
Pour se mettre en conformité avec le Règlement Général sur la Protection des Données (RGPD), la gestion des durées de conservation des données clients est un sujet incontournable de la protection des données personnelles (Art5 du RGPD et voir notre article "les règles d'or du RGPD").
Que dit le RGPD ?
Le RGPD ne fixe pas de durée de conservation spécifique pour les données personnelles.
La durée de conservation des données personnelles doit être déterminée en fonction de la finalité (l'objectif du traitement, par exemple "gérer la relation commerciale avec les clients") du traitement des données et des obligations légales applicables (par exemple vous devez conserver les factures clients pendant 6ans selon l'Article L102 B du livre des procédures fiscales).
Quelles mauvaises pratiques à éviter ?
De plus, avec la dématérialisation et l'augmentation des capacités de stockage des logiciels cloud, il est très facile de "tout conserver indéfiniment, au cas où ....". Nous entendons parfois chez les clients xDPO les mauvaises pratiques suivantes :
😱"je ne supprime rien dans mon CRM, au cas où mes commerciaux en aient besoin"
😱"je conserve tous mes mails ad-vitam : au cas où j'en ai besoin pour un vieux dossier"
😱"nous trions et supprimons les archives papiers mais pas les archives numériques"
😱"le dossier "éléments scannés" sur le réseau ? il n'est jamais vidé"
Quels sont les risques?
Les durées de conservation excessives (trop longues) et abusives (sans finalité) sont une raison majeure de sanctions financières prononcées par la CNIL (voir les statistiques sur leur site). Mais le risque majeur est la cyberattaque : si vous conservez des données qui ne sont pas utiles à votre organisation (absence de finalité), elles pourraient être utiles à des attaquants. Et vous êtes responsable de la collecte et de la protection de ces données (Article 32), en tant que responsable de traitement !
Où faut il chercher les données ?
Les données personnelles des clients sont gérées sur un grand nombre de supports, logiciels ou prestataires. La localisation des données est parfois évidente mais elles peuvent aussi être stockées sur des supports plus divers. Les règles d'utilisation des logiciels et des données doivent être décrites dans votre Charte Informatique (voir notre article sur le sujet).
En général, il faut gérer appliquer les durées de conservation sur les supports suivants :
Les logiciels métiers : les ERP, CRM, logiciels de paie, logiciels de facturation, logiciels de newsletter (voir ici comment s'assurer de la conformité de son logiciel de newsletter), sites internet regorgent de données clients et ont rarement de limite de stockage.
Les exports de logiciels métiers : vos utilisateurs peuvent effectuer des exports de vos logiciels cloud pour leur propre usage, un tri ou une opération spécifique. Ces exports sont souvent téléchargés sur le poste de travail, au format Excel ou csv, et de ce fait échappent à une gestion centralisée des durées de conservation.
Les boîtes emails : l'immense majorité des échanges professionnels se font par emails: une prise de commande, un support client, un contentieux ou les échanges avec son expert comptable ou avocat. Or il y a rarement des règles de gestion de l'ancienneté de sa boite mails et avec le développement de solutions cloud (Gmail ou Outlook365) la capacité de stockage est quasiment illimitée. Il convient donc de vider sa boîte de réception, ses éléments envoyés, ses éléments supprimés ainsi que les dossiers crées : chaque année pour les mails de plus de 3 ans.
Les sous-traitants de données personnelles : En effet si votre organisation a décidé d'une durée de conservation pour chaque traitement de données personnelles, il faut s'assurer que vos sous-traitants (un prestataire qui effectue la paie des salariés, un éditeur de logiciel cloud) appliquent ces consignes. Pour cela il faut s'assurer que les consignes ont bien été transmises par les opérationnels et qu'un contrat fixant les obligations du sous-traitant a bien été signé (voir notre article sur les obligations des sous-traitants en cliquant ici) .
Les dossiers papier : à ne pas négliger même si c'est le support le plus évident : l'armoire qui est devant votre bureau ou les archives qui sont dans vos locaux. Pour la gestion des durées de conservation l'avantage des dossiers papier est la place qu'elles occupent (si l'armoire déborde, il faut supprimer les anciens dossiers ... bref "faire du rangement") mais aussi parce que la fonction d'archiviste existe dans les grands organisations et dans les collectivités. N'hésitez pas à faire appel à ces spécialistes du classement, ils ont des références légales et sauront vous conseiller pour gérer vos archives.
