Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 10 juillet 2026
RGPD

Durées de conservation RGPD 2026 : tableau + méthode

Tableau des durées de conservation RGPD par catégorie de données, méthode pour les justifier, cycle de vie et purge : le guide pratique 2026.

L’essentiel. Le RGPD interdit de conserver des données personnelles indéfiniment : elles ne doivent l’être que « pendant une durée n’excédant pas celle nécessaire » aux finalités (art. 5.1.e). Concrètement, vous définissez pour chaque traitement une durée en base active, puis une phase d’archivage intermédiaire lorsque la loi l’impose (paie 5 ans, factures 10 ans…), avant suppression ou anonymisation. Ce guide fournit le tableau des durées les plus courantes, la méthode pour les justifier et un plan d’action pour purger sans risque.

La conservation des données est l’un des manquements les plus fréquemment relevés par la CNIL lors de ses contrôles — et l’un des plus faciles à corriger. Trop d’organisations gardent tout « au cas où », accumulant des bases obèses qui, le jour d’une fuite, aggravent mécaniquement l’ampleur du sinistre. À l’inverse, une politique de conservation claire réduit votre surface de risque, allège vos coûts de stockage et simplifie la réponse aux droits des personnes.

Ce guide décortique le principe de limitation de la conservation, le cycle de vie de la donnée (base active → archivage intermédiaire → suppression/anonymisation), la méthode pour fixer des durées défendables, un tableau de référence par catégorie de données, et un plan d’action opérationnel. Il intègre la doctrine actualisée de la CNIL, notamment sur la notion de « dernier contact » en prospection.

Le principe de limitation de la conservation (art. 5.1.e)

L’article 5.1.e du RGPD pose que les données doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». C’est une déclinaison directe du principe de temporalité : une donnée n’a pas vocation à exister éternellement, mais seulement le temps de servir l’objectif qui a justifié sa collecte.

Ce principe s’articule avec deux autres piliers du règlement. D’abord la minimisation des données : on ne collecte que le nécessaire. Ensuite la proportionnalité : la durée retenue doit être cohérente avec la finalité poursuivie, ni trop courte (au point de ne plus pouvoir remplir l’obligation), ni trop longue.

La détermination des durées incombe au responsable de traitement. C’est à lui qu’il revient de fixer, justifier et documenter chaque période, en s’appuyant sur trois sources hiérarchisées : les obligations légales, les recommandations sectorielles de la CNIL, et, à défaut, une analyse de sa propre finalité. Cette responsabilité ne se délègue pas : même lorsqu’un sous-traitant exécute le stockage, c’est le responsable qui fixe la durée et l’impose contractuellement via l’article 28.

Le coût de la sur-conservation dépasse largement l’amende. La CNIL a sanctionné plusieurs organismes — dont Infogreffe — pour une conservation excessive de données, et ses rapports d’activité placent régulièrement ce manquement parmi les plus fréquents. Mais garder trop de données, c’est aussi : augmenter l’impact d’une violation, alourdir les coûts de stockage et de sécurisation, et compliquer chaque réponse à une demande d’accès ou d’opposition.

Le cycle de vie de la donnée : trois phases

La CNIL structure la conservation en trois phases successives. Comprendre cette mécanique est indispensable pour ne pas confondre « supprimer » et « archiver ».

1. La base active. Les données sont utilisées quotidiennement par les services opérationnels pour la finalité initiale (gérer une commande, exécuter un contrat, animer la relation commerciale). Elles sont directement accessibles. La durée en base active est strictement celle nécessaire à l’objectif : dès qu’il est atteint, la donnée doit sortir de la base active.

2. L’archivage intermédiaire. La donnée n’est plus utile au quotidien, mais doit être conservée pour un motif précis : obligation légale (facture à garder 10 ans), gestion d’un contentieux, respect d’un délai de prescription. L’accès y est restreint : seules des personnes habilitées (juridique, comptabilité) y accèdent, ponctuellement et de façon justifiée. Une séparation logique ou physique de la base active est attendue, avec des mesures de sécurité renforcées.

