Guide durée de conservation
Durée de conservation des données RGPD :
il n'y a pas un délai unique.
C'est l'une des questions les plus fréquentes — et la réponse déçoit souvent : le RGPD ne fixe pas de durée fixe applicable à toutes les données. Il fixe un principe, à appliquer traitement par traitement. Voici comment le raisonner concrètement.
Le principe de limitation de la conservation.
L'article 5 du RGPD pose un principe simple à énoncer, plus délicat à appliquer : les données personnelles doivent être conservées sous une forme permettant d'identifier les personnes concernées pendant une durée n'excédant pas ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
Autrement dit, il n'existe pas de tableau universel « telle donnée = tant d'années ». La bonne durée dépend de la finalité poursuivie : elle n'est pas la même pour un CV de candidat, un historique de commande, ou une image de vidéosurveillance. C'est à chaque responsable de traitement de déterminer, et de justifier, la durée retenue pour chacun de ses traitements — et de la réviser si la finalité change ou disparaît.
Quelques durées usuelles rencontrées en pratique.
Ces repères sont des pratiques ou recommandations courantes, pas des délais légaux uniques imposés par un article précis — chaque situation doit rester justifiée au regard de sa propre finalité.
CV non retenus
Pratique usuelle : environ 2 ans après le dernier contact avec le candidat, sauf accord explicite pour une CVthèque plus longue.
Vidéosurveillance
La CNIL recommande usuellement de ne pas dépasser 1 mois, sauf procédure en cours nécessitant de conserver les images plus longtemps.
Consentement cookies
6 mois maximum recommandés par la CNIL, au-delà il faut redemander le consentement. Détails sur notre page cookies et RGPD.
Prospects inactifs
Une fois la relation commerciale clairement éteinte et sans perspective de reprise, les données de prospection n'ont plus vocation à être conservées en base active.
Base active et archivage intermédiaire ne se confondent pas.
Une fois la finalité initiale atteinte, les données n'ont pas forcément vocation à disparaître immédiatement. Elles peuvent être déplacées vers un archivage intermédiaire : un accès restreint, distinct de l'usage courant, le temps que dure une obligation légale de conservation (comptable, fiscale, ou tout autre motif imposé par un texte propre à votre secteur) ou le temps de gérer un contentieux potentiel.
Cette distinction est structurante : conserver une donnée en base active, accessible à tous les usages courants, au-delà de la finalité qui la justifiait est ce que sanctionne le principe de limitation de la conservation. La déplacer vers un archivage à accès restreint, pour un motif précis et documenté, est une pratique différente et généralement admise — à condition qu'elle reste elle-même limitée dans le temps et proportionnée au motif invoqué.
Documenter chaque durée dans le registre des traitements.
L'article 30 du RGPD impose au responsable de traitement (et au sous-traitant, pour ses propres traitements) de tenir un registre des traitements. Pour chaque traitement recensé, ce registre doit préciser, entre autres, la durée de conservation envisagée des données concernées.
C'est souvent le premier document demandé en cas de contrôle CNIL : un registre qui indique une durée précise et justifiée pour chaque catégorie de données rassure sur le sérieux de la démarche de conformité. Notre page registre des traitements détaille comment le construire et le tenir à jour.
Pas sûr des durées à retenir pour vos traitements ?
VIGIL vous aide à fixer et documenter une durée de conservation proportionnée pour chaque traitement, avec un juriste de magistère disponible pour les cas sensibles. Voir aussi nos formules d'accompagnement.
Faire le point avec nousContenu à visée informative, à jour au moment de sa rédaction. Il ne constitue pas un conseil juridique personnalisé au sens de la loi n°71-1130 du 31 décembre 1971 — chaque situation mérite une analyse dédiée.