Combien de temps conserver vos données ?
Le tableau des durées de conservation recommandées par la CNIL, par catégorie de données — base active, archivage et fondement légal. Filtrez par thème ou recherchez votre cas.
14 catégories affichées
- Commercial
Prospects (prospection commerciale)
Les personnes que vous démarchez sans qu’elles soient encore clientes : contacts récoltés via un formulaire de devis, un salon, un jeu-concours ou une base d’emails. Le délai redémarre à chaque nouveau contact de leur part (ouverture d’un email, clic, réponse).
Base activeLa période pendant laquelle vous vous servez de la donnée au quotidien : elle reste directement accessible dans vos outils (CRM, boîte mail, logiciel de paie…).3 ans à compter du dernier contact du prospectArchivage / preuveLa donnée n’est plus utilisée au quotidien mais conservée à part, en accès restreint, uniquement pour respecter une obligation légale ou garder une preuve en cas de litige. À la fin de cette période, elle doit être supprimée ou anonymisée.Non concerné — suppression directe - Commercial
Clients (gestion du contrat)
Les données nécessaires au suivi d’un client : identité, coordonnées, commandes, historique d’échanges et de facturation. Elles couvrent toute la vie de la relation commerciale, puis ne sont conservées que le temps des délais de réclamation et de prescription.
Base activeLa période pendant laquelle vous vous servez de la donnée au quotidien : elle reste directement accessible dans vos outils (CRM, boîte mail, logiciel de paie…).Pendant toute la durée de la relation commercialeArchivage / preuveLa donnée n’est plus utilisée au quotidien mais conservée à part, en accès restreint, uniquement pour respecter une obligation légale ou garder une preuve en cas de litige. À la fin de cette période, elle doit être supprimée ou anonymisée.Archivage le temps des prescriptions applicables ; réutilisation pour la prospection possible jusqu’à 3 ans après la fin de la relation - Commercial
Factures et pièces comptables
L’ensemble des pièces qui justifient vos écritures : factures émises et reçues, bons de commande, tickets et justificatifs comptables. Leur conservation est une obligation comptable et fiscale, indépendante du fait que la personne soit encore cliente.
Base activeLa période pendant laquelle vous vous servez de la donnée au quotidien : elle reste directement accessible dans vos outils (CRM, boîte mail, logiciel de paie…).Jusqu’à la fin de l’exercice en coursArchivage / preuveLa donnée n’est plus utilisée au quotidien mais conservée à part, en accès restreint, uniquement pour respecter une obligation légale ou garder une preuve en cas de litige. À la fin de cette période, elle doit être supprimée ou anonymisée.10 ans (obligation comptable)Source : Art. L123-22 du Code de commerce
- Commercial
Contrats
Les engagements signés avec vos clients ou partenaires : contrats de vente, de prestation, conditions particulières et avenants. La durée d’archivage dépend du type de contrat et du délai pendant lequel un litige reste possible.
Base activeLa période pendant laquelle vous vous servez de la donnée au quotidien : elle reste directement accessible dans vos outils (CRM, boîte mail, logiciel de paie…).Pendant toute la durée du contratArchivage / preuveLa donnée n’est plus utilisée au quotidien mais conservée à part, en accès restreint, uniquement pour respecter une obligation légale ou garder une preuve en cas de litige. À la fin de cette période, elle doit être supprimée ou anonymisée.5 ans après la fin du contrat (prescription) ; 10 ans pour un contrat conclu en ligne ≥ 120 €Source : Art. 2224 Code civil ; art. L213-1 Code de la consommation
- Commercial
Données de carte bancaire (paiement à distance)
Le numéro de carte, sa date d’expiration et les éléments saisis lors d’un paiement en ligne. Ils ne se conservent pas au-delà de la transaction, sauf pour gérer une contestation. Le cryptogramme (CVV) ne doit jamais être stocké, et enregistrer la carte pour de futurs achats suppose le consentement du client.
Base activeLa période pendant laquelle vous vous servez de la donnée au quotidien : elle reste directement accessible dans vos outils (CRM, boîte mail, logiciel de paie…).Supprimées après l’encaissement (au plus tard à la fin du délai de rétractation)Archivage / preuveLa donnée n’est plus utilisée au quotidien mais conservée à part, en accès restreint, uniquement pour respecter une obligation légale ou garder une preuve en cas de litige. À la fin de cette période, elle doit être supprimée ou anonymisée.13 mois après le débit (15 mois pour les cartes à débit différé), uniquement comme preuve en cas de litigeSource : Délibération CNIL 2018-303 ; art. L133-24 Code monétaire et financier
- RH
Candidatures non retenues
Les CV, lettres de motivation et données des candidats que vous n’avez pas recrutés. Pour les conserver plus longtemps dans une CVthèque, il faut en informer la personne et recueillir son accord.