3. La suppression ou l’anonymisation. À l’issue de la durée d’archivage, la donnée est soit supprimée de façon sécurisée et irréversible, soit anonymisée — c’est-à-dire rendue non ré-identifiable, ce qui la fait sortir du champ du RGPD. Attention : la pseudonymisation (remplacer un nom par un identifiant) n’est pas une anonymisation et ne dispense pas des obligations.

L’archivage définitif (patrimonial, historique, scientifique) constitue une quatrième voie, strictement dérogatoire, réservée à des cas très particuliers (archives publiques au titre du Code du patrimoine). Il ne doit jamais servir de prétexte pour « tout garder ».

Méthode : comment fixer une durée défendable

Fixer une durée n’est pas un acte arbitraire. La méthode suit un raisonnement en cascade.

  1. Existe-t-il une obligation légale ? De nombreux textes imposent des durées minimales : Code du travail (paie : 5 ans), Code de commerce (factures et pièces comptables : 10 ans), Code de la consommation (contrats conclus par voie électronique > 120 € : 10 ans). Ces durées s’imposent et se traduisent le plus souvent par un archivage intermédiaire.
  2. À défaut, existe-t-il une recommandation ou un référentiel CNIL ? La CNIL publie des référentiels sectoriels (gestion RH, gestion des clients-prospects, etc.) qui fournissent des durées indicatives. S’en écarter est possible, mais exige une justification écrite.
  3. À défaut, la finalité gouverne. Vous fixez une durée proportionnée à l’objectif réel du traitement, en documentant votre raisonnement. Deux paramètres sont déterminants : le point de départ du calcul (fin de contrat, dernier contact, départ du salarié…) et la gestion des finalités multiples (une même donnée peut avoir plusieurs durées selon l’usage).

Le point de départ est souvent le vrai sujet. Pour un prospect, la CNIL retient une conservation de 3 ans à compter du dernier contact émanant du prospect — un clic sur un lien, une demande d’information, un achat. Un simple e-mail que vous envoyez, non suivi d’une réaction, ne fait pas repartir le délai. Cette précision, régulièrement rappelée par la CNIL, évite l’écueil classique consistant à « recharger » indéfiniment le compteur en envoyant des campagnes. Voir notre guide dédié à la prospection commerciale et au RGPD.

Chaque durée retenue, ainsi que sa justification (texte de loi, référentiel, analyse de finalité), doit être documentée dans le registre des traitements. C’est la traçabilité de ces choix qui démontre votre conformité en cas de contrôle. Pour un exemple de registre où figure la colonne durée, voir notre exemple de registre RGPD rempli.

Tableau des durées de conservation les plus courantes

Le tableau ci-dessous synthétise les durées les plus fréquentes. Il s’agit d’un tableau indicatif : chaque durée doit être adaptée à votre contexte et à la finalité précise du traitement. Les durées d’archivage s’entendent en accès restreint, distinct de la base active. Pour une version étendue par secteur, consultez notre tableau des durées de conservation des données.

Catégorie de données Durée en base active Archivage intermédiaire Référence
Ressources humaines
Bulletins de paie (double employeur) 5 ans C. travail, art. L3243-4
Registre unique du personnel Présence du salarié 5 ans après départ C. travail, art. R1221-26
Dossier professionnel du salarié Durée du contrat Jusqu’à 5 ans après départ Prescriptions applicables
CV de candidats non retenus 2 ans max après dernier contact Recommandation CNIL
Clients / prospects
Données de prospection (prospect) 3 ans après dernier contact Doctrine CNIL
Données clients (contrat) Durée de la relation + délais de prescription Analyse de finalité
Contrats conclus en ligne (> 120 €) Durée du contrat 10 ans C. consommation, art. L213-1
Cartes bancaires (paiement ponctuel) Le temps de la transaction 13 mois (preuve/contestation) Doctrine CNIL
Comptabilité / gestion
Factures et pièces comptables Exercice en cours 10 ans C. commerce, art. L123-22
Documents fiscaux 6 ans LPF, art. L102 B
Sécurité / IT
Logs / journaux techniques 6 mois (usuel) Guide sécurité CNIL
Web / marketing
Cookies et traceurs (durée de vie) ≤ 13 mois Recommandation CNIL cookies
Preuve du consentement traceurs ~6 mois (renouvellement) Recommandation CNIL cookies
Vidéo
Images de vidéosurveillance 1 mois max (usuel) Doctrine CNIL

Pour les données sensibles (santé, données biométriques, opinions…), les durées relèvent de textes spécifiques (Code de la santé publique pour les dossiers médicaux, par exemple) et appellent une vigilance particulière ainsi que, souvent, une analyse d’impact (AIPD).

