Nous savons, en tant que PME, à quel point il est crucial de bien gérer la conservation de nos données personnelles et professionnelles. Une politique de conservation des données est un ensemble de règles internes qui déterminent combien de temps nous gardons chaque type de donnée et comment nous la supprimons une fois ce délai écoulé. Cela répond à une exigence légale claire : les données personnelles ne peuvent pas être conservées indéfiniment – nous devons fixer une durée de conservation en fonction de l’objectif poursuivi, conformément au RGPD et à la loi Informatique et Libertés. En d’autres termes, le RGPD (Règlement Général sur la Protection des Données) impose que la conservation soit limitée dans le temps et proportionnée à la finalité : nous n’avons pas le droit de stocker des données personnelles sans limite de durée ou sans justification.
Pourquoi définir une politique de conservation est essentiel
Respecter le RGPD et la loi : Une bonne politique de conservation est indispensable pour être en conformité avec le RGPD. Ce règlement consacre notamment le principe de minimisation (ne collecter et ne conserver que les données réellement nécessaires) et le principe de limitation de la conservation (ne pas conserver les données plus longtemps que nécessaire). Ne pas respecter ces principes constitue une violation du RGPD qui peut entraîner de lourdes sanctions (jusqu’à 4 % du chiffre d’affaires annuel mondial). Par exemple, conserver des données au-delà de la durée justifiée ou sans base légale valide expose l’entreprise à des sanctions de l’autorité de protection des données, tout comme l’inverse (supprimer trop tôt des données que la loi oblige à garder) peut poser problème.
Réduire les risques et inspirer confiance : Au-delà de l’aspect purement juridique, stocker des informations trop longtemps ou de manière non maîtrisée présente des risques opérationnels. Plus nous accumulons de données anciennes, plus nous augmentons le risque de fuites de données ou de piratage, et plus il sera difficile de gérer des demandes de rectification ou suppression de la part des personnes concernées. À l’inverse, en nettoyant régulièrement nos bases de données, nous limitons la quantité de données sensibles en circulation, ce qui réduit notre exposition en cas d’incident de sécurité et montre à nos clients, prospects ou employés que nous respectons leur vie privée. Une politique de conservation adaptée renforce ainsi la confiance de nos interlocuteurs et l’image de sérieux de l’entreprise.
Éviter les ennuis lors des contrôles : Enfin, disposer d’une politique claire, écrite et partagée des durées de conservation nous met à l’abri en cas de contrôle de la CNIL (l’autorité française de protection des données). En effet, lors d’un contrôle, si nous sommes incapables de justifier les durées de conservation de nos données, nous risquons des mises en demeure voire des sanctions publiques dommageables pour notre réputation. À ce titre, documenter précisément nos règles de conservation est un devoir de responsabilité : c’est la preuve que nous respectons le principe de responsabilité (accountability) du RGPD. D’ailleurs, en 2023, plus d’une entreprise sur trois contrôlée par la CNIL a été sanctionnée pour n’avoir pas su justifier ses durées de conservation des données – un rappel brutal de l’importance de ce sujet pour toutes les organisations, PME comprises.
Comment construire un tableau “durées & purge” de suivi
Pour que notre politique de conservation soit facilement compréhensible et appliquée par nos équipes, il est conseillé de la formaliser sous la forme d’un tableau synthétique. Un tel tableau liste, pour chaque catégorie de données, combien de temps nous la conservons et comment nous la purgons une fois ce délai atteint. Voici comment procéder pour construire pas à pas ce tableau de suivi :
Recenser les types de données et traitements
Commencez par identifier toutes les catégories de données que l’entreprise traite. Cela inclut les données RH (ex. dossiers du personnel, CV candidats), les données clients (contrats, factures, historique de commandes), les données marketing (fichiers de prospects, analyses web), les données comptables et financières, etc. Pour chaque service ou processus métier (vente, RH, marketing, finance...), listez les données manipulées et leur utilisation (finalité). Cette cartographie initiale est essentielle pour n’oublier aucun jeu de données important.
Vérifier les obligations légales et réglementaires
Pour chaque type de donnée recensé, cherchons s’il existe une durée de conservation imposée par la loi ou la réglementation. Par exemple, le Code de commerce impose de garder les documents comptables comme les factures pendant 10 ans, et le Code du travail exige de conserver une copie des bulletins de paie pendant 5 ans. Ces durées légales constituent un minimum ou un cadre obligatoire. Il faut les respecter strictement (on ne peut pas purger avant l’échéance légale) et éventuellement les prolonger si notre besoin métier le justifie, mais sans excéder ce qui est raisonnable. Si aucune loi ne fixe de durée précise pour certaines données, référez-vous aux recommandations des autorités (CNIL, référentiels sectoriels) ou des fédérations professionnelles.
