Principe de temporalité RGPD

Le principe de temporalité — ou principe de limitation de la conservation — est l’un des six principes fondamentaux du RGPD. Il interdit de conserver des données personnelles indéfiniment : passé un certain délai, les données doivent être supprimées ou anonymisées. C’est aussi l’un des manquements les plus fréquemment sanctionnés par la CNIL, et celui sur lequel les organisations sont le plus souvent prises en défaut.

 

Le cadre juridique du principe de temporalité

De la loi de 1978 au RGPD

Le principe de temporalité figurait déjà à l’article 6-5° de la loi informatique et libertés de 1978, qui imposait que les données soient « conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».

Le RGPD reprend ce principe à l’article 5(1)(e), avec une formulation quasi identique : les données doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». Le texte ajoute une exception pour les traitements à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques — sous réserve des garanties appropriées (Art. 89(1)).

L’apport majeur du RGPD réside moins dans la formulation du principe lui-même que dans le cadre d’enforcement qui l’entoure : le principe d’accountability (Art. 5(2)) impose désormais au responsable de traitement de démontrer que les durées de conservation sont définies et respectées. La charge de la preuve a basculé.

L’articulation avec la finalité

Le principe de temporalité est indissociable du principe de finalité. C’est la finalité du traitement qui détermine la durée de conservation : une fois l’objectif atteint, la conservation des données n’a plus de base juridique. La durée de conservation n’est pas un paramètre autonome — elle découle directement de la raison pour laquelle les données ont été collectées.

Cette articulation a une conséquence pratique importante : si la finalité d’un traitement évolue, la durée de conservation doit être réévaluée. Des données collectées pour une campagne marketing ponctuelle ne peuvent pas être conservées indéfiniment au motif qu’elles « pourraient servir » pour une future campagne.

Les trois phases de conservation

La CNIL a développé une doctrine distinguant trois phases de conservation des données, désormais largement reprise par les praticiens :

La base active

C’est la phase opérationnelle pendant laquelle les données sont utilisées couramment pour atteindre la finalité du traitement. Les données sont accessibles aux services opérationnels dans le cadre de leurs fonctions habituelles. Par exemple, les données d’un client sont en base active pendant toute la durée de la relation commerciale.

L’archivage intermédiaire

Une fois la finalité atteinte, certaines données peuvent encore présenter un intérêt administratif ou doivent être conservées pour répondre à une obligation légale. C’est le cas, typiquement, des factures (conservées 10 ans au titre de l’obligation comptable) ou des données nécessaires en cas de contentieux (conservées le temps de la prescription applicable).

Durant cette phase, les données ne sont plus en accès courant. Elles doivent être séparées de la base active, avec un accès restreint aux seules personnes habilitées (service juridique, direction financière). C’est un point que les organisations négligent souvent : les données archivées restent dans la même base que les données actives, accessibles à tous les opérationnels.

L’archivage définitif

Certaines données peuvent être conservées sans limitation de durée lorsqu’elles présentent un intérêt public — historique, scientifique ou statistique. Cette conservation relève des dispositions du Code du patrimoine (Art. L. 211-1 et suivants) et doit être assortie de garanties appropriées, notamment l’anonymisation ou la pseudonymisation.

En pratique, l’archivage définitif concerne principalement les services publics et les organismes de recherche. Pour les entreprises privées, les situations justifiant un archivage définitif sont exceptionnelles.

Comment déterminer les durées de conservation

Le RGPD ne fixe pas de durées de conservation précises — c’est au responsable de traitement de les déterminer. Ce choix est l’un des exercices les plus délicats de la conformité RGPD.

Les référentiels disponibles

Plusieurs sources permettent d’orienter cette détermination :

Les obligations légales. Certains textes imposent des durées précises : conservation des bulletins de paie (5 ans, Art. L. 3243-4 du Code du travail), des pièces comptables (10 ans, Art. L. 123-22 du Code de commerce), des données de connexion par les opérateurs (1 an, Art. R. 10-13 du CPCE).

