Durée de conservation des données RGPD : les durées à respecter en 2026

« Pendant combien de temps ai-je le droit de garder les données de mes clients ? » C'est l'une des questions les plus fréquentes — et l'un des principes les plus mal appliqués du RGPD. Le règlement pose une règle simple : les données ne peuvent pas être conservées indéfiniment. Elles doivent être supprimées ou anonymisées une fois la finalité atteinte. Ce guide donne les durées concrètes recommandées par la CNIL et explique comment construire une politique de conservation propre.

Le principe : la limitation de la conservation

L'un des grands principes du RGPD est la limitation de la durée de conservation. Vous ne pouvez garder une donnée que le temps nécessaire à la finalité pour laquelle elle a été collectée. Au-delà, vous devez la supprimer ou l'anonymiser.

Conserver « au cas où », sans durée définie, est une non-conformité fréquente et facile à constater lors d'un contrôle. La CNIL vérifie notamment si vous avez défini des durées et si vous les appliquez réellement (purge automatique, archivage).

Les trois phases du cycle de vie d'une donnée

La CNIL distingue trois étapes :

1. Base active : la donnée est utilisée au quotidien (un client en cours de relation, un prospect actif). Elle est accessible aux équipes opérationnelles.
2. Archivage intermédiaire : la donnée n'est plus utilisée couramment mais doit être conservée pour répondre à une obligation légale ou en cas de litige (par exemple les factures). Accès restreint.
3. Suppression ou anonymisation : au terme de la durée d'archivage, la donnée est détruite ou rendue anonyme de façon irréversible.

Une politique de conservation propre définit, pour chaque type de donnée, le passage d'une phase à l'autre.

Tableau des durées recommandées par la CNIL

Ces durées sont des références usuelles. Adaptez-les à votre activité et documentez vos choix.

| Type de données | Base active | Archivage / obligation légale | |---|---|---| | Client (relation commerciale) | Durée de la relation | 3 ans après le dernier achat (prospection) | | Prospect | 3 ans après le dernier contact | — | | Factures et pièces comptables | Exercice en cours | 10 ans (Code de commerce) | | Contrats | Durée du contrat | 5 ans après la fin | | CV de candidats non retenus | 2 ans (avec accord du candidat) | — | | Données de paie / RH | Durée d'emploi | jusqu'à 5 ans selon le document | | Cookies et traceurs | Consentement valable | 13 mois maximum, données issues : 25 mois | | Logs de connexion | — | 6 mois à 1 an | | Données bancaires (paiement ponctuel) | Le temps de la transaction | supprimées après, sauf abonnement |

Pour les cookies, la durée de 13 mois pour le consentement et de 25 mois pour les données collectées via les traceurs est une règle clé : au-delà, il faut redemander le consentement. Voyez notre guide de la bannière cookie.

Le cas des prospects : la règle des 3 ans

C'est la durée la plus utile à retenir pour un freelance ou une PME : les données d'un prospect (quelqu'un qui n'a pas encore acheté) peuvent être conservées 3 ans à compter du dernier contact de sa part (clic, réponse, demande). Passé ce délai sans interaction, vous devez les supprimer ou solliciter à nouveau son accord. Ce point est central pour la prospection — voyez notre guide sur le cold email et la prospection commerciale.

Le cas des factures : 10 ans, malgré une demande d'effacement

Les factures relèvent d'une obligation légale de conservation de 10 ans (Code de commerce). C'est une exception au droit à l'effacement : même si un client demande la suppression de ses données, vous conservez les factures jusqu'au terme légal, en le lui expliquant. Le détail de la gestion d'une telle demande figure dans notre article demande d'accès ou d'effacement.

Comment bâtir votre politique de conservation

1. Lister vos traitements

Reprenez votre registre des traitements : chaque traitement doit comporter une durée de conservation. Si la colonne est vide, c'est le premier signal de non-conformité à corriger.

2. Définir une durée par finalité

Pour chaque catégorie de données, fixez une durée en base active et, le cas échéant, une durée d'archivage liée à une obligation légale. Justifiez chaque choix.

3. Mettre en place la purge

La conformité ne s'arrête pas à l'écriture des durées : il faut les appliquer. Programmez des purges (suppression ou anonymisation) automatiques ou des revues périodiques. Une base qui contient encore des prospects inactifs depuis 6 ans démontre que la politique n'est pas appliquée.

4. Informer dans la politique de confidentialité

Vos durées de conservation doivent figurer dans votre politique de confidentialité, de façon compréhensible. ConformeRGPD génère cette section à partir des durées que vous renseignez.

Conclusion

Le principe de limitation de conservation se résume en une phrase : gardez les données le temps nécessaire, pas davantage, et appliquez réellement vos durées. Retenez les repères clés — 3 ans pour les prospects, 10 ans pour les factures, 13/25 mois pour les cookies — documentez vos choix dans le registre, et mettez en place des purges. C'est l'un des principes les plus simples à respecter et l'un des plus contrôlés.

Pour vérifier l'ensemble de votre conformité, y compris la durée de vie de vos cookies, lancez un scan gratuit et suivez notre checklist RGPD complète.