Rechercher
  • xdpo

RGPD : quelle durée de conservation des données?

Dernière mise à jour : 2 juin


La gestion des durées de conservation des données est un sujet incontournable de la protection des données personnelles (Art5 du RGPD):


Vous devez conserver les données avec un objectif particulier (la "finalité") et pour une durée cohérente avec cet objectif.


A l'inverse, vous ne pouvez pas "conserver les données ad-vitam, au cas où ..." (certains clients xDPO se reconnaîtront !)

Mais nos clients se posent toujours deux questions pratiques: quelle durée choisir et comment la calculer?


1️⃣ Quelle durée de conservation choisir ?


Le RGPD ne précise pas de durée légale, la durée de conservation doit être adaptée à l'objectif du traitement (la finalité) : pour les données de nos clients par exemple, combien de temps pouvons nous conserver les coordonnées de clients inactifs, qui n'ont pas racheté nos produits, qui ne cliquent pas sur nos newsletters et ne nous appellent jamais?


Pour vous aider, il existe des usages et des obligations légales (souvent liées au Code du Commerce ou du Travail), comme :

👉 5 ans pour les données liées aux ressources humaines

👉3 ans pour les données liées aux prospects et clients


Au delà du RGPD, quel est l'intérêt de conserver des données de clients avec qui nous n'avons aucun contact depuis 10ans? Le RGPD est aussi une question de bon sens!


Une durée de conservation peut être adaptée par chaque responsable de traitement si elle est justifiée. Par exemple nous avons des clients dans le tourisme qui justifient une année de conservation supplémentaire à cause de la crise sanitaire et de la saison "morte" qu'elle a provoqué.


2️⃣ Comment calculer une durée de conservation?


Il faut distinguer trois étapes dans la vie de la donnée:

  • La base active

Pour les données liées aux clients, elles sont exploitées dans cette base à partir du moment où la relation commerciale commence (un clic sur une newsletter, une commande, un appel). C'est le fait générateur


Du moment que le client est actif, le délai de conservation ne court pas. Mais dès que la relation commerciale entre vous et le client cesse, le début du délai de conservation démarre.

👉C'est à partir de cette date que la durée de conservation s'applique.

👉 Le compte à rebours démarre ...


  • La base archivée

A partir d'une certaine durée d'inactivité vos services doivent sortir les données de la base active, le dossier est "clos", mais vous avez encore un intérêt à conserver les données pour des objectifs administratifs, pour une obligation légale ou en prévision d'un éventuel contentieux.


Toutefois, les données archivées doivent répondre à quelques exigences :

- Sécurité : Un niveau de sécurité approprié au regard des risques et de la nature des données,

- Disponibilité : Pour répondre aux demandes de droit d'accès des personnes concernées

- Confidentialité : Les données ne sont plus facilement accessibles dans l’environnement de travail immédiat pour les services opérationnels qui sont en charge du traitement (ex : le service commercial).


  • La fin de vie de la donnée personnelle

A l'issue de la période en base archivée vous devrez soit détruire les données soit les anonymiser (on conserve une fiche client anonyme mais on ne peut plus identifier la personne). Dans certains cas (obligation légale, recherche scientifique) vous pouvez procéder à un archivage définitif.



Par exemple:



Mr Durand est un client de l'hôtel Terminus

Il est venu dans l'hôtel une seule une fois en janvier 2018.

Depuis cette date, l'hôtel Terminus lui envoie régulièrement des informations et des promotions par email

Son dernier clic sur la newsletter date de janvier 2020.

C'est la date du début de la conservation en base active.

L'hôtel peut le solliciter mais il peut se désinscrire de la newsletter et exercer ses droits RGPD quand il le souhaite

Si l'hôtel Terminus applique une durée de conservation de 3ans, il devra détruire ou

anonymiser les données de Mr Durand à partir de janvier 2023


Le mise en œuvre de durées de conservation cohérentes et conformes est une étape importante dans la conformité RGPD de votre organisation.


C'est une bonne occasion de faire le tri pour ne conserver que des données utiles et exploitables!


Vous n'arrivez pas à avez besoin d'accompagnement pour finaliser votre Registre des Traitements : contactez nous!



Ressources utiles de la CNIL:


Guide pratique : la gestion des durées de conservation (CNIL) : https://www.cnil.fr/sites/default/files/atoms/files/guide_durees_de_conservation.pdf


Article : les durées de conservation des données : https://www.cnil.fr/fr/les-durees-de-conservation-des-donnees


Guide pratique : les durées de conservation : Elaboré en partenariat avec le Service interministériel des archives de France (SIAF) https://www.cnil.fr/sites/default/files/atoms/files/guide_durees_de_conservation.pdf



471 vues0 commentaire

Posts récents

Voir tout