La duree de conservation des donnees personnelles est un principe fondamental du RGPD. En 2025, la CNIL renforce ses controles sur ce sujet et sanctionne les organismes qui conservent des donnees au-dela du necessaire. Ce guide vous propose un tableau complet des durees de conservation par categorie de donnees, base sur les referentiels de la CNIL et les obligations legales en vigueur.
Le principe de limitation de conservation
L’article 5.1.e du RGPD pose le principe de limitation de la conservation : les donnees personnelles doivent etre conservees sous une forme permettant l’identification des personnes pendant une duree qui n’excede pas celle necessaire au regard des finalites pour lesquelles elles sont traitees. Au-dela, les donnees doivent etre supprimees, anonymisees ou archivees dans des conditions specifiques.
Il n’existe pas de duree unique applicable a tous les traitements. La duree depend de la finalite du traitement, des obligations legales, et le cas echeant des referentiels publies par la CNIL.
Les trois phases de conservation
Le cycle de vie des donnees se decompose en trois phases distinctes :
La base active : les donnees sont utilisees couramment pour atteindre la finalite du traitement. Elles sont accessibles aux services operationnels concernes.
L’archivage intermediaire : les donnees ne sont plus necessaires a la gestion courante mais doivent etre conservees pour respecter une obligation legale ou en cas de contentieux. L’acces est restreint et justifie au cas par cas.
L’archivage definitif ou la suppression : les donnees sont soit definitivement supprimees, soit anonymisees, soit archivees definitivement dans l’interet public (archives historiques, statistiques, recherche scientifique).
Tableau des durees de conservation par categorie
Donnees relatives aux prospects
| Type de donnees | Duree en base active | Reference |
|---|---|---|
| Donnees de prospection B2B/B2C | 3 ans apres le dernier contact | Referentiel CNIL |
| Cookies et traceurs | 13 mois maximum | Recommandation CNIL cookies |
| Formulaires de contact | Duree du traitement de la demande + 3 ans | Referentiel CNIL |
Donnees relatives aux clients
| Type de donnees | Duree en base active | Archivage intermediaire |
|---|---|---|
| Donnees de facturation | Duree de la relation commerciale | 10 ans (obligation comptable) |
| Contrats commerciaux | Duree du contrat | 5 ans (prescription civile) |
| Donnees de livraison | Duree necessaire a la livraison | 5 ans |
| Bons de commande | Duree de la relation | 10 ans |
Donnees relatives aux salaries
| Type de donnees | Duree en base active | Archivage intermediaire |
|---|---|---|
| Bulletins de paie | Duree du contrat | 5 ans (Code du travail) |
| Contrat de travail | Duree du contrat | 5 ans apres le depart |
| Registre du personnel | Duree de presence | 5 ans apres le depart |
| Dossiers disciplinaires | 3 ans maximum | Non applicable |
| Solde de tout compte | 6 mois (contestation) | 5 ans |
Donnees relatives aux candidats
| Type de donnees | Duree de conservation |
|---|---|
| CV et lettres de motivation | 2 ans apres le dernier contact |
| Notes d’entretien | 2 ans |
| Tests de recrutement | 2 ans |
Donnees de videosurveillance
| Type | Duree |
|---|---|
| Images de videosurveillance | 30 jours maximum (sauf incident) |
| Journaux d’acces (badges) | 3 mois |
Donnees de sante
| Type | Duree |
|---|---|
| Dossier medical patient | 20 ans a compter du dernier soin |
| Medecine du travail | 40 ans apres la fin de l’exposition |
Comment mettre en oeuvre une politique de conservation
La mise en place d’une politique de conservation efficace passe par plusieurs etapes : inventorier tous les traitements et les categories de donnees concernees, definir la duree de conservation pour chaque traitement en se basant sur les referentiels CNIL et les obligations legales, documenter ces durees dans le registre des traitements, mettre en place des mecanismes de purge automatique ou des alertes, et enfin former les equipes aux procedures de suppression et d’archivage.
FAQ
Que faire si aucune duree n’est prevue par la loi ?
En l’absence de texte specifique, le responsable de traitement doit fixer une duree proportionnee a la finalite du traitement. Il peut s’appuyer sur les referentiels CNIL, les usages du secteur et le principe de minimisation. Cette duree doit etre documentee et justifiee.
Peut-on conserver des donnees apres la duree prevue ?
La conservation au-dela de la duree prevue n’est possible que dans des cas limites : obligation legale d’archivage, contentieux en cours, ou archivage dans l’interet public. L’acces aux donnees archivees doit etre strictement limite.
