La durée de conservation des données RGPD est l’une des obligations les plus fréquemment méconnues et sanctionnées par les autorités de contrôle. L’Art. 5(1)(e) du RGPD impose que les données personnelles ne soient conservées sous une forme permettant l’identification des personnes concernées que pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. En 2023, la CNIL a prononcé 40 % de ses sanctions en lien avec des durées de conservation non conformes. Ce guide détaille les règles par secteur et les recommandations opérationnelles.
Points Clés
- L’Art. 5(1)(e) RGPD interdit la conservation de données personnelles au-delà de la durée nécessaire à la finalité initiale du traitement.
- Aucune durée universelle n’existe : chaque secteur et chaque finalité impose sa propre durée, souvent encadrée par des textes nationaux.
- La CNIL recommande une politique documentée de conservation intégrée au registre des traitements.
- À l’expiration de la durée, les données doivent être supprimées, anonymisées ou archivées sous les garanties de l’Art. 89(1) RGPD.
- Les sanctions pour non-respect sont lourdes : la CNIL a infligé 800 000 euros à Oversea en 2022 (Délibération n°SAN-2022-021) pour conservation excessive.
Ce que l’Art. 5(1)(e) RGPD exige réellement
Le principe de limitation de la conservation, inscrit à l’Art. 5(1)(e) du RGPD, dispose :
« Les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. »
Ce principe est indissociable de la limitation des finalités (Art. 5(1)(b)) : la durée de conservation découle directement de la finalité déclarée. Un responsable de traitement ne peut conserver des données que tant que la finalité le justifie. Au-delà, trois options s’offrent à lui : suppression définitive, anonymisation irréversible ou archivage intermédiaire encadré par l’Art. 89(1) RGPD pour des fins de recherche scientifique, historique ou statistique.
La CNIL distingue trois phases dans le cycle de vie des données :
- Base active : les données sont utilisées au quotidien pour la finalité déclarée.
- Archivage intermédiaire : les données ne sont plus nécessaires au quotidien mais doivent être conservées pour des obligations légales (fiscales, comptables, contentieuses).
- Archivage définitif : réservé aux données présentant un intérêt historique, scientifique ou statistique.
Durées de conservation par secteur : référentiel CNIL
La CNIL a publié des référentiels sectoriels qui servent de guide pratique. Voici les principales durées recommandées :
| Secteur | Type de données | Durée de conservation | Base légale |
|---|---|---|---|
| Ressources humaines | Dossier du salarié | Durée du contrat + 5 ans | Code du travail, Art. L. 3243-4 |
| Marketing / Prospection | Données de prospects | 3 ans à compter du dernier contact | Recommandation CNIL, Délibération n°2016-264 |
| Santé | Dossier médical | 20 ans à compter du dernier passage | Art. R. 1112-7 du Code de la santé publique |
| Banque / Finance | Données transactionnelles | 5 ans après la fin de la relation | Art. L. 561-12 du Code monétaire et financier (LCB-FT) |
| E-commerce | Données clients | Durée de la relation + 3 ans | CNIL, référentiel gestion commerciale |
| Assurance | Données de sinistres | 10 ans après la clôture du sinistre | Art. L. 114-1 du Code des assurances |
| Télécommunications | Données de trafic | 1 an | Art. L. 34-1 du CPCE |
| Vidéosurveillance | Images | 30 jours maximum | Art. L. 252-3 du CSI |
Ces durées sont indicatives. Chaque organisme doit adapter sa politique en fonction des finalités réelles de ses traitements et des obligations légales qui s’y rattachent.
Sanctions pour non-respect des durées de conservation
Les autorités de contrôle européennes sanctionnent régulièrement les manquements à l’obligation de limitation de la conservation. Voici les cas les plus significatifs :
CNIL, Délibération n°SAN-2022-021 du 15 septembre 2022 : la CNIL a sanctionné la société Oversea d’une amende de 800 000 euros pour avoir conservé les données de plus de 2 millions de clients au-delà des durées nécessaires, sans politique de purge définie.
CNIL, Délibération n°SAN-2023-024 du 29 décembre 2023 : la société Amazon France Logistique a été condamnée à une amende de 32 millions d’euros pour surveillance excessive des salariés via des scanners, incluant une conservation disproportionnée des données d’activité.
AEPD (Espagne), Décision PS/00547/2021 : l’autorité espagnole a infligé 1,5 million d’euros à CaixaBank pour conservation de données de clients après la fin de la relation commerciale sans justification légale.
