Guides & Ressources pratiques
Avenant au contrat de travail : définition, obligations et erreurs à ne pas commettre
Tableau des durées de conservation des données personnelles : modèle 2026 prêt à l'emploi pour directions juridiques
Points clés de l'article
- L'article 5-1-e du RGPD impose de fixer une durée de conservation proportionnée à chaque finalité de traitement, sans conserver de données au-delà du nécessaire.
- Chaque donnée suit 3 phases : base active, archivage intermédiaire, puis suppression ou anonymisation définitive.
- Le tableau ci-dessous récapitule les durées par finalité (RH, clients, prospects, comptabilité, vidéosurveillance, logs) en croisant obligations légales et recommandations CNIL.
- La CNIL a fait de la conservation excessive un axe prioritaire de contrôle en 2025-2026 : plusieurs sanctions ont déjà visé des durées non documentées ou disproportionnées.
- Intégrer ce tableau dans le registre des traitements et dans une politique de conservation formalisée réduit le risque de non-conformité lors d'un contrôle.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Le cadre juridique : ce que dit l'article 5-1-e du RGPD sur la limitation de conservation
Les 3 phases du cycle de vie d'une donnée : base active, archivage intermédiaire, suppression
Comment utiliser ce tableau dans votre registre des traitements
Les obligations légales vs recommandations CNIL : savoir distinguer
Erreurs fréquentes et sanctions récentes en 2025-2026
Modèle de politique de conservation : clauses clés à intégrer
Télécharger le tableau Excel et le mode d'emploi
Le cadre juridique : ce que dit l'article 5-1-e du RGPD sur la limitation de conservation
Le tableau des durées de conservation des données personnelles constitue l'outil de référence pour toute direction juridique confrontée à l'obligation de limitation de conservation prévue par le RGPD. L'article 5-1-e du règlement européen 2016/679 pose un principe clair : les données à caractère personnel ne peuvent être conservées sous une forme permettant l'identification des personnes concernées que pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
En pratique, ce principe signifie que chaque traitement inscrit au registre doit être assorti d'une durée de conservation définie et justifiable. Le responsable de traitement ne peut pas se contenter d'une mention générique du type « durée nécessaire ». Il doit documenter, pour chaque catégorie de données, le fondement juridique ou opérationnel qui justifie la durée retenue.
Le RGPD prévoit toutefois une exception : les données peuvent être conservées au-delà de la durée initiale si elles sont traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques. Dans ces cas, des garanties appropriées (pseudonymisation, minimisation) doivent être mises en œuvre conformément à l'article 89.
Pour une direction juridique, l'enjeu est double. D'une part, fixer des durées conformes aux textes applicables (Code du travail, Code de commerce, Code général des impôts). D'autre part, s'assurer que ces durées sont effectivement appliquées dans les systèmes d'information, ce qui suppose une coordination étroite avec la DSI et le DPO.
Les 3 phases du cycle de vie d'une donnée : base active, archivage intermédiaire, suppression
La doctrine CNIL structure le cycle de vie d'une donnée personnelle en 3 phases distinctes. Cette grille de lecture conditionne la manière dont les durées de conservation doivent être paramétrées dans les outils métier.
Phase 1 – Base active. La donnée est utilisée au quotidien pour la finalité qui a justifié sa collecte. Par exemple, les coordonnées d'un salarié restent en base active pendant toute la durée de son contrat de travail. Seules les personnes habilitées dans le cadre de cette finalité y accèdent.
Phase 2 – Archivage intermédiaire. La donnée n'est plus nécessaire à la gestion courante, mais elle doit être conservée pour répondre à une obligation légale ou pour faire valoir un droit en justice. L'accès est restreint : seules les personnes spécifiquement autorisées (service juridique, service comptable) peuvent la consulter. Les données sont séparées logiquement ou physiquement de la base active.
