Tableau des durées de conservation RGPD : guide complet 2026
Tableau complet des durées de conservation des données personnelles RGPD : RH, clients, prospects, comptabilité, vidéosurveillance. Sources CNIL et délais légaux 2026.
L’essentiel. Le RGPD ne fixe aucune durée chiffrée. Chaque responsable de traitement doit déterminer une durée adaptée à la finalité, en s’appuyant sur les référentiels CNIL, les délais légaux (prescription, archivage comptable, fiscal, social) et la doctrine sectorielle. Le tableau ci-dessous synthétise les durées de référence en 2026 par catégorie de traitement.
Le principe de limitation de la conservation (article 5(1)(e) du RGPD) impose de ne conserver les données personnelles que pendant une durée n’excédant pas celle nécessaire au regard des finalités du traitement. Cette obligation est l’un des points de contrôle systématiques de la CNIL. En pratique, l’organisation doit pouvoir justifier chaque durée déclarée dans son registre des traitements — soit par référence à une obligation légale, soit par une analyse documentée de la nécessité.
Ce guide propose un tableau complet des durées de conservation par catégorie de traitement, fondé sur les référentiels et délibérations de la CNIL, les délais de prescription du Code civil et du Code de commerce, et les obligations sectorielles spécifiques. Il distingue à chaque fois la base active (utilisation opérationnelle), l’archivage intermédiaire (conservation pour la défense de droits ou obligation légale), et l’archivage définitif (versement aux archives publiques le cas échéant).
Les trois temps de la conservation
Avant le tableau, la distinction structurante :
- Base active : durée pendant laquelle les données sont utilisées de façon courante. Accès large des équipes opérationnelles.
- Archivage intermédiaire : conservation à accès restreint après cessation de l’usage actif, justifiée par une obligation légale (comptabilité, prescription) ou la défense d’un droit en justice.
- Archivage définitif : conservation à des fins archivistiques (article 89 RGPD), historiques ou statistiques, après pseudonymisation ou anonymisation lorsque possible.
Ces trois temps doivent être documentés dans le registre, avec des règles d’accès différenciées. La CNIL contrôle l’effectivité du basculement d’un temps à l’autre, pas seulement la durée totale.
Tableau des durées de conservation RGPD par catégorie
Ressources humaines
| Catégorie de données | Base active | Archivage intermédiaire | Source |
|---|---|---|---|
| Dossier salarié (contrat, fiches de paie) | Durée du contrat | 5 ans après départ (prescription prud’homale Art. L.1471-1 Code du travail) | CNIL référentiel RH |
| Candidatures non retenues | 2 ans après dernier contact (avec accord du candidat) | Suppression à l’échéance | Délibération CNIL recrutement |
| Bulletins de salaire (employeur) | Durée du contrat | 5 ans (Art. L.3243-4 Code du travail) | Code du travail |
| Comptabilité paie | Durée du contrat | 6 ans (Art. L.243-12 CSS) | Code sécurité sociale |
| Données URSSAF / DSN | Année en cours | 3 ans (prescription cotisations) | URSSAF |
| Évaluations professionnelles | Durée du contrat | 5 ans après départ | Référentiel RH CNIL |
| Suivi de la formation | Année en cours | 5 ans (obligation fiscale formation) | Code du travail |
| Vidéosurveillance des locaux pro | 30 jours maximum sauf incident | Conservation = durée procédure | Délibération 2019-013 CNIL |
| Accès aux locaux (badges) | 3 mois | Suppression à l’échéance | Référentiel CNIL |
| Données de connexion informatique | 6 mois maximum sauf besoin de sécurité | Suppression ou anonymisation | Référentiel CNIL + LOPPSI |
Clients et prospects
| Catégorie de données | Base active | Archivage intermédiaire | Source |
|---|---|---|---|
| Fichier clients actifs | Durée de la relation commerciale | 5 ans après dernière transaction (prescription Art. L.110-4 Code de commerce) | Référentiel CNIL prospection |
| Prospects (consentement) | 3 ans à compter du dernier contact entrant | Suppression à l’échéance | Référentiel CNIL prospection |
| Prospects B2B (intérêt légitime) | 3 ans à compter du dernier contact ou consultation | Suppression à l’échéance | Délibération CNIL + ePrivacy |
| Carte de fidélité | Durée d’inscription au programme | 3 ans après dernière utilisation | Référentiel CNIL |
| Avis et commentaires clients | Durée d’exploitation commerciale | 5 ans (prescription civile) | Code de la consommation |
| Réclamations clients | Durée du traitement | 5 ans après clôture | Code de la consommation |
| Données de navigation et cookies | Selon finalité (souvent 13 mois max pour cookies analytics) | — | Recommandation cookies CNIL 2020 |
