Conservation des données RGPD : politiques, calendriers et bonnes pratiques

Le principe de limitation du stockage du RGPD est d’une simplicité trompeuse : ne conservez pas les données personnelles plus longtemps que nécessaire. L’article 5(1)(e) stipule que les données personnelles doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».

En pratique, la mise en oeuvre de ce principe est l’un des aspects les plus complexes sur le plan opérationnel de la conformité RGPD. Cela nécessite de définir des durées de conservation spécifiques pour chaque catégorie de données personnelles, de justifier chaque durée, de mettre en oeuvre des mécanismes pour appliquer ces durées et de tout documenter. « Nous les conservons jusqu’à ce que quelqu’un nous demande de les supprimer » n’est pas une politique de conservation.

Pour les entreprises SaaS, la conservation des données croise la conception produit, les workflows d’ingénierie, les exigences légales et les attentes des clients. Ce guide couvre comment définir des durées de conservation, construire un calendrier de conservation et mettre en oeuvre des mécanismes de suppression qui fonctionnent réellement.

Pourquoi la conservation des données est importante

L’exigence légale

Le principe de limitation du stockage n’est pas une suggestion — c’est l’un des principes fondamentaux de traitement des données du RGPD (article 5). Conserver des données personnelles au-delà de leur durée de conservation justifiée constitue un traitement illicite, et peut entraîner des mesures d’exécution.

Les autorités de contrôle ont infligé des amendes spécifiquement pour conservation excessive de données. Conserver indéfiniment des données clients « pour un usage futur potentiel » ou conserver des dossiers d’employés longtemps après la fin de l’emploi sans justification juridique sont exactement les schémas que recherchent les régulateurs.

Les avantages pratiques

Au-delà de la conformité, de bonnes pratiques de conservation réduisent votre surface de risque. Les données que vous avez supprimées ne peuvent pas être violées, ne peuvent pas faire l’objet d’une DSAR et ne peuvent pas devenir un passif. Moins de données signifie des coûts de stockage réduits, des requêtes de base de données plus rapides et une cartographie des données plus simple. La discipline de conservation est une bonne hygiène des données, pas seulement de la bonne conformité.

Définir les durées de conservation

Étape 1 : Inventoriez vos catégories de données

Avant de définir les durées de conservation, vous devez savoir quelles données vous détenez. Partez de votre RAT — chaque activité de traitement implique des catégories spécifiques de données qui nécessitent des durées de conservation individuelles.

Catégories de données courantes pour les entreprises SaaS :

Données de compte utilisateur (noms, emails, identifiants)
Données d’utilisation et comportementales (interactions avec les fonctionnalités, journaux de session)
Données de relation client (dossiers CRM, historique de communication)
Données financières (factures, dossiers de paiement, historique de facturation)
Données de support (tickets, transcriptions de chat, retours)
Données marketing (abonnements email, engagement aux campagnes)
Données employés (dossiers RH, paie, évaluations de performance)
Données des visiteurs du site web (analyses, données de cookies, soumissions de formulaires)
Journaux applicatifs (journaux serveur, journaux d’erreurs, pistes d’audit)

Étape 2 : Déterminez la justification de chaque durée

Chaque durée de conservation nécessite une justification. Il existe quatre sources principales de justification :

Nécessité contractuelle. Les données nécessaires à l’exécution d’un contrat doivent être conservées pendant la durée du contrat, plus une période de fin de contrat raisonnable. Exemple : les données de compte utilisateur conservées tant que l’abonnement est actif, plus 30 jours pour la réactivation ou l’export des données.

Obligation légale. Certaines données doivent être conservées pendant des durées spécifiques par la loi. Ces exigences varient selon la juridiction :

Dossiers financiers et fiscaux : généralement 6 à 10 ans selon le pays
Dossiers d’emploi : varie significativement selon la juridiction (2 à 10 ans)
Dossiers anti-blanchiment : 5 ans après la fin de la relation commerciale
Dossiers TVA : généralement 7 à 10 ans

Intérêt légitime. Certaines données servent un objectif commercial légitime au-delà de la finalité de collecte initiale. Exemple : conserver des analyses d’utilisation agrégées pour l’amélioration du produit. Mais l’intérêt légitime doit être mis en balance avec les droits de la personne concernée, et la durée de conservation doit être définie et justifiée.

Consentement. Les données traitées sur la base du consentement doivent être conservées jusqu’au retrait du consentement — plus le traitement nécessaire pour effectuer le retrait (ex. : ajouter un email à une liste de suppression pour empêcher la réinscription).

Étape 3 : Appliquez le test de minimisation

Pour chaque catégorie de données et durée de conservation, demandez-vous : pourrions-nous atteindre le même objectif avec moins de données conservées pendant une durée plus courte ?

