Le RGPD impose de limiter la durée de conservation des données personnelles. Mais comment fixer ce délai ? Lexagone vous explique les règles et bonnes pratiques à suivre pour rester conforme, illustrées par un exemple concret de tableau de durée de conservation des données personnelles.
S’appuyer sur un cabinet conseil RGPD permet de sécuriser ses décisions, d’anticiper les risques juridiques et de démontrer la conformité en cas d’audit de la CNIL.
Ce qu’il faut retenir :
- Le RGPD impose la limitation de la conservation des données.
- Il ne fixe par contre pas les durées de conservation.
- C’est au responsable de traitement de prendre la décision.
- Il se base pour cela sur la finalité des traitements, les obligations légales et réglementaires ou encore les textes de référence du secteur.
Le principe de conservation limitée des données
Une durée de conservation limitée contribue à une meilleure protection des données personnelles
Le RGPD et la Loi informatique et libertés imposent de définir des durées de conservation pour toutes les données afin de préserver les droits et libertés des personnes. C’est néanmoins aux structures de fixer la durée de conservation, notamment au regard de leurs objectifs, contexte (en cas de contentieux par exemple) et obligations légales.
La collecte et l’utilisation des données personnelles doivent respecter le RGPD et la LIL. Ils s’appuient sur le principe de limitation de la durée de conservation des données, selon lequel il n’est pas possible pour un organisme, public ou privé, de conserver des données personnelles de façon illimitée (sauf dans certains cas spécifiques).
L’article 5 du RGPD prévoit notamment que :
« Les données à caractère personnel doivent être […] conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques »
Aucune durée exacte n’est ainsi fixée, mais certains textes de référence permettent d’y voir plus clair. Prenons quelques exemples.
Exemple de tableau de durée de conservation des données personnelles
| Finalité du traitement | Durée de conservation | Référence |
| Action de prospection commerciale | 3 ans (à partir de la fin de la relation commerciale) ou jusqu’au retrait du consentement ou exercice du droit d’opposition selon le contexte | CNIL (Référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des activités commerciales) |
| Gestion de la comptabilité (pièces comptables) | 10 ans à partir de la clôture de l’exercice comptable en cours | Article L.123-22 Code du commerce |
| Gestion des cookies (Informations collectées l’intermédiaire des cookies/traceurs) | 25 mois maximum à compter de la collecte | CNIL (Délibération n° 2020-092 du 17 septembre 2020) |
| Gestion des informations relative à la carte de paiement en matière de vente à distance. Données bancaires (paiement unique) |
Délai utile au paiement effectif, à la réception du bien/service, éventuellement augmenté du délai de rétractation prévu pour la vente à distance | CNIL (Délibération n°2018-303 du 6 septembre 2018) |
| Gestion des informations relative à la carte de paiement en matière de vente à distance (données bancaires pour les abonnements impliquant des paiements échelonnés) | Jusqu’à la dernière échéance du paiement si pas de tacite reconduction ou jusqu’à la résiliation de l’abonnement si tacite reconduction | CNIL (Délibération n°2018-303 du 6 septembre 2018) |
| Gestion administrative du salarié (registre du personnel, contrat de travail, …) | 5 ans à compter du départ du salarié | Article R.1221-26 Code du travail
Article 2224 Code Civil |
| Données contractuelles (contrats, factures) | 10 ans | CNIL (2021-057) |
| Constitution d’une CVthèque (données d’un candidat non retenu afin de pouvoir le recontacter) | 2 ans maximum à compter du dernier contact ou jusqu’au retrait du consentement | CNIL (guide Recrutement 30.01.2023) |
| Comptabilisation des horaires de travail | 1 an à compter de la fin du mois en cours | Article D.3171-16 Code du travail |
| Pièces justificatives : bon de commande, de livraison ou réception,… | 10 ans à partir de la clôture de l’exercice comptable en cours | Article L.123-22 Code du commerce |
Pour définir ses durées de conservation des données personnelles, le responsable du traitement peut décider de suivre les sources de référence, et dans certains cas cela est obligatoire. S’il peut justifier ses décisions, il peut aussi se détacher des référentiels (cela reste une pratique à éviter). Il doit néanmoins tenir compte du principe de conservation limitée pour organiser la gestion du cycle de vie des données et a intérêt à se faire accompagner par un DPO externe.