Mettre en œuvre une politique de purge : plan d’action

Définir des durées ne suffit pas : encore faut-il les appliquer. C’est précisément l’effectivité de la purge que la CNIL contrôle. Voici les étapes.

  1. Cartographiez et documentez. Reportez chaque durée et sa justification dans le registre des traitements. Le registre est votre preuve principale.
  2. Informez les personnes. La durée de conservation (ou les critères qui la déterminent) doit figurer dans vos mentions d’information, au titre de la transparence (art. 13 et 14).
  3. Séparez base active et archivage. Techniquement, cela peut passer par un flag « archivé », une base distincte, ou un stockage à accès restreint. L’essentiel est que les données archivées ne soient plus accessibles aux opérationnels.
  4. Automatisez la purge. Mettez en place des scripts ou des règles de purge périodiques (suppression ou anonymisation) déclenchés à l’échéance. Un logiciel RGPD permet d’industrialiser le suivi des durées et de générer les alertes d’échéance, ce qui évite les oublis sur des dizaines de traitements.
  5. Encadrez vos sous-traitants. Le contrat de sous-traitance doit imposer le respect de vos durées et prévoir la restitution ou la destruction des données en fin de prestation.
  6. Auditez régulièrement. Un audit RGPD périodique vérifie que les durées restent adéquates et que les purges sont effectivement exécutées. La CNIL relève fréquemment des politiques théoriquement conformes… mais jamais appliquées.

Le cas des demandes de droits. Lorsqu’une personne demande l’effacement de ses données, vous devez analyser chaque catégorie : celles soumises à une obligation légale (paie, factures) sont maintenues en archivage intermédiaire jusqu’à l’échéance légale, tandis que celles sans fondement de conservation doivent être supprimées. Une demande d’effacement ne prime donc pas sur une obligation légale de conservation — mais vous devez cesser tout autre usage.

Prescription et point de départ : le vrai nerf de la guerre

La plupart des litiges sur les durées ne portent pas sur le chiffre (5 ans, 10 ans), mais sur le point de départ du décompte. Une donnée conservée « 5 ans » à partir d’une mauvaise date peut se transformer en sur-conservation illicite. Trois repères permettent de sécuriser ce calcul.

D’abord, distinguez la durée d’usage (base active) de la durée de prescription (archivage intermédiaire). Un contrat s’exécute pendant sa durée, mais les pièces qui le prouvent peuvent être conservées jusqu’à l’expiration du délai de prescription pour prévenir un contentieux — cinq ans en matière civile et commerciale au titre de l’article 2224 du Code civil, dix ans pour certains actes. Ce n’est pas « garder au cas où » : c’est une base de conservation identifiée et documentée.

Ensuite, calez chaque point de départ sur un événement objectif et daté : fin du contrat, départ du salarié, dernier contact émanant du prospect, clôture de l’exercice comptable. Un point de départ « flottant » ou impossible à horodater est le premier signe d’une politique fragile.

Enfin, tracez la fin de vie. La donnée qui a épuisé toutes ses finalités et tous ses délais de prescription doit être purgée. C’est ici que le délégué à la protection des données, ou le référent RGPD, joue un rôle continu : il pilote la revue périodique des durées, veille à l’effectivité des purges et met à jour la politique au fil des évolutions de la doctrine CNIL et de la jurisprudence. La conformité en matière de conservation n’est jamais figée : elle se réaudite.