Les données d’utilisation peuvent-elles être agrégées ou anonymisées après une période plus courte tout en servant leur finalité ?
Les pièces jointes des tickets de support doivent-elles être conservées aussi longtemps que les métadonnées des tickets ?
Les données de journalisation complètes doivent-elles être conservées, ou des données résumées suffiraient-elles après une période initiale ?

La durée de conservation doit être le minimum nécessaire pour la finalité déclarée — pas le maximum que vous pouvez justifier.

Modèle de calendrier de conservation pour les entreprises SaaS

Voici un modèle pratique avec des durées de conservation courantes. Ajustez en fonction de vos exigences légales spécifiques, contrats et besoins commerciaux :

Données de compte utilisateur

Comptes actifs : Durée du compte plus 30 jours après la demande de suppression du compte
Comptes d’essai (non convertis) : 90 jours après l’expiration de l’essai
Comptes inactifs (aucune connexion) : 24 mois d’inactivité déclenche une notification ; suppression 30 jours après la notification si pas de réactivation

Données d’utilisation et comportementales

Données d’événements détaillées : 12 mois, puis agrégées/anonymisées
Enregistrements de session (si utilisés) : 90 jours
Analyses d’utilisation des fonctionnalités : 24 mois, puis agrégées

Données de relation client

Dossiers clients actifs : Durée de la relation
Dossiers clients post-résiliation : 12 mois pour référence, puis anonymisés
Données de prospects commerciaux (pas de contrat) : 12 mois après la dernière interaction significative
Cartes de visite / contacts d’événements : 6 mois si pas de suivi ou de consentement obtenu

Données financières

Factures et dossiers de facturation : 10 ans (obligation fiscale — vérifiez les exigences locales)
Détails du moyen de paiement : Gérés par le processeur de paiement ; les références locales supprimées avec le compte
Dossiers de remboursement : 7 ans (tenue de registres financiers)

Données de support

Métadonnées des tickets résolus : Durée de la relation client plus 12 mois
Contenu et pièces jointes des tickets : 24 mois après la résolution, puis anonymisés
Transcriptions de chat : 12 mois, puis supprimées
Enregistrements d’appels téléphoniques : 6 mois (si utilisés pour la formation/qualité), puis supprimés

Données marketing

Abonnés email (actifs) : Jusqu’au désabonnement ou retrait du consentement
Liste de suppression d’email : Indéfiniment (nécessaire pour empêcher la réinscription — mais uniquement l’adresse email, pas d’autres données)
Données de performance des campagnes : 24 mois, puis agrégées
Registres de consentement aux cookies : 12 mois (pour démontrer le consentement)

Données employés

Dossiers des employés actuels : Durée de l’emploi
Dossiers des anciens employés : 2 à 7 ans après la fin de l’emploi (varie selon la juridiction et le type de dossier)
Données des candidats non retenus : 6 mois après le rejet (ou avec consentement, jusqu’à 12 mois)
Dossiers de paie et fiscaux : 7 à 10 ans (obligation légale)

Journaux techniques

Journaux applicatifs (avec données personnelles) : 90 jours, puis anonymisés ou supprimés
Journaux de sécurité et d’audit : 12 mois
Journaux d’erreurs avec traces de pile : 30 jours
Journaux d’accès : 6 mois

Mettre en oeuvre la conservation en pratique

Suppression automatisée

La suppression manuelle ne passe pas à l’échelle. Construisez des processus automatisés qui :

Signalent les enregistrements approchant leur échéance de conservation
Exécutent la suppression selon le calendrier (ou après une période de révision)
Gèrent la suppression en cascade (lorsqu’un compte utilisateur est supprimé, toutes les données associées dans tous les systèmes doivent suivre)
Enregistrent les événements de suppression pour la responsabilité

Gérer les sauvegardes

Les sauvegardes sont l’exception gênante à une suppression propre. Lorsque vous supprimez un enregistrement de votre base de données de production, il existe toujours dans la sauvegarde de la semaine dernière. Le RGPD reconnaît que purger immédiatement les données de toutes les sauvegardes peut être techniquement impraticable.