Phase 3 – Suppression ou anonymisation. À l'expiration de la durée d'archivage intermédiaire, la donnée est supprimée de manière irréversible ou anonymisée de façon à rendre toute ré-identification impossible.
| Phase | Accès | Exemple | Déclencheur de passage |
|---|---|---|---|
| Base active | Utilisateurs métier courants | Fiche salarié pendant le contrat | Fin de la relation ou de la finalité |
| Archivage intermédiaire | Accès restreint (juridique, comptable) | Bulletin de paie après départ du salarié | Expiration du délai légal ou de prescription |
| Suppression / anonymisation | Aucun accès | Données définitivement effacées | Fin de l'archivage intermédiaire |
Structurer le cycle de vie des données dans vos systèmes d'information suppose un cadrage juridique précis, adapté à chaque finalité de traitement.
Consulter un avocat spécialisé en protection des données
Tableau des durées de conservation par finalité (RH, clients, prospects, comptabilité, vidéosurveillance)
Le tableau ci-dessous synthétise les durées de conservation des données personnelles par grande finalité. Il croise les obligations légales issues des codes applicables et les recommandations de la CNIL.
| Finalité | Catégorie de données | Durée en base active | Durée en archivage intermédiaire | Fondement |
|---|---|---|---|---|
| RH – Gestion du personnel | Contrat de travail, bulletins de paie | Durée du contrat | 5 ans après le départ du salarié | Art. L.3243-4 Code du travail (paie) ; prescription civile 5 ans (art. 2224 Code civil) |
| RH – Recrutement | CV, lettres de motivation | 2 ans maximum après le dernier contact | Aucune obligation d'archivage | Recommandation CNIL |
| Clients – Gestion commerciale | Données contractuelles, facturation | Durée de la relation contractuelle | 5 ans après la fin du contrat | Prescription civile (art. 2224 Code civil) |
| Clients – Pièces comptables | Factures, bons de commande | Durée de l'exercice en cours | 10 ans à compter de la clôture de l'exercice | Art. L.123-22 Code de commerce |
| Prospects | Coordonnées, historique de contact | 3 ans à compter du dernier contact actif | Aucune obligation d'archivage | Recommandation CNIL (délibération 2025) |
| Comptabilité | Livres comptables, pièces justificatives | Exercice en cours | 10 ans | Art. L.123-22 Code de commerce |
| Vidéosurveillance | Images de vidéoprotection | 30 jours maximum | Aucune, sauf procédure en cours | Art. L.252-3 Code de la sécurité intérieure ; recommandation CNIL |
| Logs de connexion | Journaux de connexion des salariés | 6 mois | Jusqu'à 1 an pour les opérateurs soumis à l'obligation de conservation | Art. R.10-13 CPCE ; recommandation CNIL |
| Cookies / traceurs | Identifiants de navigation, consentement | 13 mois maximum pour le dépôt | 6 ans pour la preuve du consentement | Recommandation CNIL cookies (2020, mise à jour 2024) |
Ce tableau constitue une base de travail. Certaines durées peuvent varier selon le secteur d'activité (santé, banque, assurance) ou la nature des données traitées (données sensibles au sens de l'article 9 du RGPD).
Comment utiliser ce tableau dans votre registre des traitements
Le registre des traitements, obligatoire en vertu de l'article 30 du RGPD, doit mentionner pour chaque traitement les durées de conservation envisagées ou les critères utilisés pour les déterminer. Le tableau ci-dessus s'intègre directement dans cette documentation.
Étape 1 – Rapprocher chaque traitement du registre d'une ligne du tableau. Identifiez la finalité correspondante et reportez la durée en base active et la durée d'archivage intermédiaire. Si un traitement couvre plusieurs finalités, retenez la durée la plus longue parmi celles applicables.
Étape 2 – Documenter le fondement de chaque durée. Indiquez systématiquement la source juridique (article de loi, recommandation CNIL, délibération). Cette traçabilité est vérifiée en cas de contrôle.
Étape 3 – Paramétrer les purges automatiques. Transmettez les durées validées à la DSI pour configurer des mécanismes de suppression ou d'archivage automatique dans les applicatifs métier (SIRH, CRM, ERP). Sans automatisation, les durées restent théoriques.
Étape 4 – Planifier une revue annuelle. Les textes évoluent. La CNIL actualise régulièrement ses recommandations. Une revue annuelle du tableau, pilotée par la direction juridique en lien avec le DPO, garantit la conformité dans la durée.