Définir la durée de conservation appropriée
En l’absence de durée légale fixe, déterminez vous-même une durée de conservation qui soit cohérente avec la finalité du traitement. L’idée maîtresse est : Combien de temps avons-nous vraiment besoin de cette information pour notre activité ?. Par exemple, pour des prospects commerciaux, la CNIL recommande de ne pas les conserver plus de 3 ans sans interaction de leur part. Pour chaque catégorie de données, prenez en compte : la fréquence d’utilisation de la donnée, sa valeur administrative ou commerciale, les délais de prescription en cas de contentieux éventuel, et les bonnes pratiques du secteur. Documentez la justification de chaque durée choisie (par ex. mentionnez que tel délai de 2 ans est fondé sur une recommandation CNIL ou sur le délai de prescription d’une action en justice). Cette justification écrite montrera que la règle n’a pas été fixée au hasard mais bien de manière raisonnée.
Fixer le point de départ du décompte
Pour que la règle soit claire, précisez à partir de quand on commence à compter la durée de conservation. Est-ce à partir de la collecte de la donnée, de la fin de la relation contractuelle, du dernier contact avec la personne, ou de la clôture du dossier ? Par exemple, la durée de 3 ans pour un prospect commence à l’issue du dernier contact émanant du prospect (dernière action du prospect envers nous, comme une demande de documentation ou un clic dans un email). De même, on pourrait décider que les dossiers clients sont conservés X années à partir de la fin du contrat ou du dernier achat. Cette précision est importante car elle conditionne la date à laquelle la purge devra intervenir.
Prévoir l’action de purge en fin de durée
Pour chaque donnée, définissez clairement ce qu’on en fait une fois la durée expirée. Le plus souvent, il s’agira d’une suppression définitive (effacement ou destruction des fichiers) une fois la date atteinte. Parfois, il peut s’agir d’un archivage intermédiaire : on retire la donnée de l’usage courant (base active) et on la stocke de manière sécurisée dans un espace d’archive à accès restreint, notamment si on doit la conserver encore un temps pour des raisons administratives ou légales. Par exemple, après le départ d’un employé, ses données peuvent être archivées quelques années pour gérer d’éventuels litiges, avant d’être supprimées. Une autre option est l’anonymisation irréversible des données arrivées à échéance, ce qui permet de conserver des informations à des fins statistiques sans conserver de données personnelles identifiantes. Indiquer l’action de purge (suppression, archivage, anonymisation...) dans le tableau permet aux équipes de savoir précisément ce qu’elles doivent faire à l’échéance.
Assigner un responsable et un outil pour chaque donnée
Enfin, précisez qui est responsable de l’application de la règle et comment elle sera appliquée. Il peut s’agir du service métier concerné (par ex. le service RH pour la purge des CV et dossiers du personnel, le service Comptabilité pour l’archivage des factures, etc.) ou d’un référent dédié (par ex. le DPO – Délégué à la Protection des Données – pilote globalement ces opérations). Indiquez également dans quel système ou outil informatique se trouvent les données et comment la suppression sera effectuée (manuellement, via un script automatisé, via une fonction du logiciel métier, etc.). Par exemple, si les données clients sont dans un CRM, le responsable peut être l’administrateur du CRM qui programmera la suppression des fiches inactives de plus de 3 ans. En assignant clairement les rôles et les outils, on s’assure que la purge ne tombe pas dans un « vide » organisationnel.
Une fois ces étapes réalisées, il ne reste plus qu’à consigner toutes ces informations dans un tableau synthétique et à le diffuser aux équipes concernées. L’objectif est d’avoir un document de référence clair, simple à lire, qui sera utilisé au quotidien pour savoir quelles données purger, quand et comment.
Structure type du tableau de conservation des données
Pour aider nos équipes à lire et utiliser cette politique, nous recommandons de structurer le tableau avec les colonnes suivantes (chaque colonne correspondant à un aspect de la règle de conservation) :
Type de données : la catégorie de données concernée. Il peut s’agir d’une famille de données (ex. Données RH – Candidatures, Données clients – Factures, Logs techniques, etc.) ou d’un intitulé de traitement spécifique. Cette colonne donne le contexte de la donnée.
Base légale : la base juridique du traitement de ces données, qui souvent justifie aussi la durée. Par exemple, exécution d’un contrat, obligation légale, consentement, intérêt légitime. La base légale aide à expliquer pourquoi on conserve la donnée et éventuellement pourquoi on doit la supprimer (fin de contrat, retrait du consentement, etc.).
