Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Samedi 11 juillet 2026
RGPD

Durée de conservation des emails pros (guide 2026)

Combien de temps conserver ses emails professionnels ? Pas de durée unique : par contenu (contrat 5 ans, compta 10 ans, RH), archivage et départ salarié.

L’essentiel. Il n’existe pas de durée unique de conservation des emails professionnels. Un email n’est pas une catégorie juridique : c’est un contenant. Ce qui détermine la durée, c’est ce qu’il contient et la finalité qu’il sert. Un échange contractuel se conserve dans la logique de la prescription civile (souvent 5 ans), une pièce comptable jusqu’à 10 ans, un document RH selon les durées propres au droit du travail. La bonne méthode ne consiste pas à fixer « X années pour tous les mails », mais à distinguer trois temps — base active, archivage intermédiaire, suppression — et à trier par contenu. Cas particulier sensible : le départ d’un salarié, où la messagerie doit être fermée dans un délai raisonnable, tout en préservant les messages identifiés comme personnels, que l’employeur ne peut pas ouvrir.

« Combien de temps doit-on garder les emails ? » On me pose cette question presque à chaque audit, et la réponse déçoit toujours un peu : ça dépend. Non par prudence excessive, mais parce que la question elle-même est mal posée. L’email est un support, au même titre qu’un dossier papier ou une base de données. Personne ne demanderait « combien de temps garde-t-on une feuille de papier ? » : on regarde ce qui est écrit dessus. C’est exactement pareil pour la messagerie professionnelle.

Le principe directeur figure à l’article 5(1)(e) du RGPD : les données ne doivent pas être conservées « pendant une durée excédant celle nécessaire au regard des finalités » du traitement. Autrement dit, chaque donnée — donc chaque email, selon son contenu — a sa propre horloge, calée sur la finalité qu’il sert et sur les obligations légales ou les délais de prescription applicables. Cet article donne la méthode et les repères concrets pour appliquer ce principe à une boîte mail professionnelle.

Pourquoi il n’y a pas de durée unique

Deux idées reçues doivent tomber d’emblée.

Idée reçue n° 1 : « on garde tout, on ne sait jamais ». C’est la pratique la plus répandue et la plus contraire au RGPD. Conserver indéfiniment l’intégralité des messageries viole le principe de limitation de la conservation (article 5-1-e) et celui de minimisation. Une boîte mail de dix ans, jamais purgée, est un passif juridique : elle accumule des données personnelles sans base, augmente la surface d’une éventuelle violation de données et complique les réponses aux demandes de droit d’accès.

Idée reçue n° 2 : « il y a une durée légale pour les emails ». Il n’y en a pas. Aucun texte ne fixe une durée de conservation « des emails » en tant que tels. Les durées qui s’appliquent sont celles attachées aux contenus : durée de conservation des documents comptables, des contrats, des documents RH, des données de prospection, etc. C’est le contenu qui commande, pas le contenant.

La conséquence pratique est qu’une politique de conservation des messageries n’est pas une règle unique, mais une grille de tri : à quel type de contenu ai-je affaire, et quelle durée s’y attache ? Le principe de temporalité des données prend ici tout son sens.

La méthode des trois temps (modèle CNIL)

La CNIL recommande de raisonner en trois phases de vie de la donnée. C’est la clé de voûte de toute politique de conservation, y compris pour les emails.

Phase Ce qu’elle recouvre Accès
Base active Données d’usage courant, nécessaires à l’activité quotidienne Personnel opérationnel concerné
Archivage intermédiaire Données qui ne sont plus d’usage courant mais doivent être conservées pour une obligation légale ou en cas de contentieux (prescription) Accès restreint, sur justification
Archivage définitif / suppression Données dont la durée d’utilité et les obligations légales sont épuisées Suppression (ou archivage patrimonial exceptionnel)

Appliqué à la messagerie, cela donne une logique claire : la boîte active contient les échanges en cours et récents ; les emails porteurs d’une valeur probatoire ou d’une obligation légale (un contrat conclu par mail, une facture jointe) basculent en archivage intermédiaire à accès restreint pour la durée de la prescription ou de l’obligation ; le reste — échanges informels, invitations, notifications sans portée — est supprimé dès qu’il n’est plus utile.