Base activeLa période pendant laquelle vous vous servez de la donnée au quotidien : elle reste directement accessible dans vos outils (CRM, boîte mail, logiciel de paie…).2 ans maximum à compter du dernier contactArchivage / preuveLa donnée n’est plus utilisée au quotidien mais conservée à part, en accès restreint, uniquement pour respecter une obligation légale ou garder une preuve en cas de litige. À la fin de cette période, elle doit être supprimée ou anonymisée.Non concerné — suppression directeSource : Référentiel CNIL – gestion RH
- RH
Bulletins et éléments de paie
Les bulletins de salaire et les éléments servant à calculer la rémunération (primes, heures supplémentaires, absences). À distinguer du double que l’employeur tient à disposition du salarié bien plus longtemps.
Base activeLa période pendant laquelle vous vous servez de la donnée au quotidien : elle reste directement accessible dans vos outils (CRM, boîte mail, logiciel de paie…).Le temps de la relation de travailArchivage / preuveLa donnée n’est plus utilisée au quotidien mais conservée à part, en accès restreint, uniquement pour respecter une obligation légale ou garder une preuve en cas de litige. À la fin de cette période, elle doit être supprimée ou anonymisée.5 ans (côté employeur) - RH
Dossier du personnel (salariés)
Le dossier administratif d’un salarié : identité, coordonnées, contrat, poste et données de gestion courante. Après le départ, seules certaines informations d’identification peuvent être gardées, le temps des prescriptions sociales.
Base activeLa période pendant laquelle vous vous servez de la donnée au quotidien : elle reste directement accessible dans vos outils (CRM, boîte mail, logiciel de paie…).Pendant toute la durée du contratArchivage / preuveLa donnée n’est plus utilisée au quotidien mais conservée à part, en accès restreint, uniquement pour respecter une obligation légale ou garder une preuve en cas de litige. À la fin de cette période, elle doit être supprimée ou anonymisée.Après le départ, archivage limité aux durées de prescription applicables (souvent jusqu’à 5 ans)Source : Référentiel CNIL – gestion RH
- Sécurité
Badge / contrôle d’accès aux locaux
Les journaux d’entrées et de sorties générés par un système de badge ou de contrôle d’accès. Ils servent à la sécurité des lieux, pas à surveiller en continu les déplacements ou les horaires des salariés.
Base activeLa période pendant laquelle vous vous servez de la donnée au quotidien : elle reste directement accessible dans vos outils (CRM, boîte mail, logiciel de paie…).3 mois après l’enregistrementArchivage / preuveLa donnée n’est plus utilisée au quotidien mais conservée à part, en accès restreint, uniquement pour respecter une obligation légale ou garder une preuve en cas de litige. À la fin de cette période, elle doit être supprimée ou anonymisée.Non concerné — suppression directe - Sécurité
Vidéosurveillance / vidéoprotection
Les images enregistrées par les caméras de votre établissement. En pratique, quelques jours suffisent souvent ; les images ne se gardent pas plus longtemps que pour traiter un incident précis ou une procédure en cours.
Base activeLa période pendant laquelle vous vous servez de la donnée au quotidien : elle reste directement accessible dans vos outils (CRM, boîte mail, logiciel de paie…).1 mois maximum (quelques jours suffisent souvent)Archivage / preuveLa donnée n’est plus utilisée au quotidien mais conservée à part, en accès restreint, uniquement pour respecter une obligation légale ou garder une preuve en cas de litige. À la fin de cette période, elle doit être supprimée ou anonymisée.Conservées le temps de la procédure si un incident donne lieu à des poursuites disciplinaires ou judiciairesSource : CNIL – vidéosurveillance / vidéoprotection au travail
- Sécurité
Géolocalisation de véhicules
Les positions GPS relevées sur les véhicules professionnels de vos salariés. La géolocalisation doit pouvoir être désactivée hors temps de travail, et les données ne se gardent pas plus longtemps que pour la finalité déclarée.
Base activeLa période pendant laquelle vous vous servez de la donnée au quotidien : elle reste directement accessible dans vos outils (CRM, boîte mail, logiciel de paie…).2 mois (usage général)Archivage / preuveLa donnée n’est plus utilisée au quotidien mais conservée à part, en accès restreint, uniquement pour respecter une obligation légale ou garder une preuve en cas de litige. À la fin de cette période, elle doit être supprimée ou anonymisée.Selon la finalité : 1 an (preuve ou optimisation des tournées), 5 ans (suivi du temps de travail) - Sécurité
Journaux / logs de connexion
Les traces techniques générées par vos systèmes : connexions aux comptes, actions sensibles, journaux applicatifs et de sécurité. Elles servent à détecter et investiguer les incidents, pas à surveiller l’activité des utilisateurs.
