RGPDdurée-de-conservationCNILconformitéarchivage

Durée de conservation des données personnelles : tableau et règles RGPD 2026

Combien de temps conserver les données clients, prospects, RH, factures ou cookies ? Tableau récapitulatif, règle des trois étapes (base active, archivage, suppression) et nouveautés CNIL 2026.

9 min de lecture

Le RGPD ne dit nulle part « conservez les données client 3 ans » ni « gardez les factures 10 ans ». Il pose un principe, à l'article 5, et laisse chaque organisme en tirer les conséquences : les données ne peuvent pas être conservées au-delà de ce qui est nécessaire à la finalité pour laquelle elles ont été collectées. Cette liberté apparente est un piège : c'est à vous de fixer une durée pour chaque traitement, et c'est l'un des points les plus contrôlés par la CNIL.

Et le sujet n'a jamais été aussi chaud. En 2025-2026, la conservation excessive est devenue l'un des manquements que la CNIL sanctionne le plus lourdement — le volume de données accumulées au-delà du nécessaire pèse désormais comme circonstance aggravante dans le calcul des amendes. En parallèle, la CNIL a publié le 2 avril 2026 un nouveau référentiel sur les durées de conservation en matière de ressources humaines. Cet article fait le point : la règle de fond, le tableau récapitulatif par type de donnée, et ce qui change en 2026.

Quelle est la durée de conservation des données personnelles selon le RGPD ?

Le RGPD ne fixe aucune durée chiffrée : l'article 5 impose seulement de ne pas conserver les données au-delà du nécessaire. En pratique, la durée se détermine par finalité. Les données clients sont conservées 3 ans après la fin de la relation, les factures 10 ans, les cookies 13 mois, les données RH selon le référentiel CNIL. C'est au responsable de traitement de fixer et de documenter chaque durée.

Le principe : « limitée à ce qui est nécessaire »

L'article 5.1.e du RGPD énonce le principe de limitation de la conservation : les données doivent être conservées « sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités ». Autrement dit, dès qu'une donnée n'a plus d'utilité pour l'objectif qui a justifié sa collecte, elle doit cesser d'être conservée sous forme identifiante.

La difficulté, c'est que cette durée « nécessaire » n'est presque jamais évidente. La CNIL recommande de raisonner en trois temps et de fixer, pour chaque traitement, une durée à chacune des deux premières étapes.

La règle des trois étapes (cycle de vie de la donnée)

C'est la grille de lecture de la CNIL, et la plus utile pour fixer vos durées :

  1. Base active — la donnée est utilisée au quotidien pour la finalité courante (gérer un client, traiter une commande, répondre à un prospect). Elle est accessible aux services opérationnels concernés.
  2. Archivage intermédiaire — la donnée n'est plus utile au quotidien, mais doit être conservée pour répondre à une obligation légale (comptable, fiscale) ou à un intérêt probatoire (un litige possible). Elle est sortie de la base active, son accès est restreint à un nombre limité de personnes, et elle n'est consultée que ponctuellement.
  3. Suppression ou anonymisation — à l'issue de l'archivage, la donnée est définitivement supprimée, ou anonymisée de façon irréversible. Une donnée anonymisée n'est plus une donnée personnelle : elle échappe alors au RGPD et peut être conservée indéfiniment (par exemple pour des statistiques).

Archivage ≠ conservation indéfinie

L'archivage intermédiaire n'est pas un fourre-tout où l'on garde tout « au cas où ». Il a une durée, justifiée par une obligation ou un délai de prescription précis, à l'issue de laquelle les données sont purgées. Conserver des données « par sécurité » sans base juridique est précisément ce que la CNIL qualifie de conservation excessive.

Tableau récapitulatif des durées de conservation

Voici les durées de référence les plus fréquentes pour un site web ou une entreprise française. Elles combinent les obligations légales (comptable, fiscale, consommation) et les recommandations de la CNIL. En cas de conflit, l'obligation légale la plus longue l'emporte sur la durée que vous auriez fixée.