L’erreur consiste à confondre la boîte mail (l’outil de travail) avec le système d’archivage (le coffre-fort probatoire). Ce ne sont pas les mêmes durées ni les mêmes accès. Un email contractuel n’a pas vocation à rester cinq ans dans la boîte de réception : il a vocation à être archivé dans un espace dédié, et supprimé de la boîte active.

Les repères de durée par type de contenu

Voici les repères les plus fréquents. Ils correspondent aux durées d’utilité et de prescription associées aux contenus, et non à une « durée des emails ».

Contenu de l’email Durée de référence Fondement / logique
Relation commerciale / contractuelle 5 ans Prescription de droit commun (Art. 2224 Code civil)
Factures et pièces comptables 10 ans Documents comptables (Art. L123-22 Code de commerce)
Obligations fiscales 6 ans Délai de reprise (Art. L102 B du LPF)
Bulletins de paie (côté employeur) 5 ans Art. L3243-4 Code du travail
Contrats de travail, éléments de salaire 5 ans Prescription de l’action en paiement des salaires
Prospects (sans achat) 3 ans après le dernier contact Recommandation CNIL prospection
Échanges informels, sans portée juridique Durée courte, à définir Aucune obligation : supprimer dès inutilité

Ces durées sont des repères usuels à la date de rédaction (juillet 2026) ; elles doivent être vérifiées et adaptées selon votre secteur, vos obligations spécifiques et les éventuels contentieux en cours. Certaines durées de prescription peuvent être plus longues (par exemple en matière immobilière ou de responsabilité décennale).

Un point capital : un même fil de discussion peut relever de plusieurs durées. Un échange qui commence par une négociation commerciale, se poursuit par la conclusion d’un contrat et se termine par une facture peut appeler une conservation de 10 ans pour sa partie comptable. La durée applicable est alors celle du contenu le plus « exigeant ». C’est pourquoi le tri par contenu — et non par date d’envoi — est indispensable. Pour construire votre grille complète, appuyez-vous sur notre tableau des durées de conservation des données.

Boîte active contre archivage : deux régimes distincts

Distinguer la boîte active de l’archivage n’est pas une subtilité théorique : c’est ce qui rend la politique applicable.

La boîte active est l’outil de travail. Elle doit être régulièrement purgée des messages sans utilité et sans obligation de conservation. Laisser une messagerie enfler indéfiniment n’est pas neutre : chaque message conservé sans base est une donnée en trop.

L’archivage intermédiaire est un espace distinct, à accès restreint, où l’on conserve les emails porteurs d’une valeur probatoire ou d’une obligation légale, le temps de la prescription ou de l’obligation. Concrètement : les échanges qui matérialisent un engagement, les pièces comptables reçues par mail, les documents contractuels. L’accès y est justifié (litige, contrôle, obligation) et tracé, non ouvert à tous.

La suppression intervient à l’échéance : une fois la durée d’utilité et les obligations épuisées, la donnée est effacée. Une politique crédible prévoit des mécanismes de purge (automatiques ou périodiques) plutôt que de s’en remettre au bon vouloir de chacun.

Formaliser cette distinction dans une politique de conservation écrite, intégrée au registre des traitements, est la meilleure protection en cas de contrôle : elle démontre que vous ne conservez pas « par défaut », mais selon une règle justifiée. Le respect des principes de finalité et de proportionnalité s’y lit directement.

Le cas sensible du départ d’un salarié

C’est la situation qui génère le plus d’erreurs et de contentieux. Que faire de la messagerie professionnelle d’un salarié qui quitte l’entreprise ?

La CNIL donne des repères clairs. Le compte de messagerie professionnelle doit être désactivé au départ du salarié, dans un délai raisonnable. Il n’a pas vocation à rester actif indéfiniment : maintenir une boîte ouverte des mois durant, accessible et alimentée, n’est pas justifié.

