Pourquoi definir des durees de conservation ?
Le principe de limitation de la conservation constitue l un des piliers du RGPD. L article 5-1-e impose que les donnees personnelles soient conservees sous une forme permettant l identification des personnes pendant une duree n excedant pas celle necessaire aux finalites pour lesquelles elles sont traitees.
Definir des durees de conservation n est pas une option : c est une obligation legale. Le responsable de traitement doit pouvoir justifier chaque duree retenue et la documenter dans son registre des traitements.
La CNIL verifie systematiquement cet aspect lors de ses controles. L absence de politique de conservation des donnees constitue un manquement frequemment sanctionne.
Les trois phases de conservation
La gestion des durees de conservation s organise autour de trois phases distinctes que chaque organisme doit maitriser.
La conservation en base active
Il s agit de la duree pendant laquelle les donnees sont utilisees pour la finalite principale du traitement. Par exemple, les donnees d un client sont conservees en base active pendant toute la duree de la relation commerciale. Les donnees d un candidat non retenu sont generalement conservees deux ans apres le dernier contact.
L archivage intermediaire
Une fois la finalite principale atteinte, certaines donnees doivent etre conservees pour repondre a des obligations legales ou pour faire face a un eventuel contentieux. Elles sont alors placees en archivage intermediaire avec un acces restreint. Les factures clients, par exemple, doivent etre conservees dix ans au titre des obligations comptables.
L archivage definitif ou la suppression
A l issue de la periode d archivage intermediaire, les donnees doivent etre soit supprimees de maniere irreversible, soit anonymisees, soit archivees definitivement si un interet public le justifie (archives historiques, recherche scientifique).
Tableau des durees de conservation courantes
Voici les principales durees de conservation a retenir selon les categories de traitement :
Ressources humaines
Le dossier du salarie doit etre conserve cinq ans apres le depart du collaborateur. Les bulletins de paie sont conserves cinq ans en version employeur. Le registre unique du personnel est conserve cinq ans apres le depart du dernier salarie inscrit. Les documents relatifs aux charges sociales sont conserves trois ans, et ceux relatifs a la comptabilite des salaires dix ans.
Relation commerciale
Les donnees des clients actifs sont conservees pendant toute la duree de la relation contractuelle puis trois ans a compter de la fin du contrat pour la prospection. Les contrats commerciaux sont conserves cinq ans apres leur terme. Les factures sont conservees dix ans au titre comptable. Les donnees des prospects sont conservees trois ans a compter du dernier contact.
Videosurveillance
Les images issues de dispositifs de videosurveillance sont conservees trente jours maximum en regle generale. Ce delai peut etre etendu en cas d incident necessitant la conservation des images comme element de preuve, mais cette extension doit etre justifiee et documentee.
Donnees de connexion et cookies
Les journaux de connexion sont conserves un an conformement aux obligations de l operateur. Les cookies de mesure d audience ont une duree de vie maximale de treize mois. Le consentement aux cookies doit etre renouvele tous les six mois selon les recommandations de la CNIL.
Contentieux et precontentieux
Les donnees necessaires a la gestion d un contentieux sont conservees jusqu a l epuisement des voies de recours. En matiere civile, le delai de prescription de droit commun est de cinq ans. En matiere penale, les delais varient selon la nature de l infraction : un an pour les contraventions, six ans pour les delits et vingt ans pour les crimes.
Comment mettre en oeuvre une politique de conservation
La premiere etape consiste a realiser un inventaire exhaustif de tous les traitements et des categories de donnees associees. Pour chaque traitement, identifiez la base legale, la finalite et les obligations legales de conservation applicables.
Ensuite, definissez les durees de conservation en vous appuyant sur les textes reglementaires, les referentiels sectoriels publies par la CNIL et les recommandations des organisations professionnelles de votre secteur.
Mettez en place des procedures de purge automatique ou manuelle a l echeance des durees definies. Documentez l ensemble dans votre registre des traitements et formez vos equipes aux bonnes pratiques.
Enfin, auditez regulierement votre politique de conservation pour vous assurer qu elle reste a jour et conforme aux evolutions reglementaires.
Article redige par Laurent de Cavel, DPO certifie. Publie sur DPO Partage, le portail francophone de reference sur le RGPD et la protection des donnees personnelles.