Mettre à jour votre registre des traitements avec des durées de conservation documentées et vérifiables est un prérequis lors de tout contrôle CNIL.
Faire appel à un avocat en protection des données
Les obligations légales vs recommandations CNIL : savoir distinguer
Toutes les durées de conservation n'ont pas la même valeur normative. Confondre une obligation légale et une recommandation CNIL expose à deux risques symétriques : conserver trop longtemps ou supprimer trop tôt.
Les obligations légales sont fixées par un texte de loi ou un règlement. Elles s'imposent au responsable de traitement. Par exemple, l'article L.123-22 du Code de commerce impose la conservation des pièces comptables pendant 10 ans. L'article L.3243-4 du Code du travail impose la conservation des bulletins de paie pendant 5 ans. Ces durées ne sont pas négociables.
Les recommandations CNIL sont des orientations publiées par l'autorité de contrôle. Elles n'ont pas force de loi, mais elles constituent la doctrine de référence que la CNIL applique lors de ses contrôles. En l'absence de texte légal fixant une durée précise, la recommandation CNIL fait office de standard. C'est le cas pour les données de prospection (3 ans après le dernier contact) ou les données de recrutement (2 ans).
| Type de source | Force juridique | Exemple | Conséquence en cas de non-respect |
|---|---|---|---|
| Obligation légale (loi, règlement) | Contraignante | 10 ans pour les pièces comptables | Infraction légale + sanction CNIL |
| Recommandation CNIL | Doctrine de référence | 3 ans pour les prospects | Risque de mise en demeure ou sanction CNIL |
| Durée définie par le responsable de traitement | Justifiable et proportionnée | Durée interne pour un traitement spécifique | Doit être documentée et cohérente |
En cas de doute, la direction juridique doit privilégier la durée la plus protectrice pour les personnes concernées, tout en s'assurant de ne pas supprimer des données encore nécessaires au respect d'une obligation légale.
Erreurs fréquentes et sanctions récentes en 2025-2026
La CNIL a inscrit la conservation excessive des données parmi ses thématiques prioritaires de contrôle pour 2025-2026. Plusieurs décisions récentes illustrent les risques concrets.
Erreur n°1 – Absence de durée définie. Certaines organisations n'indiquent aucune durée dans leur registre, se contentant de mentions comme « durée nécessaire au traitement ». La CNIL considère cette pratique comme un manquement à l'article 5-1-e du RGPD.
Erreur n°2 – Conservation illimitée de données prospects. En 2024, la CNIL a sanctionné une société à hauteur de 310 000 € pour avoir conservé des données de prospects inactifs depuis plus de 5 ans, sans purge ni information des personnes concernées.
Erreur n°3 – Archivage intermédiaire non séparé. Conserver des données en archivage intermédiaire dans la même base que les données actives, avec les mêmes droits d'accès, revient à ne pas archiver. La CNIL vérifie la séparation effective des accès.
Erreur n°4 – Absence de purge automatique. Documenter des durées sans les implémenter techniquement constitue un manquement. La CNIL attend une suppression effective, pas seulement une politique écrite.
- En 2023, la CNIL a prononcé 42 sanctions, dont plusieurs portaient sur des manquements liés à la durée de conservation.
- Le montant cumulé des amendes CNIL en 2024 a dépassé 55 millions d'euros, avec une part croissante liée aux principes fondamentaux du RGPD (minimisation, limitation de conservation).
La conservation excessive est désormais un motif autonome de sanction. Anticiper un contrôle CNIL suppose de vérifier que chaque durée documentée est effectivement appliquée dans les systèmes.
Sécuriser votre conformité avec un avocat en protection des données
Modèle de politique de conservation : clauses clés à intégrer
Une politique de conservation des données personnelles formalise les règles applicables à l'ensemble des traitements de l'organisation. Ce document, distinct du registre, sert de référentiel interne et de preuve de conformité en cas de contrôle.
Les clauses suivantes doivent y figurer :
- Objet et champ d'application. Préciser que la politique couvre l'ensemble des données à caractère personnel traitées par l'organisation, quel que soit le support (numérique, papier).
