O P T - O N

Pour un numérique responsable ...

Politique de conservation des données: Guide pratique

Politique de conservation des données: Guide pratique

Avant de définir une politique de conservation des données, il est essentiel de répondre à quatre questions : quoi conserver, combien de temps, où et à quel moment supprimer ou anonymiser les données. En France, si je garde des données personnelles trop longtemps, je m’expose à des sanctions RGPD pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial.

Voici l’idée en simple :

  • Le RGPD ne donne pas de durée unique
  • Je dois fixer une durée par traitement
  • Je dois m’appuyer sur un texte légal ou sur la CNIL
  • Je dois prévoir 3 étapes : base active, archivage intermédiaire, suppression ou anonymisation irréversible
  • Je dois pouvoir prouver les purges, les accès aux archives et les motifs retenus
  • Je dois relier la politique au registre des activités de traitement, aux mentions d’information et aux outils IT

Quelques repères utiles à retenir tout de suite :

  • Prospects : 3 ans après le dernier contact actif
  • Vidéosurveillance : jusqu’à 30 jours
  • Comptabilité : 10 ans
  • Documents fiscaux : 6 ans
  • Candidats : jusqu’à 2 ans dans certains cas
  • Salariés : durée du contrat puis archivage selon les règles applicables

Le point qui change tout : une durée seule ne suffit pas. Je dois aussi définir le point de départ du délai – par exemple la fin du contrat, le dernier contact, ou la date d’enregistrement. Sans ça, la suppression reste théorique.

Je garde aussi une règle simple en tête : pseudonymiser n’est pas anonymiser. Si je peux réidentifier une personne, le RGPD continue de s’appliquer.

En clair, une politique conforme en France repose sur 5 blocs :

  1. Lister les traitements
  2. Associer une durée à chaque finalité
  3. Prévoir l’archivage et les purges
  4. Couvrir aussi les sauvegardes et les gels juridiques
  5. Réviser la politique chaque année et à chaque changement de traitement

Si je veux que cette politique serve sur le terrain, je la rédige de façon simple, je nomme les responsables, et je vérifie que les outils appliquent bien les délais prévus.

Base légale des durées de conservation des données

Durées de conservation des données personnelles en France (RGPD)

Durées de conservation des données personnelles en France (RGPD)

Une fois le principe posé, il faut passer à quelque chose de très concret : fixer des durées de conservation appuyées sur un texte ou, si aucun texte ne donne de délai précis, sur les référentiels de la CNIL.

Le RGPD ne prévoit aucune durée standard valable pour tous les cas. C’est au responsable de traitement de fixer les délais selon la finalité du traitement, les obligations légales et le critère de proportionnalité, puis de les documenter. Le règlement est simple : une donnée personnelle ne doit pas être gardée sous une forme qui permet d’identifier la personne au-delà du temps nécessaire à l’objectif poursuivi.

Le principe de limitation de la conservation des données

En pratique, il faut distinguer trois temps dans la vie d’une donnée.

  • Base active : la donnée est utilisée pour le fonctionnement courant du traitement.
  • Archivage intermédiaire : la donnée ne sert plus au quotidien, mais elle doit encore être gardée pour respecter une obligation légale ou faire face à un risque de litige. L’accès doit alors être limité aux seules personnes habilitées.
  • Suppression ou anonymisation irréversible : à la fin des délais applicables, la donnée doit être supprimée de manière définitive ou rendue anonyme de façon irréversible.

Ce point fait souvent trébucher les équipes. Pseudonymiser n’est pas anonymiser. Tant qu’il existe une clé de réidentification, le RGPD continue de s’appliquer. À l’inverse, une anonymisation irréversible fait sortir les données du champ du RGPD et permet de les garder pour des usages statistiques ou de recherche.

Les référentiels de la CNIL pour les organisations françaises

Avant de choisir une durée, il faut d’abord vérifier si le droit français impose déjà un délai. Le Code du travail, le Code de commerce et le Livre des procédures fiscales donnent beaucoup d’exemples. S’il n’existe pas de règle directe, les référentiels sectoriels de la CNIL servent de point d’appui. Les suivre aide à montrer la conformité.

Voici les repères les plus utiles :

Catégorie de donnéesBase activeArchivage intermédiaireSource légale
SalariésDurée du contrat5 ans après le départCode du travail
Factures et comptabilitéExercice en cours10 ansCode de commerce, art. L. 123-22
ClientsDurée de la relation5 ans (prescription commerciale)Code de commerce, art. L. 110-4
Prospects3 ans depuis le dernier contact actifSuppression définitiveRecommandation CNIL
VidéosurveillanceJusqu’à 30 joursDurée de la procédure en coursCode de la sécurité intérieure
Documents fiscauxExercice en cours6 ansLivre des procédures fiscales, art. L. 102 B
CandidatsDurée du processus2 ans, sauf opposition ou demande de suppressionRéférentiel RH CNIL

Quand aucun texte ne fixe de délai, il faut documenter l’analyse de proportionnalité dans le registre des activités de traitement. C’est cette base qui permet ensuite de cartographier les traitements et de fixer, catégorie par catégorie, les durées de conservation.

