La conservation des donnees clients est un sujet central de la conformite RGPD. En 2025, les controles de la CNIL revelent que de nombreuses entreprises conservent des donnees clients bien au-dela du necessaire. Ce guide vous presente le referentiel complet des durees de conservation applicables aux donnees clients, avec les bases legales et les bonnes pratiques a mettre en oeuvre.
Principes applicables aux donnees clients
Les donnees clients sont collectees dans le cadre d’une relation commerciale (achat, abonnement, prestation de service). La duree de conservation varie selon la finalite du traitement : execution du contrat, facturation, service apres-vente, prospection commerciale, ou respect d’obligations legales. Chaque finalite a sa propre duree, et les donnees doivent etre supprimees ou archivees des que cette duree est atteinte.
Durees de conservation par type de donnees clients
Donnees d’identification et de contact
Les noms, prenoms, adresses email, numeros de telephone et adresses postales des clients sont conserves en base active pendant toute la duree de la relation commerciale. Apres la fin de la relation (derniere commande, resiliation du contrat, cloture du compte), ces donnees peuvent etre conservees en base active a des fins de prospection pendant 3 ans a compter du dernier contact. Au-dela, elles doivent etre supprimees ou anonymisees.
Donnees de facturation
Les factures et les donnees associees (montants, dates, references) doivent etre conservees 10 ans a compter de la cloture de l’exercice comptable, conformement au Code de commerce (article L123-22). Ces donnees passent en archivage intermediaire a la fin de la relation commerciale et ne sont accessibles qu’au service comptable et en cas de controle fiscal.
Donnees de commande
Les bons de commande, confirmations et details des transactions sont conserves en base active pendant la duree de la relation commerciale. En archivage intermediaire, ils sont conserves 5 ans au titre de la prescription civile de droit commun (article 2224 du Code civil), puis 10 ans pour les pieces comptables associees.
Donnees de paiement
Les numeros de carte bancaire ne doivent pas etre conserves au-dela de la transaction, sauf consentement explicite du client pour faciliter les achats ulterieurs. Dans ce cas, le numero est conserve de maniere securisee jusqu’a la date d’expiration de la carte ou jusqu’au retrait du consentement. Le cryptogramme visuel (CVV) ne doit jamais etre conserve.
Donnees de livraison
Les adresses de livraison et les informations de suivi sont conservees en base active le temps necessaire a la livraison et au traitement des eventuels retours (delai de retractation de 14 jours pour le e-commerce). Elles peuvent ensuite etre conservees en archivage intermediaire pendant 5 ans pour gerer les litiges eventuels.
Donnees du service client
Les echanges avec le service client (emails, enregistrements d’appels, tickets) sont conserves en base active pendant la duree de traitement de la demande. Les enregistrements d’appels telephoniques sont conserves 6 mois maximum lorsqu’ils servent a la formation. Pour les besoins de preuve en cas de litige, ils peuvent etre conserves jusqu’a 5 ans.
Donnees de prospection commerciale
Les donnees utilisees pour la prospection commerciale aupres de clients existants sont conservees 3 ans a compter du dernier contact actif (achat, clic dans un email, connexion au compte). L’absence de reaction a une sollicitation n’est pas un contact actif. Au-dela de 3 ans sans interaction, les donnees doivent etre supprimees de la base de prospection.
Referentiel par secteur d’activite
E-commerce
Les donnees des comptes clients inactifs doivent etre supprimees apres 3 ans d’inactivite. Les donnees de navigation (historique de consultation, panier abandonne) sont conservees 13 mois maximum si elles sont liees a des cookies. Les avis clients sont conserves pendant toute la duree de publication, avec une verification annuelle de leur pertinence.
Banque et assurance
Les donnees liees aux operations bancaires sont conservees 5 ans apres la cloture du compte (obligation de vigilance). Les contrats d’assurance et les pieces justificatives de sinistres sont conserves 2 ans apres la fin du contrat (prescription biennale), pouvant aller jusqu’a 10 ans pour les dommages corporels.
Telecoms et fournisseurs d’acces
Les donnees de trafic (metadonnees des communications) sont conservees 1 an pour les besoins des autorites. Les donnees de facturation sont conservees selon les regles comptables classiques (10 ans). Les donnees techniques de connexion sont conservees 1 an.
Mettre en place la politique de conservation clients
Pour respecter les durees de conservation, commencez par cartographier toutes les donnees clients dans vos systemes (CRM, ERP, logiciel de facturation, outil marketing). Definissez les durees pour chaque categorie en vous basant sur ce referentiel. Parametrez des purges automatiques dans vos outils. Formez les equipes commerciales et marketing aux regles de conservation. Documentez votre politique dans le registre des traitements et informez les clients dans votre politique de confidentialite.
FAQ
Un client peut-il demander la suppression de ses donnees avant la fin de la duree de conservation ?
Le client peut exercer son droit a l’effacement, mais celui-ci n’est pas absolu. Les donnees necessaires au respect d’obligations legales (facturation, comptabilite) ne peuvent pas etre supprimees avant l’echeance legale. En revanche, les donnees de prospection doivent etre supprimees sur demande.
Que faire des donnees clients lors de la migration vers un nouveau CRM ?
La migration est l’occasion ideale de proceder a un nettoyage. Supprimez les donnees dont la duree de conservation est depassee avant la migration. Ne transferez que les donnees dont la conservation est justifiee. Documentez l’operation et informez les clients si le nouveau prestataire implique un changement de sous-traitant.