Pour assurer la continuité, plusieurs mesures proportionnées sont admises :

  • mettre en place un message d’absence automatique informant les correspondants du départ et indiquant un contact alternatif, pour une durée limitée (par exemple quelques mois) ;
  • prévoir, le cas échéant, une redirection des nouveaux messages vers un responsable ou un successeur, également pour une durée limitée et après information du salarié ;
  • puis supprimer le compte, en ne conservant que les messages professionnels nécessaires à la poursuite de l’activité ou à la preuve, dans l’espace d’archivage adapté.

Un point de droit fondamental encadre tout cela : les messages que le salarié a identifiés comme personnels relèvent du secret des correspondances et de la vie privée. L’employeur ne peut pas les ouvrir, même après le départ. La jurisprudence de la Cour de cassation protège de longue date la correspondance privée du salarié sur les outils professionnels : un message clairement identifié comme « personnel » ne peut être consulté par l’employeur, sauf risque ou événement particulier et dans des conditions strictes. À l’inverse, les messages non identifiés comme personnels sont présumés professionnels et l’employeur peut y accéder dans le cadre de son pouvoir de direction.

En pratique, une procédure de départ maîtrisée prévoit donc : information préalable du salarié, désactivation de la boîte au départ, message d’absence puis redirection temporaires, tri entre professionnel (à archiver/conserver selon les durées) et personnel (à ne pas ouvrir), et suppression finale. Ces règles gagnent à figurer dans la charte informatique, qui informe le salarié en amont des modalités de gestion de sa messagerie, y compris à son départ. La question se pose d’ailleurs de la même manière en contexte de télétravail.

Erreurs fréquentes et risques

  • Conserver toutes les messageries « pour toujours ». C’est le manquement le plus répandu au principe de limitation de la conservation. Il transforme la messagerie en gisement de données obsolètes, exposé en cas d’incident.
  • Confondre boîte active et archivage. Garder des emails contractuels dans la boîte de réception pendant des années, sans espace d’archivage à accès restreint, mélange les régimes et complique tout contrôle.
  • Purger « à l’aveugle ». À l’inverse, supprimer des emails qui portent une obligation légale (pièces comptables, preuves contractuelles) avant l’échéance expose à un risque probatoire, voire à un manquement à des obligations de conservation.
  • Accéder aux messages personnels d’un salarié. Ouvrir un message identifié comme personnel expose l’employeur à un contentieux prud’homal et à une atteinte à la vie privée. C’est un réflexe à proscrire.
  • Ne rien formaliser. Sans politique écrite ni traçabilité, il est impossible de démontrer à la CNIL que les durées appliquées sont justifiées. Le défaut de politique de conservation est un point régulièrement relevé lors des contrôles, et il peut nourrir une sanction.

Une conservation excessive ou non justifiée est un motif de sanction bien identifié ; si une amende devait en découler, elle reste contestable — voir notre guide sur comment contester une amende CNIL. La même logique de tri par contenu vaut d’ailleurs pour toutes les données de l’entreprise, y compris chez les plus petites structures : voir RGPD en micro-entreprise.

Sur le plan opérationnel, appliquer des durées différenciées à des milliers d’emails et de fichiers, avec des purges automatiques à l’échéance, ne se fait pas à la main. Un logiciel RGPD permet d’industrialiser la définition des durées par finalité, leur rattachement au registre et le suivi des échéances de suppression, de façon à rendre la politique de conservation réellement applicable dans la durée.

FAQ

Existe-t-il une durée légale de conservation des emails professionnels ?

Non. Aucun texte ne fixe une durée applicable « aux emails » en tant que tels. Le RGPD pose seulement un principe (article 5-1-e) : ne pas conserver les données au-delà de ce qui est nécessaire aux finalités. Les durées concrètes sont celles attachées aux contenus des messages : 5 ans pour les échanges contractuels (prescription civile), 10 ans pour les pièces comptables, des durées propres aux documents RH, 3 ans pour la prospection de non-clients, etc. La bonne question n’est donc jamais « combien de temps garder mes mails ? » mais « que contient cet email et quelle durée s’attache à ce contenu ? ».

