• xdpo

RGPD : quelle durée de conservation des données clients?

Dernière mise à jour : 18 nov.


La gestion des durées de conservation des données clients - mais aussi usagers, agents ou salariés - est un sujet incontournable de la protection des données personnelles (Art5 du RGPD et voir notre article "les règles d'or du RGPD").


En effet avec les logiciels cloud et l'augmentation des capacités de stockage, nous sommes tous tentés de "conserver le maximum de données ad-vitam, au cas où ..." (certains clients xDPO se reconnaîtront !).


A l'issue de la lecture de cet article vous connaîtrez les quatre grands étapes pour gérer les durées de conservation en conformité avec le RGPD:

1️⃣Règle 1 : une durée pour un objectif

2️⃣Règle 2 : définir le point de départ de la conservation

3️⃣Règle 3 : s'engager sur une durée de conservation

4️⃣️Règle 4 : agir à la fin de la durée




1️⃣Règle 1 : une durée pour un objectif


Vous devez conserver les données clients avec un objectif particulier (la "finalité") et pour une durée cohérente avec cet objectif.


Le Règlement sur la protection des données personnelles ne précise pas de durée légale. La durée de conservation des données clients - mais aussi usagers, agents ou salariés - doit être adaptée à l'objectif du traitement (la finalité, pour en savoir plus, consulter notre article sur les règles d'or du RGPD).

Cette durée s'éteint lorsque l'objectif s'éteint lui-même : pour les données clients, combien de temps pouvons-nous conserver les coordonnées de clients inactifs, qui n'ont pas racheté nos produits, qui ne cliquent pas sur nos newsletters et ne nous appellent jamais? La conformité RGPD est aussi une affaire de bon sens!


2️⃣Règle 2 : définir le point de départ de la conservation


Le point de départ de la conservation des données clients n'est pas déclenché tant que vous faites un traitement de données avec un objectif défini et que la relation avec la personne est active (client, usager, salarié ou agent).

En effet vous pouvez conserver les données clients car vous les exploitez avec un objectif et une base légale (voir notre article sur les Règles d'or du RGPD).


On parle ici d'une base de données active : En pratique, les données clients seront alors facilement accessibles dans l’environnement de travail immédiat pour les services opérationnels qui sont en charge de ce traitement (ex : le service des ressources humaines pour les opérations de recrutement)


Le point de départ de la durée conservation démarre dès que la relation avec la personne n'est plus active : le salarié est parti de votre organisme, le client n'achète plus, le candidat n'est pas retenu, le prospect ne clique plus sur votre newsletter, l'adhérent de votre association n'a pas renouvelé son adhésion, ...


👉C'est cet évènement qui définit le point de départ de la durée de conservation.


👉 Le compte à rebours démarre ...


3️⃣Règle 3 : s'engager sur une durée de conservation


Pour trouver des références juridiques, il existe des usages et des obligations légales (souvent liées au Code du Commerce ou du Travail), comme :

👉 5 ans pour les traitements de données personnelles liés aux ressources humaines

👉3 ans pour les traitements de données personnelles liés aux prospects et clients

👉 13 mois pour les cookies Google Analytics


Une durée de conservation peut être adaptée par chaque responsable de traitement si elle est justifiée. Par exemple, nous avons des clients dans le tourisme qui justifient une année de conservation des données clients supplémentaire à cause de la crise sanitaire et de la saison "morte" qu'elle a provoquée.


A partir d'une certaine durée d'inactivité, le personnel opérationnel du responsable de traitement doit sortir les données clients de la base active, le dossier est "clos".

Mais si vous avez encore un intérêt à conserver les données pour des objectifs administratifs, pour une obligation légale ou en prévision d'un éventuel contentieux, vous devez alors passer la donnée dans une base archivée


👉La différence entre base active et base archivée est la facilité d'accès pour les opérationnels. En base active les opérationnels y accède facilement, en base archivée non : on peut pas consulter les pièces jointes à la fiche clients, on ne peut pas leur envoyer de newsletter, on ne peut pas saisir de nouvelles informations dans la fiche client , ...


Toutefois, les données personnelles conservées en archivage doivent répondre à quelques exigences :

- Sécurité : Un niveau de sécurité approprié au regard des risques et de la nature du traitement de données.

- Disponibilité : Pour répondre aux demandes de droit d'accès des personnes concernées.

- Confidentialité : Les données ne sont plus facilement accessibles dans l’environnement de travail immédiat pour les services opérationnels qui sont en charge du traitement (ex : le service commercial).


Attention car la durée citée précedemment (3 ou 5ans) comprend la base active ET la base archivée



4️⃣️Règle 4 : agir à la fin de la durée


A la fin de cette durée, votre relation est inactive avec la personne (client ou salarié) depuis longtemps (cf ci-dessus, depuis 3 ou 5ans) et vous devez agir pour accompagner la fin du cycle de vie de la donnée.


Vous avez deux possibilités (une autre si votre activité a une intérêt historique ou scientifique):

  • Suppression des données et de leurs sauvegardes

  • Anonymisation : la donnée ne permet plus d'identifier une personne physique

  • En raison de leur valeur et intérêt historique ou scientifique, certaines informations sont archivées de manière définitive et pérenne.


En image et par exemple pour l'exploitant d'un hôtel:



Mr Durand est un client de l'hôtel Terminus

Il est venu dans l'hôtel une seule une fois en janvier 2018.

Depuis cette date, l'hôtel Terminus lui envoie régulièrement des informations et des promotions par email

Son dernier clic sur la newsletter date de janvier 2020.

C'est la date du début de la conservation en base active.

L'hôtel peut le solliciter mais il peut se désinscrire de la newsletter et exercer ses droits RGPD quand il le souhaite

Si l'hôtel Terminus applique une durée de conservation de 3ans, il devra procéder à la

suppression ou à l'anonymisation des données personnelles de Mr Durand à partir de

janvier 2023



Le mise en œuvre de durées de conservation cohérentes et conformes est une étape importante dans la conformité RGPD de votre organisation.


C'est une bonne occasion, pour tout organisme, de faire le tri, supprimer les données inutiles pour ne conserver que des données personnelles utiles et exploitables!


Vous n'arrivez pas et vous avez besoin d'accompagnement pour finaliser votre Registre des Traitements : contactez-nous!


Nous vous proposons aussi des formations opérationelles afin de comprendre les règles d'or du RGPD mais surtout comment le mettre en oeuvre.



Les internautes ont aussi consulté dans le Blog:

Quelles sont les règles d'or du RGPD?

Quelles sont les obligations RGPD du sous-traitant?

Comment remplir le registre des traitements ?

Comment réaliser une analyse d impact relative à la protection des données (AIPD)

Votre logiciel d’emailing est-il conforme au RGPD ?

Comment mettre son site internet en conformité avec le RGPD?




Ressources utiles de la CNIL:


Guide pratique : la gestion des durées de conservation (CNIL) : https://www.cnil.fr/sites/default/files/atoms/files/guide_durees_de_conservation.pdf


Article : les durées de conservation des données : https://www.cnil.fr/fr/les-durees-de-conservation-des-donnees


Guide pratique : les durées de conservation : Elaboré en partenariat avec le Service interministériel des archives de France (SIAF) https://www.cnil.fr/sites/default/files/atoms/files/guide_durees_de_conservation.pdf



1 147 vues0 commentaire