En bref
Le RGPD impose de ne conserver les données personnelles que le temps strictement nécessaire à la finalité du traitement. Les durées varient selon la nature des données et les obligations légales sectorielles. Tout manquement expose à des sanctions pouvant atteindre vingt millions d'euros.
Le principe de limitation de la conservation en droit européen et français
Art. 5, §1, e) RGPD
« Les données à caractère personnel doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (principe de limitation de la conservation). »
Déterminer la durée de conservation : critères et méthodologie pratique
Élaborez un référentiel de conservation documenté
Constituez un tableau récapitulatif par catégorie de traitement précisant la durée en base active, la durée d'archivage intermédiaire et les modalités de suppression. Ce document, distinct du registre des traitements, démontre votre conformité lors d'un contrôle CNIL.
Besoin d'un dossier juridique ?
Générez votre dossier complet en 3 minutes — mise en demeure personnalisée, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Les durées légales imposées par le droit français sectoriel
Art. L123-22 C. com.
« Les documents comptables et les pièces justificatives sont conservés pendant dix ans à compter de la clôture de l'exercice auquel ils se rapportent. Cette durée constitue un minimum impératif applicable à tout commerçant. »
Source : Code de commerce — article consolidé
Art. L3243-4 C. trav.
« L'employeur conserve un double des bulletins de paie des salariés pendant une durée de cinq ans. Cette obligation s'impose indépendamment du support utilisé, papier ou électronique. »
Source : Code du travail — article consolidé
Base active, archivage intermédiaire et suppression définitive
Pseudonymisation et anonymisation : une confusion fréquente et coûteuse
La pseudonymisation ne constitue pas une anonymisation. Les données pseudonymisées demeurent des données personnelles soumises à l'intégralité des obligations du RGPD, y compris la limitation de la conservation. Seule l'anonymisation irréversible fait sortir les données du champ du règlement.
Incluez les sauvegardes dans votre politique de purge
La suppression des données en base de production ne suffit pas. Vérifiez que vos procédures d'effacement couvrent l'ensemble des systèmes de sauvegarde et les environnements des sous-traitants. Documentez les délais de rotation des sauvegardes pour démontrer votre conformité.
Obligations documentaires et information des personnes concernées
Art. 30, §1, f) RGPD
« Le registre des activités de traitement doit contenir, dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données. Cette mention est vérifiée systématiquement par la CNIL lors de ses contrôles. »
Sanctions encourues et vigilance de la CNIL
La conservation excessive : le manquement le plus fréquemment sanctionné
La CNIL constate régulièrement que des entreprises conservent des données clients ou salariés bien au-delà des durées nécessaires, faute de procédure de purge automatisée. L'inertie organisationnelle ne constitue pas un motif légitime de conservation prolongée.
Plafond de l'amende administrative
L'article 83, paragraphe 5, sous a), du RGPD prévoit une amende pouvant atteindre vingt millions d'euros ou quatre pour cent du chiffre d'affaires annuel mondial pour violation du principe de limitation de la conservation.
Source : Règlement (UE) 2016/679, art. 83 — 2018
Questions fréquentes
Quelle est la durée de conservation recommandée pour les données de prospection commerciale ?
La CNIL recommande de conserver les données de prospects pendant trois ans à compter du dernier contact actif. Au-delà de ce délai, les données doivent être supprimées ou anonymisées, sauf si le prospect a de nouveau manifesté un intérêt. Cette durée n'a pas valeur réglementaire mais constitue le référentiel de place.
La pseudonymisation dispense-t-elle de supprimer les données à l'expiration de la durée de conservation ?
Non. Les données pseudonymisées demeurent des données à caractère personnel au sens du RGPD et restent soumises à l'ensemble des obligations du règlement, y compris la limitation de la conservation. Seule l'anonymisation irréversible, rendant impossible toute réidentification, fait sortir les données du champ d'application du RGPD.
Quelles sanctions encourt une entreprise conservant des données au-delà de la durée nécessaire ?
La CNIL peut prononcer une amende administrative allant jusqu'à vingt millions d'euros ou quatre pour cent du chiffre d'affaires annuel mondial. Des mises en demeure publiques et des injonctions de mise en conformité sous astreinte constituent des mesures complémentaires fréquemment utilisées par l'autorité de contrôle.
Comment gérer la suppression des données dans les systèmes de sauvegarde ?
La suppression doit être effective dans l'ensemble des systèmes, y compris les sauvegardes. Si l'effacement immédiat est techniquement impossible, le responsable de traitement documente les délais de rotation des sauvegardes et garantit qu'aucune exploitation des données purgées ne sera réalisée dans l'intervalle précédant leur écrasement définitif.
Engager une procédure près de chez vous
Tribunaux judiciaires et commissaires de justice dans les principales juridictions
- Procédure à Beziers
- Procédure à Saint Nazaire
- Procédure à Colmar
- Procédure à Valence
- Procédure à Quimper
Votre ville n'est pas listée ? Voir toutes les juridictions (100+ villes) →
Vous êtes dans cette situation ?
Générez votre dossier complet en 3 minutes — mise en demeure, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Générer mon dossier juridiqueÀ partir de 14,99 € · paiement sécurisé · document prêt en quelques minutes