Peut-on conserver tous ses emails pour se protéger en cas de litige ?

Non, pas de façon indifférenciée. Conserver l’intégralité des messageries « au cas où » viole le principe de limitation de la conservation. La bonne pratique consiste à identifier les emails réellement porteurs d’une valeur probatoire (engagements, contrats, pièces comptables) et à les placer en archivage intermédiaire à accès restreint pour la durée de la prescription applicable, tout en supprimant de la boîte active les messages sans portée. Vous vous protégez ainsi contre le risque de contentieux sans accumuler un stock illimité de données personnelles, qui constituerait lui-même un risque.

Que faire de la boîte mail d’un salarié qui part ?

La messagerie professionnelle doit être désactivée au départ, dans un délai raisonnable. On peut prévoir un message d’absence automatique et une redirection des messages vers un responsable, pour une durée limitée, avant suppression du compte. Seuls les messages professionnels nécessaires sont conservés, dans l’espace d’archivage adapté et selon leurs durées propres. Point crucial : les messages identifiés comme personnels ne doivent pas être ouverts par l’employeur, la correspondance privée du salarié étant protégée. Ces modalités gagnent à figurer dans la charte informatique, portée à la connaissance du salarié dès l’embauche.

L’employeur peut-il lire les emails professionnels de ses salariés ?

En principe, oui, pour les messages non identifiés comme personnels, qui sont présumés professionnels : l’employeur peut y accéder dans le cadre de son pouvoir de direction et de contrôle, à condition que cet accès soit proportionné et que les salariés aient été informés (via la charte informatique notamment). En revanche, l’employeur ne peut pas ouvrir les messages clairement identifiés comme « personnels » par le salarié, sauf circonstances exceptionnelles et dans des conditions strictes fixées par la jurisprudence. La distinction repose sur l’identification du caractère personnel du message ; en l’absence d’une telle mention, la présomption professionnelle s’applique.

Comment appliquer concrètement des durées différentes à une messagerie ?

En raisonnant par finalité et non par message individuel. On définit d’abord une politique de conservation qui liste les grands types de contenus (contractuel, comptable, RH, prospection, informel) et leur durée. On sépare ensuite la boîte active (usage courant, purge régulière) de l’archivage intermédiaire (accès restreint, durée de prescription). On met en place, autant que possible, des règles de purge automatique à l’échéance. Enfin, on documente le tout dans le registre des traitements. Sur un gros volume, des durées différenciées et des suppressions à échéance ne sont réalistes qu’avec des outils qui automatisent le suivi.

Faut-il inscrire la conservation des emails dans le registre des traitements ?

Oui, c’est vivement recommandé. Le registre des activités de traitement doit mentionner, pour chaque traitement, la durée de conservation prévue. La messagerie professionnelle, dès lors qu’elle contient des données personnelles (celles des salariés, des clients, des prospects, des correspondants), doit être appréhendée dans cette logique : ce n’est pas « la messagerie » qui figure au registre avec une durée unique, mais les finalités qu’elle sert, chacune avec sa durée. Formaliser une politique de conservation écrite et la rattacher au registre est aussi la meilleure preuve, en cas de contrôle, que vos durées sont justifiées et maîtrisées.


Cet article présente les repères applicables à la date de sa rédaction (juillet 2026). Les durées de conservation doivent être vérifiées au regard de votre secteur, de vos obligations spécifiques et des éventuels contentieux en cours. Il ne constitue pas un conseil juridique individualisé.

Thiébaut Devergranne
Docteur en droit des nouvelles technologies (Paris II)

Docteur en droit, Thiébaut Devergranne travaille en droit des nouvelles technologies et en protection des données personnelles depuis plus de 20 ans. Il a accompagné des centaines d'organisations dans leur mise en conformité RGPD et est le fondateur de Legiscope, logiciel de conformité RGPD.

En savoir plus sur l'auteur →