Durée de conservation : la durée en elle-même, chiffrée en mois ou en années, pendant laquelle la donnée est conservée (en base active et/ou en archive). Par exemple « 2 ans », « 10 ans », « jusqu’au départ de la personne + 5 ans ». Cette durée doit être fixée à l’avance et être la plus précise possible (éviter « le temps nécessaire » sans indication chiffrée). Si besoin, on peut indiquer « illimitée » pour des archives définitives (ex. données patrimoniales devant être gardées indéfiniment), mais ce cas est rare et doit être justifié.
Point de départ : le point de départ du délai de conservation, c’est-à-dire à partir de quel événement ou date on commence à compter la durée. Par exemple « à compter de la fin du contrat », « à compter du dernier contact du prospect », « à compter de la collecte de la donnée », « à compter de la clôture du dossier », etc. Cette précision évite toute ambiguïté sur l’échéance.
Action de purge : ce qui est prévu à l’issue de la durée. Typiquement Suppression pure et simple des données, ou Archivage (le cas échéant, préciser la durée d’archivage), ou Anonymisation. On peut également indiquer si la purge est automatique (script, règle logicielle) ou manuelle.
Responsable : qui porte la responsabilité de veiller à ce que la purge soit faite. Souvent on indiquera un service ou un rôle, par exemple « Responsable RH », « DSI » (Direction des Systèmes d’Information), « Service Juridique », ou « DPO ». Cela permet d’impliquer explicitement les équipes : chacun sait quelles données relèvent de son périmètre et qu’il devra suivre.
Outil (système) concerné : il est utile de mentionner dans quel outil ou support se trouvent les données, car la mise en œuvre concrète de la purge en dépend. Par exemple « Base de données CRM (logiciel X) », « Serveur de fichiers », « Archives papier », « outil de paie », etc. Cela aide à prévoir comment on va techniquement effectuer l’effacement (via une procédure informatique, une destruction de papier, etc.).
Commentaire éventuel : une colonne libre pour ajouter toute information utile. On peut y mettre par exemple la référence d’un article de loi ou d’une recommandation (ex. « Conservation 10 ans conforme à l’art. L123-22 Code de commerce »), des exceptions (« tel document est conservé plus longtemps s’il y a litige en cours »), ou toute précision aidant à bien comprendre la règle.
Ce tableau devient en quelque sorte notre référentiel interne de conservation. Il doit être clair, accessible et mis à jour régulièrement. Il peut figurer en annexe de notre registre des traitements ou dans toute documentation RGPD interne. L’important est qu’en cas de besoin (audit interne, contrôle CNIL, question d’un collaborateur), on puisse s’y référer pour connaître la règle applicable à chaque catégorie de données. Une politique de conservation bien documentée, listant les traitements, les catégories de données, les durées et les modalités de suppression/archivage, constitue une preuve précieuse de notre conformité en cas de contrôle.
Exemples concrets de durées de conservation et purge
Pour illustrer, voici quelques exemples de durées de conservation et de règles de purge couramment adoptées par les entreprises :
Données RH (Ressources Humaines)
Candidatures non retenues (CV de candidats non recrutés) – conserver jusqu’à 2 ans maximum après la fin du processus de recrutement, puis suppression des CV (sauf si le candidat demande un effacement plus tôt). Dossiers du personnel (données d’un employé après son départ) – conserver 5 ans après le départ du salarié, puis suppression ou archivage sécurisé des dossiers. Ce délai de 5 ans permet de respecter certaines obligations légales (ex. copies de bulletins de salaire) et de se prémunir d’éventuels contentieux Prud’homaux pendant la période légale de recours.
Données clients (relation commerciale)
Les données liées à nos clients actifs sont conservées toute la durée de la relation commerciale (tant que le client est en contrat ou achète nos services). Après la fin de la relation, nous pouvons les conserver encore 3 ans maximum pour garder un historique et éventuellement recontacter le client (prospection post-contrat). Passé ce délai de 3 ans sans interaction du client, les données sont soit supprimées, soit archivées de manière anonymisée. Bien sûr, certaines données clients relèvent aussi d’obligations légales spécifiques – par ex. les contrats signés peuvent être archivés pour la durée de prescription des actions en justice (souvent 5 ans).
Données marketing et prospects
Les informations sur des prospects (personnes contactées qui ne sont pas encore clientes) ne doivent pas être gardées trop longtemps si elles restent sans réponse. En pratique, la règle recommandée est 3 ans après le dernier contact émanant du prospect. Par exemple, si un prospect n’a plus donné signe de vie depuis une demande d’information ou un clic d’email il y a plus de 3 ans, nous supprimons ses données de notre base marketing (ou nous le recontactons une dernière fois pour savoir s’il souhaite rester en base, avant de supprimer). Cela évite de conserver indéfiniment des contacts inactifs. De même, les données de navigation ou logs web liés à la prospection (par ex. cookies analytics) sont souvent purgés au bout de 6 à 12 mois maximum, conformément aux recommandations CNIL sur les traceurs.
