Trop d’entreprises se contentent d’archiver des données « au cas où ». Mauvais réflexe. Aujourd’hui, une politique de rétention des données claire, documentée et actionnable, c’est le bouclier qui protège votre conformité RGPD… et votre crédibilité.
Mais par où commencer ? Comment éviter les erreurs fréquentes et rester dans les clous du RGPD sans y passer des semaines ?
On vous dit tout. Et mieux encore : on vous donne un modèle prêt à l’emploi.
Rétention des données : de quoi parle-t-on (vraiment) ?
Conserver, oui. Mais pas n’importe comment ni n’importe quoi, ni n’importe quand.
Une politique de rétention des données est une feuille de route interne qui encadre :
- Les types de données collectées (clients, salariés, prospects, logs…),
- Leur durée de vie en fonction de leur usage et des obligations légales,
- Leur mode de stockage (où, comment, avec quelles sécurités),
- Et leur fin de cycle : suppression, anonymisation ou archivage.
C’est un pilier de votre gouvernance data. Pourquoi ? Parce qu’elle vous permet de prouver que vous ne stockez pas plus longtemps que nécessaire, de réduire les risques de fuite et de démontrer votre conformité en cas de contrôle.
⚠️ Petit rappel qui peut éviter de gros problèmes : l’article 13 du RGPD impose de divulguer ces durées dans votre politique de confidentialité. Ne rien faire, c’est s’exposer.
Ce que dit (vraiment) le RGPD sur la durée de conservation
Pas de flou juridique ici : le RGPD encadre strictement combien de temps vous avez le droit de conserver les données personnelles. Ignorer ce cadre, c’est prendre un risque inutile.
Voici les trois principes clés que toute politique de rétention doit intégrer :
1. Finalité limitée
Chaque traitement de données doit avoir une finalité claire, précise et légitime. Vous collectez une donnée pour une raison donnée – point final. La réutiliser à d’autres fins (ex. : utiliser un e-mail client pour du recrutement) sans consentement explicite ? C’est non.
Exemple : un email collecté pour une commande ne peut pas être utilisé pour de la prospection, sauf accord.
2. Durée proportionnée
Vous ne devez conserver les données que le temps strictement nécessaire à la finalité annoncée. Pas plus. Pas “au cas où”. Et ça doit être justifié.
Voici des durées typiques :
- Données de facturation : 10 ans (obligation légale)
- Données de candidature non retenue : 2 ans max
- Données de navigation (cookies analytiques) : 13 mois
Et si la loi n’impose rien ? À vous de fixer une durée raisonnable et défendable. La CNIL conseille toujours de documenter votre logique.
3. Suppression ou anonymisation obligatoire
Une fois la durée dépassée, vous avez l’obligation de détruire, supprimer ou anonymiser les données.
La suppression est évidente, mais l’anonymisation peut être utile pour conserver des stats ou des historiques sans garder de données personnelles. Attention : une donnée “pseudo-anonymisée” reste une donnée personnelle si on peut identifier la personne indirectement.
Bon réflexe : intégrer une suppression automatique dans vos outils métiers (CRM, ATS, stockage fichiers…).
Comment construire votre politique de rétention (étape par étape)
Mettre en place une politique de rétention ne se fait pas en un clic, mais ce n’est pas non plus une usine à gaz. Voici le plan d’action en 5 étapes pour poser des bases solides et conformes :
Étape 1 : Recensez tous vos traitements
Commencez par dresser l’inventaire complet des données que vous collectez et traitez :
- Données RH (CV, bulletins de paie, évaluations),
- Données clients (factures, contrats, historiques d’achat),
- Données marketing (leads, consentements),
- Logs techniques (accès serveurs, emails envoyés),
- Données issues d’outils tiers (CRM, ERP, analytics…).
💡 Objectif : ne rien oublier. Même une donnée oubliée peut devenir un risque de non-conformité.
Étape 2 : Attribuez une durée à chaque finalité
Chaque traitement = une durée de conservation claire, justifiée et documentée.
Exemples types :
- Factures clients : 10 ans (conservation comptable obligatoire),
- Leads inactifs : 3 ans max après dernier contact (recommandation CNIL),
- Candidats non retenus : 2 ans (sauf opposition),
- Logs de sécurité : 6 mois (sauf besoin particulier documenté).
Astuce : si vous hésitez, partez de la finalité, regardez les délais légaux applicables, puis réduisez au strict nécessaire.
Étape 3 : Définissez les modalités de fin de cycle
Quand la durée est atteinte, vous devez agir. Trois options :
- Suppression automatique : la plus simple si intégrée dans vos outils,
- Anonymisation irréversible : pour garder des statistiques sans risques,
- Archivage sécurisé : utile pour les obligations légales à long terme.
🛡️ Conseil : documentez le mode choisi dans votre registre. C’est ce que les autorités vous demanderont en cas de contrôle.