Les délibérations de la CNIL. La CNIL a publié des référentiels sectoriels précisant les durées recommandées pour les traitements les plus courants : gestion des clients et prospects, gestion de la paie, vidéosurveillance, etc.

Les délais de prescription. En l’absence de texte spécifique, les délais de prescription constituent un indicateur pertinent : 5 ans pour les obligations civiles (Art. 2224 du Code civil), 3 ans pour les créances salariales, 10 ans pour les dommages corporels.

Pour une analyse détaillée par secteur, consultez notre guide sur les durées de conservation des données personnelles.

La documentation dans le registre

Chaque durée de conservation choisie doit être inscrite dans le registre des activités de traitement conformément à l’article 30(1)(f) du RGPD. Il est recommandé de documenter non seulement la durée retenue, mais aussi la justification de ce choix — texte de loi, délibération CNIL, ou raisonnement fondé sur la finalité du traitement. Cette documentation est un élément central de l’accountability en cas de contrôle.

Les sanctions : un risque pénal et administratif

Les sanctions pénales

Le droit français maintient des sanctions pénales spécifiques pour la conservation excessive de données. L’article 226-20 du Code pénal sanctionne « le fait de conserver des données à caractère personnel au-delà de la durée prévue » de cinq ans d’emprisonnement et 300 000 euros d’amende. L’amende est portée à 1 500 000 euros lorsque l’auteur est une personne morale.

L’infraction est d’une simplicité redoutable dans sa caractérisation : le seul fait de conserver une donnée au-delà du délai déclaré suffit à constituer le délit. Nul besoin de démontrer un préjudice ou une intention malveillante. La Cour d’appel de Paris a condamné sur ce fondement un responsable de traitement pour avoir conservé en mémoire des données au-delà de la durée initialement prévue (CA Paris, 11e ch., 15 février 1994).

Les sanctions administratives de la CNIL

Les manquements aux durées de conservation figurent parmi les constats les plus récurrents dans les décisions de la CNIL. Quelques exemples significatifs :

Criteo — 40 millions d’euros (2023). Parmi les manquements retenus, la CNIL relevait la conservation de données de navigation et de profilage au-delà des durées nécessaires, sans politique de purge effective.

Free Mobile — 300 000 euros (2022). La CNIL a constaté la conservation de données de clients résiliés bien au-delà des durées justifiées par les finalités du traitement, sans qu’aucun mécanisme de purge automatique n’ait été mis en place.

Carrefour — 2,25 millions d’euros (2020). La CNIL a sanctionné Carrefour France et Carrefour Banque pour conservation excessive des données de plus de 28 millions de clients inactifs du programme de fidélité, certains depuis plus de 5 ans.

Ce que ces décisions ont en commun : l’absence de politique de purge systématique. Il ne suffit pas de définir une durée de conservation — encore faut-il mettre en place les mécanismes techniques pour l’appliquer effectivement.

Mise en conformité : les étapes essentielles

Dans mon expérience de conseil auprès d’organisations de toutes tailles, la mise en conformité avec le principe de temporalité suit généralement quatre étapes :

1. Cartographier les durées

Pour chaque traitement inscrit au registre, définir la durée de conservation applicable en distinguant les trois phases (base active, archivage intermédiaire, archivage définitif le cas échéant). Documenter la justification juridique de chaque durée.

2. Auditer l’existant

Vérifier l’âge effectif des données stockées. C’est souvent à cette étape que les organisations découvrent des données conservées depuis 10 ou 15 ans sans aucune justification. Les systèmes d’information anciens sont particulièrement concernés : les bases de données s’accumulent sans que personne n’ait prévu leur purge.

3. Implémenter les mécanismes de purge

Mettre en place des procédures automatisées de suppression ou d’anonymisation à l’expiration des durées définies. Les purges manuelles sont insuffisantes : elles dépendent de la vigilance humaine et sont systématiquement oubliées. Il est recommandé de prévoir des alertes automatiques avant l’échéance et des processus de validation pour les cas nécessitant un arbitrage.