Cartographier les traitements et fixer les durées de conservation des données

À partir des délais de référence, il faut maintenant passer de la règle générale à son application dans chaque traitement.

Le registre des activités de traitement (RAT) est votre point d’appui. Pour chaque traitement, précisez la finalité, la base légale, les catégories de données, les personnes concernées, les systèmes utilisés et la règle de conservation. Faites valider l’ensemble par les équipes RH, juridique, informatique et comptabilité. Sinon, vous risquez d’avoir une règle correcte sur le papier… mais impossible à appliquer sur le terrain.

Partir du registre des activités de traitement

Commencez par le RAT, puis déclinez les durées par domaine fonctionnel : RH, gestion clients, marketing, comptabilité et informatique. Le bon réflexe consiste à vérifier d’abord si un texte fixe une durée. Si ce n’est pas le cas, justifiez la durée choisie au regard de la finalité et consignez cette justification dans le registre.

Définir les durées par catégorie de données et par phase de vie

Pour chaque catégorie, fixez surtout le point de départ du délai. C’est lui qui fait tourner toute la mécanique : fin de contrat, dernier contact significatif, date d’enregistrement.

Sans déclencheur clair, la purge reste théorique. En pratique, personne ne sait quand le compteur démarre, et les données restent en place plus longtemps que prévu.

Ajouter un tableau de conservation des données à la politique

La colonne système concerné indique où la purge doit être appliquée, y compris dans les sauvegardes et les archives. Le tableau ci-dessous peut être repris tel quel dans la politique.

Catégorie de traitementPoint de départDurée (base active)Durée (archivage)Système concernéAction finale
Gestion RHDate de fin de contratDurée du contrat5 ansSIRH / serveur sécuriséSuppression
Gestion clientsFin de la relation contractuelleDurée du contrat10 ansCRM / ERPAnonymisation
Marketing (prospects)Dernier contact actif3 ansSans objetOutil marketingSuppression
ComptabilitéClôture de l’exerciceExercice en cours10 ansLogiciel comptableSuppression
VidéosurveillanceDate d’enregistrement30 jours maximumDurée de la procédure si incidentEnregistreur localÉcrasement automatique
Journaux informatiquesDate d’enregistrement6 à 12 moisSans objetSIEM / serveur de logsSuppression
RecrutementFin du processus de sélection2 ans (avec consentement)Sans objetOutil de recrutement / messagerieSuppression

Indiquez bien les systèmes concernés, sauvegardes comprises. Sans cette précision, l’IT ne peut ni appliquer la purge, ni organiser l’écrasement des copies de secours.

Transformer la politique en procédures quotidiennes

Une politique de conservation ne sert à rien si elle reste sur le papier. Une fois les durées définies, il faut les convertir en actions simples et concrètes : purges, archivage et contrôles, avec des règles claires pour la base active, l’archivage restreint et la suppression.

Conservation des données : mettre en place les systèmes, les archives et les processus de suppression

Automatisez les purges autant que possible : tâches planifiées, déclencheurs SQL ou suppression automatique via API dans les outils métiers. L’idée est simple : éviter les oublis et garder un rythme stable. Chaque purge doit aussi laisser une trace exploitable en cas de contrôle.

Les données soumises à une obligation de conservation doivent passer en archivage intermédiaire, dans un espace séparé, avec un accès limité et tracé. Si une personne demande l’effacement de ses données, la demande doit être examinée au regard des obligations légales. Dans certains cas, la donnée ne sera pas supprimée tout de suite : elle pourra être placée en archivage restreint.

Deux cas demandent une procédure à part.

  • Les sauvegardes : documentez le cycle de rotation et l’écrasement automatique. Pour les sauvegardes chiffrées, la destruction des clés peut valoir suppression effective. Ces cas particuliers ne changent pas le calendrier général de conservation.
  • Le gel juridique : en cas de litige en cours ou anticipé, le service juridique doit pouvoir suspendre les suppressions automatiques pour les données visées, sans bloquer les purges sur le reste du périmètre.

Conservation des données : documenter les décisions et démontrer la conformité

Appliquer les règles, c’est bien. Pouvoir le montrer, c’est ce qui compte lors d’un contrôle. En cas de contrôle de la CNIL ou de demande d’effacement au titre de l’article 17 du RGPD, vous devrez fournir des éléments concrets : journaux de suppression, logs d’accès aux archives, motifs des durées retenues et historique des versions de la politique.

La CNIL sanctionne aussi l’absence de purge effective.

La conformité tient aussi à une répartition nette des rôles. Si tout le monde pense que le sujet appartient à quelqu’un d’autre, rien n’avance. Le tableau ci-dessous résume les responsabilités à répartir entre les équipes.