Étape 4 : Mettez à jour votre registre de traitement
Le registre des traitements est votre carte de conformité RGPD. Il doit indiquer :
- Les types de données collectées,
- Les finalités du traitement,
- Les durées de conservation prévues,
- Les modalités de suppression ou d’anonymisation.
📌 Le registre doit être à jour, cohérent avec votre politique de confidentialité… et prêt à être présenté à la CNIL.
Étape 5 : Formez et impliquez vos équipes
Le DPO ne peut pas tout faire seul.
💬 Les RH doivent savoir quoi faire d’un ancien CV.
📈 Le marketing doit connaître les limites de stockage des leads.
🧑💻 Les IT doivent automatiser la purge des logs.
Une courte formation, une fiche réflexe par service et des rappels réguliers suffisent souvent à faire toute la différence.
Les erreurs à éviter (que 80 % des entreprises commettent)
Vous avez une politique de conservation ? Bravo. Mais attention : c’est souvent dans les détails que les entreprises se font épingler. Voici les pièges à éviter absolument :
Conserver “au cas où”
C’est l’excuse la plus répandue et la moins défendable.
Le RGPD exige une finalité claire et documentée pour chaque donnée. « On ne sait jamais » n’est ni une finalité, ni une défense valable face à la CNIL. Résultat : vous stockez plus, vous exposez plus.
⚠️ Plus de données = plus de risques (fuite, vol, erreur humaine).
Oublier de planifier la suppression
Collecter, c’est facile. Supprimer au bon moment, c’est ce qui prouve votre conformité.
Sans plan clair (automatisé ou manuel), les données s’accumulent… et deviennent invisibles jusqu’au jour où elles posent problème.
Un oubli de suppression, c’est une non-conformité latente et une fuite potentielle.
Appliquer une durée unique pour tous les traitements
Certaines entreprises fixent une durée générique (ex. : 5 ans pour tout). C’est simple, mais… illégal.
Chaque donnée doit avoir une durée adaptée à sa finalité. Un cookie publicitaire ≠ un contrat client ≠ un CV.
C’est la logique métier + la base légale qui dictent la durée pas la facilité.
Cas concrets de durée de conservation (et pourquoi)
| Activité | Donnée | Durée recommandée | Justification |
|---|---|---|---|
| Recrutement | CV non retenu | 2 ans | Délai pour contester un refus |
| E-commerce | Données client | 5 ans après dernière commande | Prescription commerciale |
| Web Analytics | Cookies comportementaux | 13 mois | Recommandation CNIL |
| Logs serveur | Adresse IP | 6 mois | Sécurité informatique |
FAQ – Vos questions pointues sur la politique de rétention des données
Quelle est la différence entre archivage légal, conservation et rétention ?
Très souvent confondues, ces notions ont pourtant des implications juridiques distinctes :
- Conservation : phase active — les données sont accessibles car encore utiles au traitement.
- Rétention : phase passive — les données ne sont plus utilisées mais doivent être conservées pour des raisons légales ou contractuelles.
- Archivage légal : obligation formelle de garder une copie (souvent inaltérable) pendant une période définie par la loi, avec conditions de sécurité strictes (intégrité, traçabilité).
Bon à savoir : les règles d’archivage dépendent du type de document (factures, contrats, bulletins de paie…) et de la législation sectorielle.
Peut-on externaliser la gestion de la rétention des données ?
Oui, mais avec des précautions contractuelles solides.
Les sous-traitants (hébergeur, éditeur SaaS, ESN…) doivent :
- Être explicitement encadrés dans un contrat (article 28 RGPD),
- Respecter vos délais de conservation,
- Être en capacité de supprimer ou anonymiser les données à votre demande,
- Et garantir la traçabilité de toutes les opérations de traitement.
Conseil : exigez des logs de suppression ou des certificats de purge en fin de contrat ou de traitement.
Quelle est la responsabilité en cas de durée de conservation excessive chez un sous-traitant ?
Vous restez pleinement responsable en tant que responsable de traitement.
Si votre sous-traitant conserve des données au-delà des durées prévues, sans justification légale, vous êtes en tort — même si c’est lui qui a fauté.
En cas de contrôle ou de litige, vous devrez prouver :
- Que vous avez donné des instructions claires,
- Que vous avez mis en place un contrôle,
- Et que vous avez agi pour corriger rapidement la non-conformité.
Que dit l’ISO 27001 sur la rétention des données ?
L’ISO 27001 norme de référence en sécurité de l’information n’impose pas de durées précises, mais exige :
- Une politique formalisée de conservation et de suppression,
- Un processus de gestion du cycle de vie des actifs informationnels,
- Et des mesures de protection des données pendant toute leur durée de rétention.
Intégrer l’ISO 27001 à votre politique de rétention, c’est renforcer votre posture sécurité… et rassurer vos clients exigeants (banques, secteur public, etc.).