Les erreurs les plus fréquentes

  • « Garder au cas où ». C’est le manquement type. Une donnée sans finalité active ni obligation légale doit sortir de la base. Définissez une durée pour chaque traitement.
  • Confondre archivage et base active. Conserver une donnée pour un contentieux ne signifie pas la laisser accessible à tous les services. L’archivage suppose un accès restreint.
  • Recharger le compteur des prospects. Renvoyer un e-mail non sollicité ne fait pas repartir le délai de 3 ans : c’est le dernier contact émanant du prospect qui compte.
  • Oublier la purge effective. Une politique écrite mais non appliquée n’a aucune valeur face à la CNIL. Automatisez et tracez les suppressions.
  • Ne pas documenter. Sans justification écrite dans le registre, vous ne pourrez pas démontrer que vos durées sont proportionnées.

FAQ

Que faire si une même donnée sert plusieurs finalités avec des durées différentes ?

En principe, la donnée est conservée jusqu’à l’échéance de la durée la plus longue, mais elle ne peut plus être utilisée pour une finalité dès que la durée propre à celle-ci est atteinte. Exemple : les coordonnées d’un client servent à exécuter un contrat (durée de la relation + prescription) et à envoyer une newsletter (jusqu’au désabonnement). S’il se désabonne, vous ne pouvez plus les utiliser à des fins de newsletter, même si vous les conservez encore pour le contrat. Documentez chaque finalité, sa base légale et sa durée séparément.

Quelle différence pratique entre base active et archivage intermédiaire ?

En base active, les données sont utilisées quotidiennement et accessibles aux services opérationnels. En archivage intermédiaire, elles ne servent plus au quotidien mais sont conservées pour une raison précise (obligation légale, contentieux) ; l’accès est réservé à des personnes habilitées, pour des consultations ponctuelles et justifiées, avec une séparation et une sécurité renforcées. Passer une donnée en archivage n’est pas la supprimer : c’est la geler avec des accès restreints.

Combien de temps peut-on garder les données d’un prospect ?

La CNIL retient une durée de 3 ans à compter du dernier contact émanant du prospect (un clic, une demande, un achat). Un e-mail que vous envoyez sans réaction du prospect ne relance pas ce délai. Au terme des 3 ans, les données doivent être supprimées ou anonymisées, sauf à recueillir un nouveau contact actif de la personne.

Une PME sans juriste peut-elle définir ses durées seule ?

Oui. La démarche est structurée : cartographiez vos catégories de données, identifiez la finalité de chacune, vérifiez s’il existe une obligation légale (paie 5 ans, factures 10 ans…), puis consultez les référentiels de la CNIL pour les durées indicatives. À défaut de texte, fixez une durée proportionnée à la finalité et documentez votre choix dans le registre. En cas de doute sur une donnée sensible, une AIPD ou un accompagnement ponctuel sont recommandés.

La suppression et l’anonymisation sont-elles équivalentes ?

Non. La suppression est un effacement sécurisé et définitif. L’anonymisation transforme la donnée pour rendre toute ré-identification impossible : la donnée sort alors du champ du RGPD et peut être conservée à des fins statistiques. Attention, l’anonymisation est techniquement exigeante — une simple pseudonymisation (remplacement du nom par un identifiant réversible) ne suffit pas et reste soumise au RGPD.

La durée de conservation doit-elle figurer dans les mentions d’information ?

Oui. Les articles 13 et 14 du RGPD imposent d’indiquer aux personnes la durée de conservation de leurs données ou, lorsqu’elle ne peut être fixée à l’avance, les critères permettant de la déterminer. Cette information relève du principe de transparence et doit figurer dans votre politique de confidentialité et vos formulaires de collecte.


Maîtriser les durées de conservation, c’est transformer une contrainte réglementaire en hygiène de données : moins de risques en cas de fuite, des coûts de stockage maîtrisés, des réponses aux droits plus simples. La clé tient en trois mots : définir, documenter, purger.

Thiébaut Devergranne
Docteur en droit des nouvelles technologies (Paris II)

Docteur en droit, Thiébaut Devergranne travaille en droit des nouvelles technologies et en protection des données personnelles depuis plus de 20 ans. Il a accompagné des centaines d'organisations dans leur mise en conformité RGPD et est le fondateur de Legiscope, logiciel de conformité RGPD.

En savoir plus sur l'auteur →