Quelles sont les étapes à suivre pour gérer les durées de conservation des données personnelles?
Les quatre étapes à suivre sont les suivantes :

1️⃣Etape 1 : Définir le trio FINALITE / DUREE / BASE LEGALE
Un traitement de données personnelle doit être décrit par les informations suivantes :
la finalité : quel est votre objectif en traitant cette données?
la durée de conservation : combien de temps vous avez besoin de conserver les données personnelles pour cette finalité?
la base légale : quel est la raison juridique que vous retenez pour faire ce traitement de données? Plus d'info dans la base légale dans notre article notre article sur les règles d'or du RGPD.
Par exemple, si votre traitement de données concerne "la gestion des données des clients" :
la finalité est : gérer la relation client : facturation, SAV, relance des impayés, relances commerciales
la durée de conservation est : 3ans après la dernière commande
la base légale est : si le client a accepté des CGV : l'exécution d'un contrat
Le problème se pose lorsque le client n'achète plus : si un des trois critères (soit base légale, soit finalité, soit durée) n'est plus valable, vous devez redéfinir les trois critères.
Par exemple à l'issue des 3 ans dans l'exemple précédent, vous souhaitez néanmoins relancer les anciens clients. Le nouveau cadre RGPD sera:
Nouvelle finalité : relancer les anciens clients inactifs depuis plus de 3ans
Nouvelle base légale : l'intérêt légitime de votre organisation à les relancer.
Nouvelle durée de conservation : 1 an supplémentaire
Si le prospect ne réagit pas, ne clique pas sur vos emails, n'appelle pas le service client: le traitement "relance des anciens clients" n'a plus de finalité (relance de clients inactifs et non réceptif à nos relances depuis 1an?), plus de base légale (je ne peux pas justifier l'intérêt légitime de mon organisation de relancer de clients inactifs et non réceptifs à nos relances depuis 1an? De toute évidence l'intérêt légitime de mon organisation n'est pas le même que celui de mon ancien client puisqu'il ne réponds jamais) ni de durée de conservation (je ne peux pas justifier de relancer de clients inactifs et non réceptifs à nos relances ad vitam).
Si le traitement ne peut pas justifier de finalité, de base légale ou de durée de conservation : le traitement doit cesser: vous devez procéder à l'effacement ou l'anonymisation des données personnelles.
Et si le client achète à nouveau, on réactive le traitement "gestion des données des clients" avec la nouvelle finalité (gestion des données des clients), une nouvelle durée (3ans supplémentaire), une nouvelle base légale (contrat, CGV).
Une fois de plus le RGPD est une affaire de bon sens : si vous n'avez aucune raison de conserver des données personnelles, il faut les supprimer!
2️⃣Etape 2 : définir le point de départ de la conservation
Le point de départ de la conservation des données clients n'est pas déclenché tant que vous faites un traitement de données avec un objectif défini et que la relation avec la personne est active (client, usager, salarié ou agent).
fin de la relation active = début du compte à rebours
En effet vous pouvez conserver les données clients car vous les exploitez avec un objectif et une base légale (voir notre article sur les Règles d'or du RGPD).
On parle ici d'une base de données active : En pratique, les données clients seront alors facilement accessibles dans l’environnement de travail immédiat pour les services opérationnels qui sont en charge de ce traitement (ex : le service des ressources humaines pour les opérations de recrutement).
Le point de départ de la durée conservation démarre dès que la relation avec la personne n'est plus active : le salarié est parti de votre organisme, le client n'achète plus, le candidat n'est pas retenu, le prospect ne clique plus sur votre newsletter, l'adhérent de votre association n'a pas renouvelé son adhésion, ...
👉C'est cet évènement qui définit le point de départ de la durée de conservation.
🕓 Le compte à rebours démarre ...
3️⃣Etape 3 : s'engager sur une durée de conservation
Pour trouver des références juridiques, il existe des usages et des obligations légales (souvent liées au Code du Commerce ou du Travail), comme :
👉 5 ans pour les traitements de données personnelles liés aux ressources humaines
👉3 ans pour les traitements de données personnelles liés aux prospects et clients
👉 13 mois pour les cookies Google Analytics
Une durée de conservation peut être adaptée par chaque responsable de traitement si elle est justifiée. Par exemple, nous avons des clients dans le tourisme qui justifient une année de conservation des données clients supplémentaire à cause de la crise sanitaire et de la saison "morte" qu'elle a provoquée.