Base activeLa période pendant laquelle vous vous servez de la donnée au quotidien : elle reste directement accessible dans vos outils (CRM, boîte mail, logiciel de paie…).Entre 6 mois et 1 an (durée recommandée)Archivage / preuveLa donnée n’est plus utilisée au quotidien mais conservée à part, en accès restreint, uniquement pour respecter une obligation légale ou garder une preuve en cas de litige. À la fin de cette période, elle doit être supprimée ou anonymisée.Jusqu’à 3 ans pour des mesures de contrôle interne dûment justifiéesSource : Recommandation CNIL – journalisation (délib. 2021-122)
- Web
Cookies et autres traceurs
Les traceurs déposés sur le terminal du visiteur : mesure d’audience, pixels publicitaires, boutons de réseaux sociaux et autres cookies tiers. Deux durées coexistent : celle de vie du traceur lui-même et celle des données qu’il collecte.
Base activeLa période pendant laquelle vous vous servez de la donnée au quotidien : elle reste directement accessible dans vos outils (CRM, boîte mail, logiciel de paie…).Durée de vie du traceur : 13 mois maximumArchivage / preuveLa donnée n’est plus utilisée au quotidien mais conservée à part, en accès restreint, uniquement pour respecter une obligation légale ou garder une preuve en cas de litige. À la fin de cette période, elle doit être supprimée ou anonymisée.Données collectées via les traceurs : 25 mois maximum ; choix de consentement ou de refus : environ 6 moisSource : Recommandation CNIL « cookies » (mesure d’audience) ; art. 82 loi Informatique et Libertés
- Web
Newsletter / inscription marketing
Les adresses e-mail et préférences collectées pour envoyer une lettre d’information ou des communications marketing. La personne doit pouvoir se désinscrire à tout moment, et vous devez garder la preuve de son consentement.
Base activeLa période pendant laquelle vous vous servez de la donnée au quotidien : elle reste directement accessible dans vos outils (CRM, boîte mail, logiciel de paie…).Jusqu’à la désinscription de la personneArchivage / preuveLa donnée n’est plus utilisée au quotidien mais conservée à part, en accès restreint, uniquement pour respecter une obligation légale ou garder une preuve en cas de litige. À la fin de cette période, elle doit être supprimée ou anonymisée.Preuve du consentement gardée le temps de l’abonnement ; demande de désinscription conservée au moins 3 ans (liste d’opposition)Source : Référentiel CNIL – gestion commerciale ; RGPD art. 7
Formalisez votre politique de conservation
Ces durées doivent figurer dans votre registre des traitements et votre politique de confidentialité. ConformDocs génère les deux à partir de votre activité.
Les durées issues des référentiels CNIL sont indicatives : un responsable de traitement peut s’en écarter s’il le justifie au regard de ses finalités. Celles fixées par la loi (factures, carte bancaire…) s’imposent. Données à jour des référentiels CNIL en 2026 — ne remplace pas un conseil juridique sur un cas particulier.
Comment lire ces durées ?
Le RGPD impose le principe de limitation de la conservation (article 5-1-e) : une donnée ne doit être conservée que le temps nécessaire à la finalité pour laquelle elle a été collectée. On raisonne en trois temps : la base active (usage courant), l’archivage intermédiaire à accès restreint (pour une obligation légale ou un éventuel litige), puis la suppression ou l’anonymisation.
Les durées affichées proviennent des référentiels et recommandations de la CNIL et des obligations légales associées (Code de commerce, Code monétaire et financier, loi Informatique et Libertés). Les durées CNIL sont indicatives, mais celles fixées par la loi s’imposent.
Une fois vos durées identifiées, elles doivent figurer dans votre registre des traitements (article 30) et votre politique de confidentialité (article 13).
Questions fréquentes
Comment fixer une durée de conservation conforme au RGPD ?
Le principe de limitation de la conservation (article 5-1-e du RGPD) impose de ne garder les données que le temps nécessaire à la finalité poursuivie. En pratique, on distingue trois phases : la base active (usage courant), l'archivage intermédiaire (accès restreint, pour répondre à une obligation légale ou un contentieux), puis la suppression ou l'anonymisation. La CNIL publie des référentiels qui donnent des durées indicatives par type de données.
Que faire des données une fois la durée atteinte ?
Trois options : les supprimer, les anonymiser de façon irréversible (elles sortent alors du champ du RGPD), ou les placer en archivage intermédiaire à accès restreint si une obligation légale ou un délai de prescription le justifie. Par exemple, une facture sort de la base active mais doit être archivée 10 ans au titre du Code de commerce.
Les durées indiquées par la CNIL sont-elles obligatoires ?
Les durées issues des référentiels CNIL sont indicatives : un responsable de traitement peut s'en écarter s'il le justifie au regard de ses finalités. En revanche, certaines durées découlent directement de la loi (10 ans pour les pièces comptables, 13 mois pour la preuve d'un paiement par carte) et s'imposent à ce titre.
Où doit-on documenter les durées de conservation ?
Dans deux documents. Le registre des traitements (article 30 du RGPD) doit indiquer, pour chaque traitement, la durée de conservation prévue. La politique de confidentialité (article 13) doit informer les personnes de cette durée, ou des critères qui la déterminent. Un tableau de référence ne suffit pas : il faut formaliser ces durées dans vos documents de conformité.