4. Contractualiser avec les sous-traitants

Les sous-traitants au sens de l’article 28 du RGPD doivent appliquer les mêmes durées de conservation. Le contrat de sous-traitance doit prévoir explicitement le sort des données à l’issue de la prestation : restitution et/ou suppression. C’est un point fréquemment négligé, notamment avec les prestataires SaaS qui conservent parfois les données bien au-delà de la fin du contrat.

Le lien avec le droit à l’effacement

Le principe de temporalité ne doit pas être confondu avec le droit à l’oubli (Art. 17 RGPD), même si les deux concepts sont liés. Le principe de temporalité est une obligation qui s’impose au responsable de traitement indépendamment de toute demande : il doit supprimer les données de sa propre initiative à l’expiration de la durée définie. Le droit à l’effacement, en revanche, est un droit exercé par la personne concernée, qui peut demander la suppression de ses données avant même l’expiration de la durée prévue, sous certaines conditions.

En pratique, une politique de conservation bien conçue réduit mécaniquement le nombre de demandes d’effacement : si les données sont supprimées dans les délais, les personnes concernées n’ont pas besoin de le demander.

Ce qu’il faut retenir

• Le RGPD (Art. 5(1)(e)) interdit de conserver des données personnelles au-delà de la durée nécessaire à la finalité du traitement — c’est le principe de limitation de la conservation
• La durée de conservation n’est pas fixée par le RGPD lui-même : c’est au responsable de traitement de la déterminer et de la justifier, en s’appuyant sur les obligations légales, les référentiels CNIL et les délais de prescription
• La CNIL distingue trois phases de conservation : base active, archivage intermédiaire et archivage définitif — chacune avec des règles d’accès distinctes
• La conservation excessive est sanctionnée pénalement (5 ans d’emprisonnement, 300 000 euros d’amende) et administrativement (amendes CNIL pouvant atteindre des millions d’euros)
• La mise en conformité exige des mécanismes de purge automatisés : les procédures manuelles sont systématiquement défaillantes

FAQ

Quelle est la durée maximale de conservation des données personnelles ?

Il n’existe pas de durée maximale universelle. Le RGPD impose que la durée soit proportionnée à la finalité du traitement. En pratique, les durées varient considérablement selon les cas : 13 mois pour les cookies (recommandation CNIL), 3 ans pour les données de prospects inactifs, 5 ans pour les données contractuelles après la fin de la relation, 10 ans pour les pièces comptables. Chaque traitement doit faire l’objet d’une analyse spécifique.

Peut-on conserver des données si le client est inactif depuis longtemps ?

Non, l’inactivité prolongée d’un client est précisément un signal que les données ne sont plus nécessaires au regard de la finalité initiale. La CNIL a sanctionné Carrefour à hauteur de 2,25 millions d’euros pour la conservation de données de millions de clients inactifs du programme de fidélité. La recommandation générale est de supprimer ou anonymiser les données des clients inactifs depuis plus de 3 ans, sauf obligation légale justifiant une conservation plus longue.

Comment gérer les durées de conservation dans les contrats de sous-traitance ?

L’article 28(3)(g) du RGPD impose que le contrat de sous-traitance prévoie le sort des données à l’issue de la prestation. Le sous-traitant doit, au choix du responsable de traitement, supprimer ou restituer l’ensemble des données à la fin du contrat, puis détruire ses copies. Il est recommandé de prévoir des audits de suppression et d’exiger une attestation de destruction effective.

Le principe de temporalité s’applique-t-il aux sauvegardes ?

Oui. Les données présentes dans les sauvegardes sont des données personnelles au même titre que celles en base active. Les mécanismes de purge doivent s’étendre aux systèmes de sauvegarde, ce qui constitue un défi technique réel. En pratique, la CNIL admet que la purge des sauvegardes puisse intervenir lors du cycle normal de rotation des sauvegardes, à condition que ce cycle soit documenté et raisonnable.

Lire la suite : Le consentement au traitement

Le plan de l'article :

- Les principes essentiels
- Le principe de loyauté
- Le principe de finalité
- Le principe de proportionnalité
- L'exactitude des données
- Le principe de temporalité
- Le consentement au traitement