A partir d'une certaine durée d'inactivité, le personnel opérationnel du responsable de traitement doit sortir les données clients de la base active, le dossier est "clos".
Mais si vous avez encore un intérêt à conserver les données pour des objectifs administratifs, pour une obligation légale ou en prévision d'un éventuel contentieux, vous devez alors passer la donnée dans une base archivée.
👉La différence entre base active et base archivée est la facilité d'accès pour les opérationnels. En base active les opérationnels y accède facilement, en base archivée non : on ne peut pas consulter les pièces jointes à la fiche clients, on ne peut pas leur envoyer de newsletter, on ne peut pas saisir de nouvelles informations dans la fiche client , ...
Toutefois, les données personnelles conservées en archivage doivent répondre à quelques exigences :
- Sécurité : Un niveau de sécurité approprié au regard des risques et de la nature du traitement de données.
- Disponibilité : Pour répondre aux demandes de droit d'accès des personnes concernées.
- Confidentialité : Les données ne sont plus facilement accessibles dans l’environnement de travail immédiat pour les services opérationnels qui sont en charge du traitement (par exemple : le service commercial).
Attention car la durée citée précédemment (3 ou 5ans) comprend la base active ET la base archivée.
4️⃣️Etape 4 : agir à la fin de la durée
A la fin de cette durée, votre relation est inactive avec la personne (client ou salarié) depuis longtemps (cf ci-dessus, depuis 3 ou 5ans) et vous devez agir pour accompagner la fin du cycle de vie de la donnée.
Suppression ou anonymisation ?🧐
Vous avez deux possibilités (une autre si votre activité a une intérêt historique ou scientifique):
Suppression des données et de leurs sauvegardes
Anonymisation : la donnée ne permet plus d'identifier une personne physique
En raison de leur valeur et intérêt historique ou scientifique, certaines informations sont archivées de manière définitive et pérenne.
En image et par exemple pour l'exploitant d'un hôtel:

Mr Durand est un client de l'hôtel Terminus
Il est venu dans l'hôtel une seule une fois en janvier 2018.
Depuis cette date, l'hôtel Terminus lui envoie régulièrement des informations et des promotions par email
Son dernier clic sur la newsletter date de janvier 2020.
C'est la date du début de la conservation en base active.
L'hôtel peut le solliciter mais il peut se désinscrire de la newsletter et exercer ses droits RGPD quand il le souhaite
Si l'hôtel Terminus applique une durée de conservation de 3ans, il devra procéder à la suppression ou à l'anonymisation des données personnelles de Mr Durand à partir de janvier 2023
Le mise en œuvre de durées de conservation cohérentes et conformes est une étape importante dans la conformité RGPD de votre organisation.
C'est une bonne occasion, pour tout organisme, de faire le tri, supprimer les données inutiles pour ne conserver que des données personnelles utiles et exploitables!
Les internautes ont aussi consulté :
Comment savoir si un mail frauduleux est une arnaque ou pas ?
Comment choisir sa plateforme de gestion du consentement (CMP)?
Comment réaliser une analyse d impact relative à la protection des données (AIPD)
Comment répondre à une demande d'exercice de droit d'accès RGPD?
Comment mettre son site internet en conformité avec le RGPD?
Ressources utiles de la CNIL:
Guide pratique : la gestion des durées de conservation (CNIL) : https://www.cnil.fr/sites/default/files/atoms/files/guide_durees_de_conservation.pdf
Article : les durées de conservation des données : https://www.cnil.fr/fr/les-durees-de-conservation-des-donnees
Guide pratique : les durées de conservation : Elaboré en partenariat avec le Service interministériel des archives de France (SIAF) https://www.cnil.fr/sites/default/files/atoms/files/guide_durees_de_conservation.pdf
LeadForge : Votre Expert en Marketing Digital 🚀
LeadForge marketing digital est une agence de marketing digital dédiée à aider les entreprises à augmenter leur visibilité en ligne, attirer des leads qualifiés et maximiser leur retour sur investissement (ROI) grâce à des stratégies digitales sur mesure.