L’approche pragmatique :

Définissez une durée de conservation des sauvegardes (ex. : 30 à 90 jours)
Documentez la durée de conservation des sauvegardes dans votre RAT et votre avis de confidentialité
Lorsque des données sont supprimées de la production, elles disparaîtront naturellement des sauvegardes à mesure que les anciennes sauvegardes sont remplacées
Si quelqu’un exerce son droit à l’effacement, documentez que les données ont été supprimées de la production et seront écrasées dans les sauvegardes dans le cycle de conservation des sauvegardes
Assurez-vous que les sauvegardes ne sont pas restaurées de manière à ressusciter des données supprimées

L’anonymisation comme alternative à la suppression

Les limites de conservation du RGPD s’appliquent aux données personnelles — les données qui identifient ou peuvent identifier une personne. Si vous anonymisez véritablement les données (pas seulement les pseudonymisez), les données anonymisées ne sont plus soumises au RGPD, et vous pouvez les conserver indéfiniment pour l’analyse, la recherche ou l’amélioration du produit.

Le mot clé est « véritablement ». L’anonymisation doit être irréversible — vous ne devriez pas pouvoir ré-identifier des personnes à partir de l’ensemble de données anonymisé, même en le combinant avec d’autres données que vous détenez. La pseudonymisation (remplacer les identifiants par des jetons tout en conservant la correspondance) n’est pas de l’anonymisation et reste soumise au RGPD.

Techniques d’anonymisation efficaces :

Agrégation : Combiner les enregistrements individuels en résumés statistiques
Généralisation : Remplacer des valeurs spécifiques par des plages (âge 32 -> tranche d’âge 30-40)
Suppression : Retirer entièrement les champs identifiants
Ajout de bruit : Ajouter des variations aléatoires aux valeurs individuelles

Demandes des personnes concernées et conservation

Lorsque quelqu’un exerce son droit à l’effacement (article 17), vous devez généralement supprimer ses données indépendamment de votre calendrier de conservation — sauf si une exception s’applique (obligation légale, contentieux juridique, intérêt public ou exercice de la liberté d’expression).

Lorsque quelqu’un exerce son droit à la limitation du traitement (article 18), vous devez cesser de traiter ses données mais n’avez pas nécessairement besoin de les supprimer. Les données sont « gelées » jusqu’à ce que la limitation soit levée.

Votre calendrier de conservation doit documenter comment les droits des personnes concernées interagissent avec les durées de conservation.

Erreurs courantes en matière de conservation

Pas de durées définies. « Nous les conserverons aussi longtemps que nous en aurons besoin » n’est pas une politique. Les autorités de contrôle attendent des durées spécifiques (ou des critères spécifiques) documentés pour chaque catégorie de données.

Durées de conservation uniformes pour tout. Appliquer la même durée de conservation à toutes les données (ex. : « nous supprimons tout après 5 ans ») ignore le principe selon lequel différentes données servent différentes finalités avec différentes justifications. Les dossiers financiers peuvent nécessiter 10 ans ; les préférences marketing peuvent nécessiter 12 mois.

Ne pas tenir compte de toutes les copies. Les données ne vivent pas uniquement dans votre base de données principale. Elles sont dans votre CRM, votre plateforme d’analyse, votre outil d’email marketing, votre système de support, vos sauvegardes et possiblement dans des documents partagés ou des fils de discussion email. Les politiques de conservation doivent couvrir toutes les localisations.

Pas de mécanisme d’application. Un calendrier de conservation sans suppression automatisée ni révision manuelle régulière n’est qu’un document. Sans application, les données s’accumulent indéfiniment.

Comment GRCTrail gère la conservation

GRCTrail intègre la gestion de la conservation dans votre programme de conformité :

RAT avec durées de conservation. Chaque activité de traitement dans votre Registre des Activités de Traitement inclut des durées de conservation documentées, liées à leurs justifications. Lorsque vous révisez votre RAT, les durées de conservation font partie de l’évaluation.

Surveillance de la conservation. Suivez si vos durées de conservation définies sont appliquées dans vos systèmes. Signalez les catégories de données dont la conservation approche ou dépasse la durée définie.

Connecté à votre avis de confidentialité. Votre avis de confidentialité publié indique vos durées de conservation. GRCTrail assure la cohérence entre ce que vous dites aux personnes concernées et ce que vos systèmes font réellement.

Prenez le contrôle de votre conservation des données →

Guides connexes

Checklist de conformité RGPD — Le cadre de conformité complet
Registre des Activités de Traitement (RAT) — Documenter votre traitement
Exigences relatives aux avis de confidentialité — Communiquer la conservation aux personnes concernées
Les six bases juridiques — Fondements juridiques qui informent les durées de conservation

Commencez avec GRCTrail →

Cookie Name	Purpose	Duration
grctrail_consent	Stores your cookie preferences	1 year
grctrail_user_id	Maintains your session state	1 year

Cookie Name	Purpose	Duration
_ga	Google Analytics - Distinguishes unique users	2 years
_ga_*	Google Analytics 4 - Maintains session state	2 years
_gid	Google Analytics - Distinguishes users	24 hours