← Protection des données personnelles

Prestation · Durées de conservation

Durées de conservation RGPD : un référentiel clair, des données qui partent à l'heure

Le RGPD interdit de conserver les données au-delà de la durée nécessaire. Dans les faits, c'est l'un des manquements les plus fréquemment sanctionnés par la CNIL : bases clients jamais purgées, candidatures gardées dix ans, sauvegardes éternelles. Nous construisons votre référentiel de durées, définissons le cycle de vie de chaque catégorie de données et mettons en place les procédures de purge qui font vivre le principe.

Échanger sur votre besoin →

Interventions à Annecy, Chambéry, Grenoble, Lyon, Bourg-en-Bresse, Paris, Genève et à distance.

Le cycle de vie des données en trois phases

Le principe de limitation de la conservation (article 5 du RGPD) ne signifie pas tout supprimer au plus vite : il exige de définir, pour chaque traitement, un cycle de vie justifié et appliqué.

1. Base active

  • Les données servent au quotidien pour la finalité initiale
  • Durée déterminée par la relation : contrat en cours, client actif, dossier ouvert
  • Accès ouvert aux services qui en ont besoin

2. Archivage intermédiaire

  • Plus d'usage courant mais une obligation de conservation demeure (obligations comptables, sociales, prescriptions)
  • Accès restreint et tracé, sur besoin justifié uniquement
  • Durée fondée sur les textes applicables et les délais de prescription

3. Sort final

  • Suppression sécurisée ou anonymisation véritable
  • Pour les organismes publics : articulation avec le régime des archives publiques
  • Procédures documentées et traçables

Les sources des durées

  • Obligations légales de conservation (droit social, comptable, fiscal)
  • Délais de prescription civile et pénale
  • Référentiels et recommandations sectoriels de la CNIL
  • À défaut de texte : la durée nécessaire à la finalité, justifiée et documentée

La mission en 4 étapes

1

Inventaire depuis le registre

Recensement des catégories de données et des traitements à partir du registre des traitements, identification des durées pratiquées réellement (souvent : aucune).

2

Construction du référentiel

Détermination des durées par catégorie de données et par phase du cycle de vie, fondée sur les textes applicables et les référentiels CNIL de votre secteur. Chaque durée est sourcée et justifiée : c'est votre preuve de conformité.

3

Procédures de purge et d'archivage

Définition des modalités concrètes : qui purge, quand, comment, avec quelle traçabilité. Choix entre suppression et anonymisation selon les besoins (statistiques, historiques).

4

Intégration dans vos outils

Traduction du référentiel dans les systèmes : paramétrage des durées dans le CRM et les applicatifs quand c'est possible, campagnes de purge périodiques quand ça ne l'est pas, mise à jour du registre et des mentions d'information.

Quand engager cette démarche

Votre registre mentionne des durées jamais appliquées : c'est le cas le plus fréquent. Le référentiel existe sur le papier, aucune purge n'a jamais eu lieu. L'écart entre le déclaré et le réel est précisément ce que regarde la CNIL en cas de contrôle.

Vous préparez ou déployez votre mise en conformité : les durées de conservation sont un chantier structurant du déploiement, avec des effets concrets sur les mentions d'information, les contrats et les outils.

Vous êtes une collectivité ou un organisme public : le sort final des données s'articule avec le régime des archives publiques, ce qui suppose un travail conjoint avec l'archiviste ou le service départemental d'archives.

Ce qu'on nous demande le plus souvent

Le RGPD fixe-t-il des durées de conservation précises ?

Non. L'article 5 pose le principe de limitation : les données ne doivent pas être conservées au-delà de la durée nécessaire aux finalités. Les durées concrètes se déterminent au cas par cas, à partir des obligations légales, des délais de prescription et des référentiels sectoriels publiés par la CNIL.

Quelle différence entre base active, archivage intermédiaire et sort final ?

La base active contient les données utilisées au quotidien. L'archivage intermédiaire conserve celles dont l'organisation n'a plus l'usage courant mais qu'elle doit garder pour une obligation légale ou un contentieux éventuel, avec un accès restreint. Au terme de cette phase intervient le sort final : suppression, anonymisation ou versement aux archives pour les organismes publics.

Que risque une organisation qui conserve trop longtemps ?

La conservation illimitée est l'un des manquements les plus fréquemment sanctionnés par la CNIL, y compris pour des structures modestes. Au-delà du risque de sanction, conserver des données inutiles augmente la surface d'exposition en cas de violation de données et le coût du stockage.

Vos données méritent une date de sortie ?

Premier échange pour cadrer le périmètre et établir un devis.

À voir aussi : Déploiement et conformité continue · Registre des traitements · Audit RGPD · Toutes les prestations RGPD

DPO externe · Audit RGPD · IA responsable · Numérique responsable · Formations · Articles · FAQ · À propos