💡 Services de LeadForge en Marketing Digital
🔹 Génération de Leads Qualifiés
LeadForge met en place des campagnes publicitaires ciblées et des stratégies de marketing digital pour générer des leads qualifiés. Grâce à une approche personnalisée, l'agence permet à ses clients d'atteindre les bonnes audiences au bon moment.
📌 Outils utilisés : ✔ Publicité en ligne (Google Ads, Facebook Ads, LinkedIn Ads)✔ Email marketing et automation✔ Content marketing pour attirer les prospects
💡 Exemple : Une entreprise de services B2B…
L’Élégance Intemporelle des Perles avec Chez Perle Éternelle
Depuis des siècles, les perles sont synonymes d’élégance, de raffinement et de pureté. Chez Perle Éternelle, nous célébrons cette beauté intemporelle en créant des bijoux qui subliment chaque instant de votre vie. Nos créations sont conçues avec passion et exigence, afin d’offrir des pièces uniques qui illuminent votre style avec grâce et distinction.
✨ Chez Perle Éternelle, chaque perle raconte une histoire, la vôtre. ✨
Vous souhaitez en savoir plus sur nos collections ? voir les perles et laissez-vous inspirer par la beauté intemporelle des perles. 💎
Les Perles : Un Héritage de Beauté et de Raffinement
Symbole de féminité et d’élégance, la perle traverse les âges sans jamais perdre de sa splendeur. Son…
Nous sommes ravis de vous partager quelques liens vers des sites fascinants et utiles. Découvrez des trésors anciens sur https://real-old-money.com, explorez des robes élégantes comme celles sur https://robevertsauge.com et https://robevertdeau.com. Pour les amateurs de décoration et de rideaux de douche, parcourez les collections de https://zaves-na-sprchu.shop, https://badeforhaenge.shop, https://duschvorhaenge.shop, et https://showercurtain-boutique.shop.
Si vous aimez le design, vous trouverez votre bonheur sur https://showercurtain-design.shop, https://showercurtain-pro.shop, et https://bathroom-curtains.shop. Découvrez également https://showercurtains-boutique.shop, ou laissez-vous séduire par des styles uniques avec https://cortina-de-bano.shop, https://zavjesa-za-tus.shop, et https://suihkuverhot.shop.
Les amoureux du style trouveront de quoi réinventer leur salle de bain avec https://zuhanyfuggony.shop, https://tende-bagno.shop, ou encore https://douchegordijnen.shop. Pour des designs modernes, visitez https://dusjforheng-design.shop, https://zaslonki-prysznicowe.shop, et https://duschdraperi.shop. Enfin, explorez des options uniques avec https://dus-perdesi.shop et https://corsetto.shop.
https://biolabshop.fr/ est une boutique en ligne spécialisée dans la fourniture de suppléments de haute qualité, notamment des peptides, des SARMs, des acides aminés, des nootropiques et des adaptogènes. Leur objectif est de proposer des produits rigoureusement testés, garantissant ainsi sécurité et efficacité aux consommateurs.
Large gamme de produits
Biolabshop offre une vaste sélection de produits adaptés aux besoins variés de sa clientèle :
- Peptides : Des composés organiques qui peuvent accélérer la croissance musculaire, réduire la masse grasse, faciliter la régénération, améliorer le sommeil et renforcer le système immunitaire.
- SARMs (Modulateurs Sélectifs des Récepteurs Androgéniques) : Des composés non stéroïdiens conçus pour stimuler la croissance de la masse musculaire maigre, soutenir la réduction de la graisse corporelle et améliorer la densité…
Dogecoin Mining: How to Get Started
Dogecoin (DOGE), initially created as a joke cryptocurrency, has grown into one of the most popular digital assets, thanks to its vibrant community and real-world use cases. Mining Dogecoin can be a fun and potentially rewarding way to acquire DOGE. In this guide, we'll explore what Dogecoin mining is, how it works, the hardware and software you need, and tips for maximizing your mining efforts.
What is Dogecoin Mining?
Dogecoin mining is the process of validating transactions on the Dogecoin blockchain and adding them to the public ledger, known as the blockchain. This process uses a proof-of-work (PoW) mechanism, where miners solve complex mathematical puzzles to confirm transactions and secure the network.
Miners are rewarded…