Vous entrez dans un espace virtuel nous permettant de vous présenter nos activités, et vous offrant la possibilité d'entrer en contact avec notre accueil commercial dans le cadre d'une relation BtoB.
Notre site collecte des informations sur votre visite et utilise des modules strictement nécessaires. Ces informations ne nous permettent pas d'identifier les visiteurs et d'utiliser les données à des fins commerciales.
Afin de vous proposez d'entrer en contact avec nous, et des réaliser des statistiques plus précises, nous devons vous demander l'autorisation pour utiliser des modules complémentaires.
Il s'agit de données vous assurant un affichage correct des pages selon votre appareil, permettant d'assurer la sécurité du notre site, de proposer des moyens de contact et de réaliser des statistiques anonymes.
Le stockage ou l’accès technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou la personne utilisant le service.
Ils s'agit de données nous permettant de réaliser des analyses statistiques anonymes plus précises et notamment l'ordre des pages qu'un visiteur consulte
Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Il s'agit des données individuelles collectées via les intégrations de notre CRM nous permettant de savoir par exemple si vous avez déjà visité notre site.
Politique de conservation des données: Guide pratique
Avant de définir une politique de conservation des données, il est essentiel de répondre à quatre questions : quoi conserver, combien de temps, où et à quel moment supprimer ou anonymiser les données. En France, si je garde des données personnelles trop longtemps, je m’expose à des sanctions RGPD pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial.
Voici l’idée en simple :
Quelques repères utiles à retenir tout de suite :
Le point qui change tout : une durée seule ne suffit pas. Je dois aussi définir le point de départ du délai – par exemple la fin du contrat, le dernier contact, ou la date d’enregistrement. Sans ça, la suppression reste théorique.
Je garde aussi une règle simple en tête : pseudonymiser n’est pas anonymiser. Si je peux réidentifier une personne, le RGPD continue de s’appliquer.
En clair, une politique conforme en France repose sur 5 blocs :
Si je veux que cette politique serve sur le terrain, je la rédige de façon simple, je nomme les responsables, et je vérifie que les outils appliquent bien les délais prévus.
Base légale des durées de conservation des données
Durées de conservation des données personnelles en France (RGPD)
Une fois le principe posé, il faut passer à quelque chose de très concret : fixer des durées de conservation appuyées sur un texte ou, si aucun texte ne donne de délai précis, sur les référentiels de la CNIL.
Le RGPD ne prévoit aucune durée standard valable pour tous les cas. C’est au responsable de traitement de fixer les délais selon la finalité du traitement, les obligations légales et le critère de proportionnalité, puis de les documenter. Le règlement est simple : une donnée personnelle ne doit pas être gardée sous une forme qui permet d’identifier la personne au-delà du temps nécessaire à l’objectif poursuivi.
Le principe de limitation de la conservation des données
En pratique, il faut distinguer trois temps dans la vie d’une donnée.
Ce point fait souvent trébucher les équipes. Pseudonymiser n’est pas anonymiser. Tant qu’il existe une clé de réidentification, le RGPD continue de s’appliquer. À l’inverse, une anonymisation irréversible fait sortir les données du champ du RGPD et permet de les garder pour des usages statistiques ou de recherche.
Les référentiels de la CNIL pour les organisations françaises
Avant de choisir une durée, il faut d’abord vérifier si le droit français impose déjà un délai. Le Code du travail, le Code de commerce et le Livre des procédures fiscales donnent beaucoup d’exemples. S’il n’existe pas de règle directe, les référentiels sectoriels de la CNIL servent de point d’appui. Les suivre aide à montrer la conformité.
Voici les repères les plus utiles :
Quand aucun texte ne fixe de délai, il faut documenter l’analyse de proportionnalité dans le registre des activités de traitement. C’est cette base qui permet ensuite de cartographier les traitements et de fixer, catégorie par catégorie, les durées de conservation.
sbb-itb-9879cb5
Cartographier les traitements et fixer les durées de conservation des données
À partir des délais de référence, il faut maintenant passer de la règle générale à son application dans chaque traitement.
Le registre des activités de traitement (RAT) est votre point d’appui. Pour chaque traitement, précisez la finalité, la base légale, les catégories de données, les personnes concernées, les systèmes utilisés et la règle de conservation. Faites valider l’ensemble par les équipes RH, juridique, informatique et comptabilité. Sinon, vous risquez d’avoir une règle correcte sur le papier… mais impossible à appliquer sur le terrain.
Partir du registre des activités de traitement
Commencez par le RAT, puis déclinez les durées par domaine fonctionnel : RH, gestion clients, marketing, comptabilité et informatique. Le bon réflexe consiste à vérifier d’abord si un texte fixe une durée. Si ce n’est pas le cas, justifiez la durée choisie au regard de la finalité et consignez cette justification dans le registre.
Définir les durées par catégorie de données et par phase de vie
Pour chaque catégorie, fixez surtout le point de départ du délai. C’est lui qui fait tourner toute la mécanique : fin de contrat, dernier contact significatif, date d’enregistrement.
Sans déclencheur clair, la purge reste théorique. En pratique, personne ne sait quand le compteur démarre, et les données restent en place plus longtemps que prévu.
Ajouter un tableau de conservation des données à la politique
La colonne système concerné indique où la purge doit être appliquée, y compris dans les sauvegardes et les archives. Le tableau ci-dessous peut être repris tel quel dans la politique.
Indiquez bien les systèmes concernés, sauvegardes comprises. Sans cette précision, l’IT ne peut ni appliquer la purge, ni organiser l’écrasement des copies de secours.