Données comptables et financières
Tous les documents comptables obligatoires (livres de comptes, factures, bilans, pièces justificatives) sont conservés 10 ans minimum, conformément à la loi (exigence du Code de commerce). Nous archivons donc ces documents pendant 10 ans dans un espace sécurisé (coffre-fort numérique ou archives papier), après quoi une purge peut être effectuée si plus aucune obligation ne le justifie. Par ailleurs, les données fiscales ou sociales peuvent avoir leurs propres durées légales de conservation (souvent 6 à 10 ans selon les cas) qu’il convient de respecter strictement.
Ces exemples ne sont que des repères généraux. Chaque entreprise doit ajuster les durées à son activité et à ses contraintes spécifiques. Par exemple, un laboratoire médical aura des durées de conservation plus longues pour certaines données de santé, une entreprise du BTP pourra conserver certains plans ou documents techniques plus longtemps pour se protéger en cas de litige décennal, etc. L’important est de documenter ces choix et de pouvoir les expliquer. N’oublions pas non plus que si la base légale change ou qu’une personne retire son consentement, cela peut écourter la durée de conservation (il faudra alors supprimer plus tôt que prévu). Notre tableau doit donc être vivant et évoluer avec la réglementation et les besoins.
Impliquer les équipes concernées pour une application opérationnelle
Une politique de conservation, même bien formulée, ne sera efficace que si elle est comprise et appliquée par toutes les équipes au quotidien. Il est donc crucial d’impliquer les services concernés dès la construction du tableau. Concrètement, cela signifie travailler main dans la main avec, par exemple, l’équipe RH pour définir les durées concernant les données du personnel, avec l’équipe commerciale pour les données clients, etc. En co-construisant les règles avec ceux qui gèrent les données au jour le jour, on s’assure que les durées définies sont réalistes et que les procédures de purge sont faisables.
Il faut ensuite former et sensibiliser nos collaborateurs. Chaque employé manipulant des données doit comprendre pourquoi on met en place ces durées de conservation, quelles sont les procédures à suivre et quelles sont ses responsabilités. Par exemple, le service Marketing doit intégrer dans ses routines la suppression périodique des contacts inactifs depuis plus de 3 ans, le service RH doit penser à purger les CV obsolètes tous les ans, etc. Cette sensibilisation peut prendre la forme de notes de service, de guides pratiques internes, voire d’ateliers de formation RGPD. Le rôle du DPO (ou du référent RGPD) est central dans ce dispositif : il pilote la politique de conservation, accompagne les équipes dans sa mise en œuvre, suit les échéances de purge et fait le lien avec les autorités de contrôle si besoin. Le DPO (qu’il soit interne ou externalisé) s’assure également que le tableau est mis à jour et respecté. Mais il ne peut réussir sans le soutien de chacun : la conformité est l’affaire de nous tous, collectivement.
En impliquant activement les équipes, on transforme la politique de conservation d’une contrainte administrative en une pratique opérationnelle intégrée. Chacun devient acteur de la protection des données, ce qui facilite grandement l’application concrète des règles au jour le jour. Par exemple, on peut nommer dans chaque service un référent chargé de suivre les purges, ou mettre en place des rappels automatisés (calendrier d’échéances) pour signaler quand une donnée atteint sa date limite. L’important est de créer une culture interne de gestion responsable des données, où la suppression planifiée est aussi naturelle que le stockage.
Conclusion
En résumé, élaborer une politique de conservation des données sous forme de tableau “durées & purge” est une démarche indispensable pour une PME souhaitant structurer sa gestion des données personnelles et professionnelles. Cela nous permet de respecter le RGPD (principe de minimisation et de limitation de la durée) tout en optimisant notre organisation interne. Nous avons vu l’importance de définir clairement pour chaque catégorie de données combien de temps la conserver et comment la supprimer ou l’archiver ensuite, en justifiant ces choix. Un tableau synthétique, partagé avec l’ensemble des équipes, sert de boussole commune et de preuve en cas de contrôle. Enfin, le facteur-clé de succès reste l’adhésion des équipes : en impliquant les collaborateurs concernés et en les sensibilisant, nous ancrons ces bonnes pratiques dans le fonctionnement quotidien de l’entreprise. Ainsi armés, nous pouvons gérer nos données de manière responsable, efficace et conforme, au bénéfice de l’entreprise comme des personnes dont nous traitons les données.
Sources : Principales références utilisées pour guider ces bonnes pratiques – CNIL (guide durées de conservation), texte du RGPD et recommandations 2025 sur la conservation des données ainsi que divers exemples sectoriels issus de la doctrine CNIL et du Code de commerce. Les citations marquées renvoient aux extraits précis de ces sources pour plus de détails.