Aller au contenu principal
Conformité Guide pratique PME

Définir des durées de conservation des données

Avez-vous défini des durées de conservation pour chaque catégorie de données personnelles ?

En bref — ce que vous devez retenir

Le RGPD interdit de conserver des données personnelles plus longtemps que nécessaire. Définir des durées de conservation par catégorie de données est une obligation légale, et automatiser leur suppression est une bonne pratique qui réduit aussi vos risques en cas de fuite.

? Nature du problème

La durée de conservation (ou de rétention) doit être définie pour chaque catégorie de données et mentionnée dans votre registre des traitements et politique de confidentialité. Conserver des données inutiles est un risque : plus vous avez de données, plus l'impact d'une fuite est important.

Les durées légales varient selon le type de données : données comptables (10 ans), données de paie (5 ans), données clients inactifs (3 ans maximum pour la prospection), données de candidature (2 ans maximum), cookies (13 mois).

Comment corriger — étape par étape

  1. Pour chaque catégorie de données de votre registre, définissez une durée de conservation basée sur la finalité et les obligations légales
  2. Référez-vous au référentiel des durées de conservation CNIL (disponible sur cnil.fr)
  3. Mettez en place une procédure de suppression ou anonymisation automatique à l'expiration du délai (paramétrez votre CRM, votre base de données, votre logiciel RH)
  4. Pour les données archivées (obligations légales), stockez-les dans un espace séparé avec accès restreint
  5. Documentez les durées dans votre registre des traitements et votre politique de confidentialité
  6. Auditez annuellement les données conservées et supprimez celles qui dépassent leur durée de vie

! Incidents réels

Agence de recrutement — Paris, 2023

Contrôle CNIL révélant que des CV de candidats non retenus étaient conservés depuis 8 ans sans limitation. Obligation légale : 2 ans maximum. Amende de 25 000 € et obligation de purger les données excédentaires.

Responsable données — startup, Lyon, 2022

"On conservait toutes les données clients depuis la création de l'entreprise par peur de perdre des informations utiles. En faisant l'inventaire, on a supprimé 40 % de notre base — des contacts inactifs depuis plus de 5 ans. Notre exposition en cas de fuite a diminué de moitié."

Votre entreprise est-elle vraiment protégée ?

Obtenez votre score cybersécurité en 25 minutes et un plan d'action concret.

Démarrer mon diagnostic →