Transformer la politique en procédures quotidiennes
Une politique de conservation ne sert à rien si elle reste sur le papier. Une fois les durées définies, il faut les convertir en actions simples et concrètes : purges, archivage et contrôles, avec des règles claires pour la base active, l’archivage restreint et la suppression.
Conservation des données : mettre en place les systèmes, les archives et les processus de suppression
Automatisez les purges autant que possible : tâches planifiées, déclencheurs SQL ou suppression automatique via API dans les outils métiers. L’idée est simple : éviter les oublis et garder un rythme stable. Chaque purge doit aussi laisser une trace exploitable en cas de contrôle.
Les données soumises à une obligation de conservation doivent passer en archivage intermédiaire, dans un espace séparé, avec un accès limité et tracé. Si une personne demande l’effacement de ses données, la demande doit être examinée au regard des obligations légales. Dans certains cas, la donnée ne sera pas supprimée tout de suite : elle pourra être placée en archivage restreint.
Deux cas demandent une procédure à part.
Conservation des données : documenter les décisions et démontrer la conformité
Appliquer les règles, c’est bien. Pouvoir le montrer, c’est ce qui compte lors d’un contrôle. En cas de contrôle de la CNIL ou de demande d’effacement au titre de l’article 17 du RGPD, vous devrez fournir des éléments concrets : journaux de suppression, logs d’accès aux archives, motifs des durées retenues et historique des versions de la politique.
La CNIL sanctionne aussi l’absence de purge effective.
La conformité tient aussi à une répartition nette des rôles. Si tout le monde pense que le sujet appartient à quelqu’un d’autre, rien n’avance. Le tableau ci-dessous résume les responsabilités à répartir entre les équipes.
La dernière étape consiste à revoir ces règles à intervalles réguliers pour qu’elles restent alignées sur les traitements réellement menés.
Maintenir la politique à jour et planifier les prochaines étapes
Une politique de conservation n’est pas figée. Elle doit suivre les traitements, les règles qui s’appliquent et les outils utilisés. Dès qu’un changement touche la durée de conservation, l’accès aux données ou leur suppression, la politique doit être revue.
Le sujet n’est donc pas juste de rédiger un document. Il faut aussi savoir quand le revoir, et ne pas attendre trop longtemps.
Quand et comment réviser la politique
Certains événements doivent lancer une révision immédiate, sans attendre la revue annuelle.
En clair, ces cas doivent apparaître dans le calendrier de revue. Sinon, la politique risque de ne plus coller à la pratique.
Un audit annuel des durées appliquées sur le terrain, comparées à celles inscrites dans le registre, aide à repérer les écarts. Et chaque mise à jour doit être validée par le DPO, le service juridique, l’IT et les équipes métier concernées.
Points clés d’une politique de conservation conforme en France
Une fois le cadre de révision posé, trois points ne se discutent pas.
Vérifiez d’abord la séparation réelle entre la base active et l’archivage intermédiaire. Sur le papier, beaucoup d’organisations disent l’avoir mise en place. En pratique, ce n’est pas toujours le cas.
Ensuite, les mentions d’information prévues par les articles 13 et 14 du RGPD doivent reprendre les durées réellement appliquées. Des formules vagues comme « aussi longtemps que nécessaire » sont insuffisantes.
Enfin, gardez des preuves de suppression ou d’anonymisation. Et formalisez chaque mise à jour dans le registre, dans les procédures internes et dans la version datée de la politique.
FAQs
Par où commencer concrètement ?
Commencez par cartographier vos traitements. Le but est simple : savoir quelles données vous détenez, pourquoi vous les utilisez, où elles sont stockées et sur quelle base juridique vous vous appuyez.
Ensuite, définissez une durée de conservation pour chaque catégorie de données. Faites bien la différence entre :
Chaque délai doit être justifié. Appuyez-vous sur les référentiels de la CNIL ainsi que sur vos obligations légales. Puis, consignez ces durées dans votre registre, informez les personnes concernées et mettez en place des purges automatiques.
Dit autrement : il ne suffit pas de garder une règle “par habitude”. Il faut pouvoir expliquer chaque durée, noir sur blanc.
Comment fixer un point de départ fiable ?
Définissez avec précision la finalité de chaque traitement : il n’existe pas de durée de conservation universelle. En règle générale, le point de départ se situe au moment où l’objectif de la collecte est atteint, ou lors du dernier contact avec la personne concernée.
Ce choix doit être documenté. Appuyez-vous sur les obligations légales, les référentiels de la CNIL, ou sur une analyse interne de proportionnalité. Intégrez ensuite cette durée dans le registre des traitements et annoncez-la dès la collecte.
Autrement dit, il ne suffit pas de fixer une durée “au feeling”. Il faut pouvoir expliquer, noir sur blanc, pourquoi vous conservez telle donnée pendant telle période. C’est ce qui permet de rester clair, cohérent, et en phase avec vos obligations.
Que faire si mes outils ne purgent pas automatiquement ?
Si vos outils ne purgent pas les données tout seuls, il faut prévoir des mesures internes et techniques pour respecter les durées de conservation fixées. L’absence d’automatisation ne change rien à l’obligation.
Concrètement, prévoyez un tri régulier. Les données arrivées à échéance doivent être supprimées de manière sécurisée ou basculées en archivage intermédiaire, avec un accès limité. Indiquez aussi ces règles dans votre registre des traitements.
Articles récents
Thèmes
Catégories