Comptabilité, facturation, fiscal
| Catégorie de données | Base active | Archivage intermédiaire | Source |
|---|---|---|---|
| Factures clients et fournisseurs | Année en cours | 10 ans (Art. L.123-22 Code de commerce) | Code de commerce |
| Pièces comptables et justificatifs | Année en cours | 10 ans | Code de commerce |
| Documents fiscaux (TVA, IS) | Année en cours | 6 ans (Art. L.102 B LPF) | Livre des procédures fiscales |
| Bons de commande et de livraison | Année en cours | 10 ans | Code de commerce |
| Contrats commerciaux | Durée du contrat | 5 à 10 ans selon nature | Code de commerce |
| Données bancaires (RIB enregistrés) | Durée de la prestation + 15 mois max pour autorisation | Suppression | Recommandation CNIL paiement |
Données sensibles (article 9 RGPD)
| Catégorie de données | Base active | Archivage intermédiaire | Source |
|---|---|---|---|
| Données de santé (dossier patient) | Durée de prise en charge | 20 ans après dernier acte (Art. R.1112-7 CSP) | Code santé publique |
| Données de santé (dossier pharmaceutique) | Durée d’usage | 30 ans (Art. L.1110-4-1 CSP) | Code santé publique |
| Données infractions et condamnations | Durée du traitement autorisé | Selon autorisation CNIL ou décret | Art. 10 RGPD + Art. 6 LIL |
| Données biométriques | Durée d’usage strict | Suppression dès la fin de la finalité | Délibérations CNIL biométrie |
| Données génétiques | Durée encadrée par la loi bioéthique | Réglementation spécifique | Loi bioéthique |
| Origine raciale, opinions politiques | Interdit par défaut, exceptions Art. 9(2) | Encadré par la base d’exception | Art. 9 RGPD |
Vidéosurveillance et contrôle
| Catégorie de données | Base active | Archivage intermédiaire | Source |
|---|---|---|---|
| Vidéosurveillance lieux ouverts au public | 30 jours maximum | Procédure ou enquête en cours | Code sécurité intérieure |
| Vidéosurveillance entreprise (salariés) | 30 jours typiquement | Procédure disciplinaire ou contentieux | Délibérations CNIL vidéo |
| Géolocalisation véhicules | Selon finalité, 2 mois max pour optimisation | Suppression | Référentiel CNIL géolocalisation |
| Contrôle d’accès et badges | 3 mois maximum | Suppression à l’échéance | Référentiel CNIL |
| Cybersurveillance et logs | 6 mois maximum sauf besoin de sécurité | Anonymisation ou suppression | LOPPSI + référentiels CNIL |
Site web et marketing digital
| Catégorie de données | Base active | Archivage intermédiaire | Source |
|---|---|---|---|
| Cookies analytics (Google Analytics, Matomo) | 13 mois maximum (recommandation CNIL) | Anonymisation puis suppression | Recommandation CNIL 2020 |
| Cookies publicitaires | 13 mois maximum | Suppression | Recommandation CNIL 2020 |
| Formulaire de contact | Durée du traitement de la demande | 3 ans si conversion prospect | Recommandation CNIL prospection |
| Newsletter (inscrits actifs) | Durée d’abonnement | 3 ans après désinscription (preuve consentement) | Recommandation CNIL prospection |
| Logs de serveur web | 12 mois maximum (Décret 2011-219) | Conservation = procédure | LCEN + LOPPSI |
| Données de compte utilisateur | Durée d’activité du compte | 3 ans après dernière connexion | Recommandation CNIL |
Données spécifiques
| Catégorie | Base active | Archivage intermédiaire | Source |
|---|---|---|---|
| Plaintes et signalements internes (lanceurs d’alerte) | Durée de la procédure | Selon décision et délais légaux | Loi Sapin II |
| Données de candidats à un poste | Voir RH ci-dessus | — | — |
| Données IRP (élections, mandats) | Durée du mandat | Selon obligations légales | Code du travail |
| Données de bénévoles | Durée de la mission | 3 ans après dernier engagement | Référentiels associations |
| Données de membres associatifs | Durée de l’adhésion | 3 ans après non-renouvellement (preuves cotisations) | Code commerce |
Comment justifier ses durées de conservation
Le tableau ci-dessus fournit des durées de référence. Pour une organisation, la documentation rigoureuse de chaque durée est l’obligation centrale. Trois sources à mobiliser dans le registre :
1. Les référentiels CNIL
La CNIL publie des référentiels et des délibérations sectoriels (RH, prospection commerciale, santé, banque, vidéo, etc.) qui fixent les durées admises. C’est la source la plus protectrice : appliquer un référentiel et le mentionner dans le registre constitue une présomption de conformité.
2. Les délais légaux
Pour les données soumises à obligation légale de conservation (comptabilité, fiscalité, social, santé), la durée est fixée par le texte. Le registre doit citer la disposition applicable (article + code).
