée :

  • La finalité du traitement : Pourquoi les données sont-elles collectées ? La durée de conservation doit être proportionnée à cette finalité.
  • La base légale du traitement : Consentement, exécution d'un contrat, obligation légale, intérêt légitime... Chaque base légale implique des durées de conservation potentiellement différentes.
  • Les obligations légales : Certaines réglementations imposent des durées de conservation spécifiques (par exemple, la conservation des factures pendant 10 ans).
  • Les recommandations de la CNIL : La CNIL fournit des recommandations et des référentiels pour certains types de traitements.

L'absence de justification ou de durée de conservation définie est une violation du RGPD et peut entraîner des sanctions. La CNIL contrôle activement le respect de ces principes.

Exemples concrets de durées de conservation

Les durées de conservation varient considérablement selon les contextes. Voici quelques exemples :

  • Données relatives à la gestion de la relation client : La durée de conservation est généralement limitée au temps nécessaire à la gestion de la relation client (durée de la prestation + un délai raisonnable pour la gestion des éventuelles réclamations, souvent 3 ans).
  • Données relatives aux prospects : Si le prospect n'est pas client, la durée de conservation est souvent limitée à la durée pendant laquelle un prospect est considéré comme actif (par exemple, 3 ans après le dernier contact).
  • Données de candidature : Les CV et lettres de motivation sont généralement conservés pendant la durée de la période de recrutement et, en cas de recrutement, pendant la durée du contrat de travail. En cas de non-recrutement, une durée de conservation de quelques mois (par exemple, 2 ans) peut être justifiée pour la gestion des contentieux.
  • Données de facturation : La durée de conservation est de 10 ans à compter de la clôture de l'exercice comptable concerné, en application des obligations légales (Code du commerce).

Comment définir et justifier les durées de conservation ?

La mise en place d'une politique de conservation des données est indispensable. Elle doit être documentée et régulièrement mise à jour. Voici les étapes clés :

  • Identifier les traitements de données : Répertorier tous les traitements de données mis en œuvre dans l'organisation.
  • Déterminer les finalités : Préciser clairement les finalités de chaque traitement (par exemple, gestion des commandes, envoi de newsletters, etc.).
  • Identifier la base légale : Déterminer la base légale de chaque traitement (consentement, contrat, obligation légale, intérêt légitime).
  • Définir les durées de conservation : Déterminer la durée de conservation pour chaque type de données, en tenant compte des finalités, de la base légale et des obligations légales. Il est possible de définir des durées de conservation différentes selon le support (données stockées sur des serveurs, sauvegardes, etc.).
  • Documenter la politique de conservation : Rédiger une politique de conservation documentée, qui précise les durées de conservation pour chaque type de données et les raisons qui les justifient.
  • Mettre en œuvre les mesures techniques et organisationnelles : Mettre en œuvre les mesures techniques et organisationnelles nécessaires pour garantir le respect des durées de conservation (par exemple, suppression automatique des données après la période de conservation).
  • Mettre à jour régulièrement la politique de conservation : La politique de conservation doit être régulièrement mise à jour pour tenir compte des évolutions légales et des changements dans les traitements de données.

L'établissement d'un registre des traitements, comme l'exige le RGPD, est un outil précieux pour faciliter cette démarche et pour prouver votre conformité en cas de contrôle de la CNIL.

Les aspects techniques : Suppression et anonymisation des données

La mise en œuvre des durées de conservation implique également des aspects techniques importants. Il est essentiel de mettre en place des mécanismes permettant de supprimer ou d'anonymiser les données une fois la durée de conservation expirée.

  • Suppression des données : La suppression des données consiste à effacer définitivement les données des systèmes d'information. Elle peut être réalisée manuellement ou automatiquement, par exemple grâce à des scripts.
  • Anonymisation des données : L'anonymisation des données consiste à les transformer de manière à ce qu'elles ne permettent plus d'identifier une personne. Les données anonymisées ne sont plus considérées comme des données personnelles et peuvent être conservées plus longtemps. L'anonymisation est une alternative intéressante à la suppression, notamment pour des raisons statistiques ou de recherche.

Il est important de choisir les méthodes de suppression ou d'anonymisation appropriées en fonction de la nature des données et des exigences de sécurité. Les systèmes d'information doivent être configurés pour faciliter la suppression et l'anonymisation des données de manière efficace et sécurisée.

Conclusion : La conformité, un impératif continu

Le respect des règles de conservation des données est un élément essentiel de la conformité au RGPD. La CNIL est particulièrement attentive à ce sujet et les sanctions en cas de non-conformité peuvent être lourdes. La mise en place d'une politique de conservation documentée, la définition claire des durées de conservation, l'utilisation d'outils techniques appropriés et la formation des collaborateurs sont autant d'éléments clés pour garantir la conformité et protéger les données personnelles. En adoptant une approche proactive et en restant informé des évolutions réglementaires, les organisations peuvent non seulement éviter les sanctions, mais également renforcer la confiance de leurs clients et de leurs partenaires.

Scan your site now

Check security, SEO & GDPR in 30 seconds

Run free scan

← Back to blog