RôleResponsabilité principalePreuves à conserver
DirectionValider et diffuser la politiqueDocuments signés, rapports d’audit
DPOMettre à jour le RAT et surveiller la conformitéRAT, analyses d’impact, historique des révisions
Responsables métiersDéfinir les besoins opérationnels et revoir les échéancesNotes de justification, références légales
Équipe ITConfigurer les purges automatiques, les archives à accès restreint et les journaux techniquesJournaux de suppression, logs d’accès, configurations systèmes
Service juridiqueGérer les gels juridiques et les exceptionsAvis juridiques, notifications de gel

La dernière étape consiste à revoir ces règles à intervalles réguliers pour qu’elles restent alignées sur les traitements réellement menés.

Maintenir la politique à jour et planifier les prochaines étapes

Une politique de conservation n’est pas figée. Elle doit suivre les traitements, les règles qui s’appliquent et les outils utilisés. Dès qu’un changement touche la durée de conservation, l’accès aux données ou leur suppression, la politique doit être revue.

Le sujet n’est donc pas juste de rédiger un document. Il faut aussi savoir quand le revoir, et ne pas attendre trop longtemps.

Quand et comment réviser la politique

Certains événements doivent lancer une révision immédiate, sans attendre la revue annuelle.

DéclencheurExemple concret
Nouvel outil ou logicielDéploiement d’un CRM, d’un SIRH ou d’une plateforme SaaS
Nouvelle finalité de traitementRéutilisation de données clients pour un projet d’analyse prédictive
Fusion ou acquisitionIntégration de bases de données issues d’une entité rachetée
Changement RHRefonte du processus de recrutement ou de gestion des paies
Projet IA ou analytiqueLancement d’un modèle nécessitant des historiques de données longs
Mise à jour réglementaireNouveau référentiel CNIL ou changement d’un délai légal de prescription
Résultat d’auditDécouverte de données sans propriétaire identifié ou d’une purge automatique défaillante

En clair, ces cas doivent apparaître dans le calendrier de revue. Sinon, la politique risque de ne plus coller à la pratique.

Un audit annuel des durées appliquées sur le terrain, comparées à celles inscrites dans le registre, aide à repérer les écarts. Et chaque mise à jour doit être validée par le DPO, le service juridique, l’IT et les équipes métier concernées.

Points clés d’une politique de conservation conforme en France

Une fois le cadre de révision posé, trois points ne se discutent pas.

Vérifiez d’abord la séparation réelle entre la base active et l’archivage intermédiaire. Sur le papier, beaucoup d’organisations disent l’avoir mise en place. En pratique, ce n’est pas toujours le cas.

Ensuite, les mentions d’information prévues par les articles 13 et 14 du RGPD doivent reprendre les durées réellement appliquées. Des formules vagues comme « aussi longtemps que nécessaire » sont insuffisantes.

Enfin, gardez des preuves de suppression ou d’anonymisation. Et formalisez chaque mise à jour dans le registre, dans les procédures internes et dans la version datée de la politique.

FAQs

Par où commencer concrètement ?

Commencez par cartographier vos traitements. Le but est simple : savoir quelles données vous détenez, pourquoi vous les utilisez, où elles sont stockées et sur quelle base juridique vous vous appuyez.

Ensuite, définissez une durée de conservation pour chaque catégorie de données. Faites bien la différence entre :

  • la base active
  • l’archivage intermédiaire
  • la suppression finale

Chaque délai doit être justifié. Appuyez-vous sur les référentiels de la CNIL ainsi que sur vos obligations légales. Puis, consignez ces durées dans votre registre, informez les personnes concernées et mettez en place des purges automatiques.

Dit autrement : il ne suffit pas de garder une règle “par habitude”. Il faut pouvoir expliquer chaque durée, noir sur blanc.

Comment fixer un point de départ fiable ?

Définissez avec précision la finalité de chaque traitement : il n’existe pas de durée de conservation universelle. En règle générale, le point de départ se situe au moment où l’objectif de la collecte est atteint, ou lors du dernier contact avec la personne concernée.

Ce choix doit être documenté. Appuyez-vous sur les obligations légales, les référentiels de la CNIL, ou sur une analyse interne de proportionnalité. Intégrez ensuite cette durée dans le registre des traitements et annoncez-la dès la collecte.

Autrement dit, il ne suffit pas de fixer une durée “au feeling”. Il faut pouvoir expliquer, noir sur blanc, pourquoi vous conservez telle donnée pendant telle période. C’est ce qui permet de rester clair, cohérent, et en phase avec vos obligations.

Que faire si mes outils ne purgent pas automatiquement ?

Si vos outils ne purgent pas les données tout seuls, il faut prévoir des mesures internes et techniques pour respecter les durées de conservation fixées. L’absence d’automatisation ne change rien à l’obligation.

Concrètement, prévoyez un tri régulier. Les données arrivées à échéance doivent être supprimées de manière sécurisée ou basculées en archivage intermédiaire, avec un accès limité. Indiquez aussi ces règles dans votre registre des traitements.