3. Les délais de prescription
Pour les données conservées en archivage intermédiaire à des fins de défense de droits en justice, le délai de référence est celui de la prescription applicable :
- 5 ans : prescription civile générale (Art. 2224 Code civil), prescription commerciale (Art. L.110-4 Code de commerce), prescription prud’homale (Art. L.1471-1 Code du travail)
- 10 ans : prescription comptable (Code de commerce), prescription en matière de construction (Art. 1792 Code civil)
- 2 ans : prescription action consommateur (Art. L.218-2 Code de la consommation)
L’archivage intermédiaire doit être physiquement et logiquement séparé de la base active, avec accès restreint aux personnes ayant un besoin justifié (juridique, conformité, comptabilité).
Erreurs fréquentes sanctionnées par la CNIL
Mon expérience d’accompagnement des contrôles CNIL met en évidence cinq manquements récurrents :
- Conservation “indéfinie” déclarée au registre. Mention “tant que nécessaire” ou “selon obligation légale” sans précision. La CNIL exige une durée chiffrée ou une référence légale précise.
- Pas de purge effective. La durée est documentée, mais aucun mécanisme automatisé n’efface les données à l’échéance. La conformité documentaire ne suffit pas — l’effectivité est contrôlée.
- Confusion base active / archivage. Données archivées toujours accessibles depuis l’interface opérationnelle, alors que l’accès aurait dû être restreint.
- Prospects conservés au-delà de 3 ans. Le délai de 3 ans après dernier contact est strictement appliqué par la CNIL en matière de prospection. Au-delà, l’absence d’effacement constitue un manquement.
- Cookies analytics au-delà de 13 mois. La recommandation CNIL de 2020 plafonne cette durée. Les configurations par défaut de Google Analytics (anciennement 26 mois) sont à corriger.
Ces manquements relèvent de l’article 5(1)(e) RGPD et sont passibles d’amendes au plafond haut de l’article 83(5)(a) : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial.
Industrialiser la gestion des durées de conservation
Pour une organisation de plus de 10 traitements, la gestion manuelle des durées est rarement viable. Trois leviers à combiner :
- Politique de durées de conservation formalisée, validée par la direction, communiquée à toutes les équipes
- Purges automatisées dans chaque système métier (CRM, ERP, SIRH, outils marketing) avec règles documentées
- Audit annuel des durées effectivement appliquées vs. déclarées au registre — c’est le point de contrôle CNIL par excellence
Un logiciel RGPD permet d’industrialiser ce suivi : déclaration des durées par traitement, alertes de purge, historique des effacements, génération du registre conforme à l’article 30 et exports d’audit.
FAQ : durées de conservation RGPD
Le RGPD fixe-t-il une durée maximale de conservation ?
Non. L’article 5(1)(e) impose une durée “n’excédant pas celle nécessaire” mais ne fixe aucun chiffre. Chaque responsable de traitement définit la durée par traitement, en justifiant son choix.
Que faire si les durées légales et les durées CNIL diffèrent ?
L’obligation légale prime. Si la loi impose 10 ans (comptabilité), la donnée doit être conservée 10 ans, peu importe les autres référentiels. La durée la plus longue applicable s’impose à la base active ou à l’archivage intermédiaire selon le cas.
Comment gérer un prospect contacté il y a 3 ans qui répond enfin ?
Le compteur de 3 ans repart à compter du dernier contact entrant (réponse, ouverture significative, demande d’information). La durée n’est pas “depuis la première collecte” mais “depuis le dernier contact actif”. Documenter cette logique dans le registre.
Faut-il anonymiser ou supprimer en fin de durée ?
Les deux sont valides juridiquement. L’anonymisation (suppression de tout lien permettant la ré-identification) fait sortir les données du périmètre RGPD. La suppression est plus radicale. Pour des données statistiques utiles à l’organisation, l’anonymisation est souvent préférable.
Une durée plus courte que les référentiels est-elle valable ?
Oui, et c’est même encouragé. Le principe de minimisation plaide pour des durées plus courtes lorsque la finalité ne nécessite pas la durée maximale. Une durée plus courte est plus simple à justifier qu’une durée plus longue.
Que faire des données quand un client demande l’effacement (Art. 17) avant la fin de la durée ?
L’effacement doit être effectué, sauf si une obligation légale impose la conservation (comptabilité, par exemple). Dans ce cas, les données sont déplacées en archivage à accès restreint pour la durée légale résiduelle, et l’effacement opérationnel est effectif (suppression des accès, suppression du CRM actif).
Pour la documentation des durées et la mise en œuvre opérationnelle des purges, le registre des traitements est le document central. Sa tenue rigoureuse est l’une des premières actions à mettre en œuvre pour la conformité RGPD.