La durée de conservation des données personnelles est un élément essentiel de la conformité au Règlement Général sur la Protection des Données (RGPD). Le principe de limitation de la conservation impose aux organismes de ne pas conserver les données au-delà de la durée nécessaire aux finalités pour lesquelles elles ont été collectées. Voici un tour d’horizon des durées de conservation applicables à différents domaines et les justifications associées.
1. Ressources humaines
Dans le cadre de la gestion du personnel, les entreprises doivent respecter des durées de conservation spécifiques :
- Dossier du salarié : 5 ans après le départ de l’employé (prescription des actions en justice en matière sociale).
- Bulletins de paie : 5 ans pour l’employeur, 3 ans pour le salarié.
- Données relatives au recrutement : 2 ans après le dernier contact avec le candidat non retenu, sauf consentement pour une conservation plus longue.
Ces durées permettent de respecter les obligations légales en matière de droit du travail, de fiscalité et de contentieux potentiel.
2. Relations commerciales et clients
Dans le cadre de la relation client, les entreprises doivent concilier obligations contractuelles et protection des données :
- Données clients (contrats, factures, etc.) : 10 ans après la clôture de l’exercice comptable (obligation légale en matière fiscale et comptable).
- Données prospects (informations collectées via formulaires, échanges commerciaux) : 3 ans après le dernier contact.
- Enregistrements des conversations téléphoniques à des fins de formation ou d’amélioration de service : 6 mois maximum sauf en cas de nécessité particulière.
Ces durées permettent d’assurer le suivi contractuel, la gestion des réclamations et la conformité aux réglementations fiscales.
3. Santé et données médicales
Les données de santé sont particulièrement sensibles et bénéficient d’une protection renforcée :
- Dossier médical des patients : 20 ans après le dernier passage du patient dans un établissement de santé (obligation légale en France).
- Données des patients mineurs : jusqu’à leurs 28 ans (10 ans après leur majorité).
- Imagerie médicale et analyses biologiques : 5 ans en général, sauf exceptions spécifiques.
Ces durées assurent la continuité des soins et la protection des patients.
4. Vidéosurveillance et contrôle d’accès
Les systèmes de vidéosurveillance et de contrôle d’accès doivent respecter des durées strictes :
- Images de vidéosurveillance : 30 jours maximum sauf nécessité de conservation pour enquête judiciaire.
- Registres des accès aux locaux : 3 mois.
Ces durées permettent de prévenir les infractions tout en limitant les risques d’atteinte à la vie privée.
5. Données liées au marketing et à la communication
Les entreprises utilisant des données à des fins de prospection doivent respecter des limites temporelles :
- Consentement pour l’envoi de newsletters : jusqu’au retrait du consentement ou 3 ans après le dernier contact.
- Cookies et traceurs : 13 mois maximum après leur dépôt sur le terminal de l’utilisateur.
Ces durées garantissent un équilibre entre efficacité marketing et respect des droits des individus.
Bonnes pratiques pour la gestion des durées de conservation
- Mettre en place une politique de conservation des données claire et documentée.
- Automatiser l’effacement ou l’archivage des données à l’expiration des délais.
- Informer les personnes concernées des durées de conservation dans les politiques de confidentialité.
- Assurer une veille juridique pour adapter les durées aux évolutions réglementaires.
En respectant ces principes, les organismes garantissent une gestion responsable des données et limitent les risques juridiques liés à une conservation excessive.