Type de donnée / documentDurée de conservationBase légale ou référence
Données clients (base active)Durée de la relation contractuelleFinalité (exécution du contrat)
Données clients / prospects (après relation)3 ans après le dernier contactRecommandation CNIL — prospection
Factures et pièces comptables10 ans après clôture de l'exerciceArticle L123-22 du Code de commerce
Contrats conclus en ligne ≥ 120 €10 ans après la livraisonArticle L213-1 du Code de la consommation
Documents et pièces fiscales6 ansArticle L102 B du Livre des procédures fiscales
Données de paiement (numéro de carte)15 mois maximum, à fins de preuveRecommandation CNIL
Cookies et autres traceurs13 mois maximumRecommandation CNIL
Statistiques issues des traceurs25 mois maximumRecommandation CNIL
Données de connexion / journaux (logs)6 à 12 moisPratique CNIL / sécurité
Données RH (bulletins de paie pour le salarié)5 ansCode du travail / référentiel CNIL RH 2026
Bulletins de paie (côté employeur)5 ans (50 ans pour reconstituer la carrière)Référentiel CNIL RH 2026
CV d'un candidat non retenu2 ans après le dernier contact (avec information)Recommandation CNIL

Distinguez la durée d'usage de la durée d'obligation

Une même donnée peut relever de plusieurs durées : l'e-mail d'un client sert à la relation commerciale (3 ans après le dernier contact), mais figure aussi sur ses factures (10 ans). Dans ce cas, la donnée sort de la base active à 3 ans, puis subsiste en archivage comptable sur la facture pendant 10 ans — à accès restreint. Ce ne sont pas deux durées contradictoires, mais deux étapes du cycle de vie.

Données clients et prospects : la durée la plus mal comprise

C'est de loin la source de confusion la plus fréquente, et la requête la plus tapée sur le sujet. La règle posée par la CNIL dans son référentiel « gestion commerciale » :

  • Clients : les données sont conservées pendant toute la durée de la relation commerciale, puis 3 ans à compter de la fin de cette relation au titre de la prospection (vous pouvez continuer à les solliciter sur des produits analogues).
  • Prospects (personnes qui n'ont jamais acheté) : 3 ans à compter du dernier contact émanant du prospect (un clic sur un lien, une demande d'information, une ouverture d'e-mail tracée).

Au-delà de ces 3 ans, soit la personne est re-sollicitée et redonne son consentement, soit ses données sont supprimées de la base de prospection. Les pièces comptables, elles, suivent leur propre horloge de 10 ans en archivage. Pour cadrer la prospection elle-même (opt-in, soft opt-in, désinscription), voyez notre guide newsletter et RGPD : opt-in et prospection.

Ce qui change en 2026

Deux évolutions à retenir, qui justifient de revoir vos durées cette année :

1. Le nouveau référentiel CNIL « ressources humaines » (2 avril 2026). La CNIL a publié un référentiel opérationnel qui détaille, traitement par traitement, les durées de conservation des données du personnel (recrutement, paie, gestion des carrières, formation, etc.). Il oriente vers les durées obligatoires au titre du Code du travail et vers les durées recommandées par la CNIL. Si vous employez du personnel, c'est désormais la référence pour fixer vos durées RH.

2. La conservation excessive, priorité de contrôle. Après des années centrées sur les grandes plateformes, la CNIL a fait de la conservation excessive l'un de ses axes prioritaires, y compris pour les PME. Plusieurs sanctions records du début 2026 reposent en partie sur ce grief : conserver des données bien au-delà du nécessaire est désormais un manquement à part entière, et le volume de données accumulées aggrave le montant de l'amende. Pour mesurer l'enjeu, consultez notre dossier sur les sanctions CNIL d'un site non conforme.

Comment fixer et documenter vos durées en pratique

Fixer une durée ne suffit pas : il faut pouvoir la justifier et la tracer. Trois réflexes :

  • Documentez chaque durée dans votre registre des traitements. La durée de conservation est l'une des sept rubriques obligatoires de chaque fiche de traitement (article 30 du RGPD). C'est là que vous écrivez « clients : 3 ans après le dernier contact ; factures : 10 ans en archivage ». Notre guide dédié explique comment le tenir : registre des traitements RGPD, modèle et exemple.
  • Annoncez-les dans votre politique de confidentialité. Les personnes concernées ont le droit de connaître la durée de conservation (article 13 du RGPD). Une politique de confidentialité qui dit simplement « nous conservons vos données le temps nécessaire » est insuffisante : il faut indiquer des durées ou, à défaut, les critères qui les déterminent.
  • Automatisez la purge. Une durée qui n'est jamais appliquée techniquement n'existe pas aux yeux de la CNIL. Programmez une purge ou une anonymisation automatique en base, et conservez la trace de ces opérations.

Vous pouvez vous appuyer sur notre tableau interactif des durées de conservation pour identifier la durée applicable à chaque catégorie de donnée que vous traitez, et la reporter directement dans votre documentation.