ICO (Royaume-Uni), 2020 : British Airways a été sanctionnée de 20 millions de livres pour une violation de données qui a révélé des défaillances dans la gestion du cycle de vie des données, y compris la conservation excessive d’informations de paiement.
Ces décisions montrent que l’absence de politique de conservation documentée est systématiquement considérée comme un manquement à l’Art. 5(1)(e) RGPD.
Comment mettre en place une politique de conservation conforme
Étape 1 : Cartographier les traitements et les durées
Chaque traitement inscrit au registre des activités de traitement (Art. 30 RGPD) doit mentionner la durée de conservation ou les critères permettant de la déterminer. La CNIL exige que cette information figure également dans les mentions d’information délivrées aux personnes concernées (Art. 13(2)(a) et Art. 14(2)(a) RGPD).
Étape 2 : Documenter la justification de chaque durée
Pour chaque catégorie de données, documentez la base légale de la durée retenue : obligation légale (avec la référence textuelle précise), recommandation CNIL, ou analyse interne de proportionnalité. Cette documentation est indispensable en cas de contrôle.
Étape 3 : Automatiser les purges
La suppression manuelle est source d’erreurs. Les organisations doivent mettre en place des mécanismes automatiques de purge ou d’anonymisation à l’expiration des durées de conservation. Des outils comme Legiscope permettent de paramétrer des alertes et des purges automatiques liées au registre des traitements.
Étape 4 : Distinguer base active, archivage intermédiaire et suppression
Toutes les données arrivant à expiration de la base active ne doivent pas nécessairement être supprimées. Certaines doivent être transférées en archivage intermédiaire (accès restreint, finalité limitée) pour répondre à des obligations légales. La CNIL recommande de séparer physiquement ou logiquement ces bases.
Étape 5 : Former les équipes et auditer régulièrement
La politique de conservation doit être connue de tous les collaborateurs qui manipulent des données personnelles. Un audit RGPD régulier permet de vérifier que les durées sont respectées dans la pratique et que les mécanismes de purge fonctionnent correctement.
Cas particuliers en droit français
Le droit français impose des durées de conservation spécifiques qui s’ajoutent aux exigences du RGPD :
- Documents comptables : 10 ans (Art. L. 123-22 du Code de commerce).
- Bulletins de paie : 5 ans (Art. L. 3243-4 du Code du travail).
- Contrats électroniques supérieurs à 120 euros : 10 ans (Art. L. 213-1 du Code de la consommation).
- Données de connexion (hébergeurs et FAI) : 1 an pour les données techniques, 1 an pour les données d’identification (Décret n°2021-1362 du 20 octobre 2021).
La CNIL rappelle que ces obligations de conservation légale ne dispensent pas de respecter le principe de minimisation : seules les données strictement nécessaires à l’obligation légale doivent être conservées pendant la durée prévue.
FAQ
Quelle est la durée de conservation des données RGPD par défaut ?
Il n’existe aucune durée par défaut dans le RGPD. L’Art. 5(1)(e) impose uniquement que la conservation soit limitée à ce qui est nécessaire pour la finalité du traitement. Chaque organisme doit déterminer et justifier ses propres durées en fonction des finalités, des obligations légales applicables et des recommandations de la CNIL.
Que faire des données à l’expiration de la durée de conservation ?
Trois options sont possibles : la suppression définitive, l’anonymisation irréversible (qui fait sortir les données du champ du RGPD) ou le transfert en archivage intermédiaire si une obligation légale le justifie. La CNIL précise que la pseudonymisation ne suffit pas, car les données restent identifiables indirectement.
La CNIL peut-elle sanctionner l’absence de politique de conservation ?
Oui. L’absence de politique documentée de conservation est considérée comme un manquement à l’Art. 5(1)(e) RGPD et à l’obligation de documentation (Art. 5(2), principe de responsabilité). La CNIL a sanctionné plusieurs organismes sur ce fondement, dont Oversea (Délibération n°SAN-2022-021, 800 000 euros).
Comment concilier durée de conservation RGPD et obligation légale de conservation ?
Lorsqu’une obligation légale impose une durée de conservation supérieure à celle nécessaire pour la finalité initiale, les données doivent être transférées en archivage intermédiaire avec un accès strictement limité. Le responsable de traitement doit documenter cette transition dans son registre et informer les personnes concernées de cette double base de conservation.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