Le cycle de vie de la donnée
Une gestion administrative précise est essentielle pour se conformer au RGPD
Le cycle de vie d’une donnée suit trois étapes définies par la CNIL : conservation en base active (usage courant), archivage intermédiaire (par exemple en cas d’obligations légales) et et dans de rare cas un archivage définitif (intérêt public). Chaque phase justifie une durée de conservation spécifique.
Une donnée personnelle obéit à un cycle de vie. Dans son guide pratique sur les durées de conservation, la CNIL définit trois phases, chacune correspondant à une utilité différente de la donnée et pouvant justifier une durée de conservation différente.
- Conservation en base active (systématique) : le temps de l’utilisation courante, c’est-à-dire la durée utile pour atteindre l’objectif fixé (par exemple, le temps de pourvoir un poste dans le cadre d’un recrutement). Les données sont consultables par les services habilités.
- Archivage intermédiaire (non systématique) : les données ne sont plus utiles à l’utilisation courante, mais conservent un intérêt, par exemple pour répondre à une obligation légale. Seules certaines personnes habilitées peuvent les consulter.
- Archivage définitif (non systématique) : seulement pour les informations présentant un intérêt public. Les données sont conservées selon des conditions strictes.
Définir la durée de conservation des données personnelles
Décider d’une durée de conservation est un exercice délicat
La durée de conservation des données n’est pas fixée par le RGPD : elle doit être définie au cas par cas par le responsable de traitement, selon les objectifs poursuivis, les recommandations de la CNIL et les textes de référence du secteur.
C’est au responsable de traitement que revient la décision finale concernant la période de conservation des données personnelles. Cela implique de documenter ses choix (registre des traitements, politiques internes d’archivage et de suppression) et d’être en mesure de les justifier en cas de contrôle.
Pour les structures, il s’agit d’un enjeu stratégique, une conservation trop longue l’exposant à des sanctions et à une perte de confiance des personnes, tandis qu’une durée trop courte peut fragiliser son activité.
Les éléments à prendre en compte
- Les besoins opérationnels qui sont à déterminer en fonction de chaque objectif poursuivi
- Les dispositions légales ou réglementaires (code de la santé publique, code du travail, etc.) : elles peuvent imposer une durée minimale ou maximale de conservation de certaines données.
- Les délibérations de la CNIL.
- Les textes de référence du secteur (code de conduite, par exemple).
Questions fréquentes
Comment assurer la conformité RGPD si les données sont traitées par un sous-traitant ?
Le responsable du traitement doit indiquer au sous-traitant les durées de conservation à appliquer. Cette obligation est encadrée par l’article 28 du RGPD, qui impose un contrat définissant les instructions, les mesures de sécurité et les responsabilités de chaque partie.
Comment documenter sa conformité au RGPD en regard de la conservation des données personnelles ?
Il est recommandé de collecter et centraliser :
- Les documents détaillant le travail interne (registre de traitement, instructions soumises au(x) sous-traitant(s), etc.).
- Les références aux textes réglementaires (normes, lois applicables, guides de la CNIL).
- Les procédures internes d’archivage et suppression des données.
Comment communiquer les durées de conservation des données aux personnes ?
Le respect du RGPD implique d’indiquer aux personnes de façon claire, concise et accessible la durée de conservation de leurs données ou, lorsqu’une durée fixe ne peut pas être indiquée, les critères permettant de la calculer.
Que se passe-t-il lorsque la durée de conservation des données personnelles est atteinte ?
À la fin de la phase de conservation en base active, les données sont triées pour n’archiver que celles qui sont nécessaires. Les autres doivent être détruites de manière sécurisée. Elles peuvent également être anonymisées. Elles ne sont alors plus considérées comme des données personnelles et le RGPD ne s’applique plus.