Le lien avec vos autres documents légaux

Les durées de conservation ne vivent pas isolément. Elles doivent être cohérentes d'un document à l'autre, et c'est précisément ce que la CNIL vérifie en contrôle :

  • votre registre des traitements fixe la durée par traitement ;
  • votre politique de confidentialité la communique aux personnes ;
  • vos CGV et contrats sous-traitants (DPA) reprennent les durées pertinentes côté commercial et côté prestataires.

Une incohérence entre ces documents (une politique qui annonce 3 ans, un registre qui dit 5 ans) est un signal d'alarme immédiat. C'est pourquoi notre générateur produit une politique de confidentialité dont les durées sont alignées sur le cadre légal et les recommandations CNIL. Pour le cadre RGPD d'ensemble côté site web, voyez aussi notre guide RGPD pour un site web français.

Ressources officielles

La durée de conservation est un sujet qui paraît technique mais qui se résume à une discipline simple : pour chaque donnée, savoir pourquoi vous la gardez et jusqu'à quand. Une fois ce raisonnement posé traitement par traitement et reporté dans votre registre et votre politique de confidentialité, vous êtes à l'abri du reproche le plus fréquent — et le plus coûteux — de la CNIL en 2026.

Des durées de conservation conformes, automatiquement

Générez une politique de confidentialité qui annonce des durées de conservation alignées sur le Code de commerce et les recommandations CNIL.

Générer ma politique de confidentialité

Des durées de conservation conformes, automatiquement

Générer ma politique de confidentialité

Modèles prêts à générer

Créez le document conforme correspondant en quelques minutes.

RGPD
RGPD pour site WordPress

Rendez votre site WordPress conforme au RGPD : cookies, plugins, formulaires, transferts hors UE. Guide pratique et générateur de politique de confidentialité.

RGPD
RGPD pour boutique Shopify

Mise en conformité RGPD de votre boutique Shopify : cookies, apps tierces, transferts USA, politique de confidentialité. Générateur adapté au e-commerce français.

RGPD
RGPD pour éditeur SaaS

Politique de confidentialité pour éditeur SaaS conforme RGPD 2026 : sous-traitance art. 28, DPA, localisation des données. Générez gratuitement votre document.

Questions fréquentes

Combien de temps peut-on conserver les données d'un client ?

Les données d'un client sont conservées en base active pendant toute la durée de la relation commerciale, puis pendant 3 ans à compter de la fin de cette relation (ou du dernier contact pour un prospect), au titre de la prospection commerciale. Au-delà, elles doivent être supprimées ou archivées. Les pièces comptables liées (factures) obéissent à une obligation distincte de 10 ans.

Existe-t-il une durée de conservation unique imposée par le RGPD ?

Non. Le RGPD ne fixe aucune durée chiffrée. L'article 5 pose un principe : les données ne doivent pas être conservées au-delà de ce qui est nécessaire à la finalité. C'est au responsable de traitement de déterminer une durée pour chaque traitement, en s'appuyant sur les obligations légales sectorielles (comptable, fiscale, sociale) et les référentiels de la CNIL.

Que faire des données quand la durée d'utilisation est écoulée ?

Trois issues possibles : la suppression définitive, l'anonymisation irréversible (les données ne sont alors plus personnelles et échappent au RGPD), ou l'archivage intermédiaire à accès restreint lorsqu'une obligation légale ou un intérêt probatoire le justifie. L'archivage n'est pas un stockage indéfini : il a lui aussi une durée, à l'issue de laquelle les données sont purgées.

Quelle est la durée de conservation des cookies et données de navigation ?

La CNIL recommande une durée de vie des traceurs (cookies) de 13 mois maximum, et de 25 mois maximum pour les informations statistiques qui en sont issues. Le consentement de l'internaute doit être redemandé à l'expiration de ce délai. Les données de connexion et journaux techniques sont généralement conservés 6 à 12 mois.

À lire aussi

RGPD : guide complet pour un site web français conforme

Comment mettre votre site en conformité avec le RGPD : politique de confidentialité, registre, bases légales, droits des utilisateurs, durées de conservation.

Sanctions CNIL : ce que risque un site non conforme RGPD

Amendes, mises en demeure, publication des sanctions : panorama des risques encourus par un site web non conforme au RGPD, avec exemples chiffrés récents.

Registre des traitements RGPD : modèle gratuit et exemple rempli pour un e-commerce

Article 30 du RGPD : pourquoi tenir un registre des traitements, ce qu'il doit contenir, modèle CNIL gratuit et exemple détaillé pour un e-commerce français en 2026.