- Définition des phases de conservation. Reprendre la distinction base active / archivage intermédiaire / suppression, avec les critères de passage d'une phase à l'autre.
- Tableau des durées par finalité. Intégrer le tableau de référence (voir section 3) ou y renvoyer par annexe.
- Modalités de suppression et d'anonymisation. Décrire les procédés techniques utilisés (suppression logique, écrasement, anonymisation irréversible).
- Rôles et responsabilités. Désigner les acteurs en charge de l'application (DPO, DSI, responsables métier) et leurs obligations respectives.
- Procédure de revue. Prévoir une revue annuelle de la politique et du tableau, avec traçabilité des modifications.
- Gestion des exceptions. Définir la procédure applicable lorsqu'une conservation au-delà de la durée standard est nécessaire (contentieux en cours, demande d'une autorité).
Cette politique doit être validée par la direction juridique, diffusée aux équipes concernées et accessible au DPO pour toute vérification.
Télécharger le tableau Excel et le mode d'emploi
Le tableau présenté dans cet article est conçu pour être directement exploitable. Pour l'intégrer dans vos outils internes, 3 options s'offrent à vous :
- Copier le tableau Markdown de la section 3 et le coller dans votre registre des traitements existant.
- L'adapter dans un tableur (Excel, Google Sheets) en ajoutant des colonnes spécifiques à votre organisation : responsable du traitement, date de dernière revue, statut de la purge.
- L'intégrer dans votre outil de gestion de la conformité (OneTrust, Dastra, etc.) en l'utilisant comme référentiel de durées.
Le mode d'emploi recommandé :
- Téléchargez ou copiez le tableau de référence.
- Complétez-le avec les traitements spécifiques à votre organisation qui ne figurent pas dans le modèle standard.
- Faites valider chaque durée par le DPO et la direction juridique.
- Transmettez les durées validées à la DSI pour paramétrage des purges.
- Archivez la version datée et signée comme preuve de conformité.
Ce modèle couvre les finalités les plus courantes. Pour les secteurs réglementés (santé, banque, assurance), des durées spécifiques s'appliquent et nécessitent un cadrage juridique dédié.
Adapter ce tableau à votre secteur d'activité et à vos traitements spécifiques peut nécessiter un accompagnement juridique ciblé.
Trouver un avocat spécialisé en protection des données
FAQ
Quelle est la durée de conservation maximale des données personnelles selon le RGPD ?
Le RGPD ne fixe pas de durée maximale universelle. L'article 5-1-e impose que la durée soit proportionnée à la finalité du traitement. En pratique, chaque catégorie de données obéit à une durée distincte, définie par la loi (Code de commerce, Code du travail) ou par les recommandations de la CNIL.
Que risque une entreprise qui conserve des données personnelles trop longtemps ?
La conservation excessive constitue un manquement au principe de limitation de conservation. La CNIL peut prononcer une mise en demeure ou une amende pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. En 2024, plusieurs sanctions ont spécifiquement visé ce manquement.
Faut-il supprimer les données ou peut-on les anonymiser ?
Les deux options sont conformes au RGPD. L'anonymisation irréversible permet de conserver des données à des fins statistiques sans qu'elles soient considérées comme des données personnelles. En revanche, la pseudonymisation ne suffit pas : les données pseudonymisées restent soumises au RGPD.
Comment documenter les durées de conservation dans le registre des traitements ?
L'article 30 du RGPD exige que le registre mentionne les durées envisagées ou les critères utilisés pour les déterminer. Concrètement, il faut indiquer pour chaque traitement la durée en base active, la durée en archivage intermédiaire et le fondement juridique correspondant.
Les recommandations CNIL sur les durées de conservation sont-elles obligatoires ?
Les recommandations CNIL n'ont pas force de loi. Toutefois, elles constituent la doctrine que l'autorité applique lors de ses contrôles. Ne pas les respecter sans justification documentée expose à un risque de sanction. En l'absence de texte légal, elles font office de référence.
Pour aller plus loin
Les durées de conservation des données - CNIL
Gestion des ressources humaines : référentiel de durées de conservation - CNIL
Quels sont les délais de conservation des documents pour les entreprises ? - Service-Public.fr
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
