Durées de conservation des données personnelles : le talon d’Achille de la conformité RGPD
.png)
La durée de conservation des données personnelles constitue un principe central du RGPD, mais aussi l’un des plus mal appliqués en pratique. De nombreuses organisations continuent de conserver des données « au cas où », sans justification précise ni mécanisme d’effacement effectif.
Cette pratique expose à des risques juridiques importants, régulièrement sanctionnés par la CNIL, notamment lorsque les données sont conservées au-delà de ce qui est nécessaire au regard de la finalité du traitement.
Ce sujet concerne toutes les structures traitant des données personnelles, quels que soient leur taille ou leur secteur d’activité. Il intéresse autant les directions juridiques que les équipes opérationnelles, RH, marketing ou informatiques.
La maîtrise des durées de conservation constitue aujourd’hui un indicateur clé de maturité en matière de conformité RGPD.
Cet article rappelle le cadre juridique applicable, illustre les principaux manquements observés par l’autorité de contrôle et propose des pistes concrètes pour sécuriser les pratiques.
Le RGPD impose que les données personnelles soient conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
Ce principe de limitation de la conservation s’applique à l’ensemble des traitements, sans exception.
La durée de conservation doit être définie dès la conception du traitement. Elle ne peut être ni illimitée ni imprécise.
Le responsable de traitement doit être en mesure de démontrer que cette durée est justifiée, proportionnée et cohérente avec la finalité poursuivie, ce qui implique une formalisation documentée et accessible lors d’un contrôle.
La durée de conservation ne constitue pas seulement une exigence interne. Elle doit également être portée à la connaissance des personnes concernées, notamment via les mentions d’information.
Une formulation vague, telle que « conservation pendant la durée nécessaire », ne répond pas aux exigences de transparence du RGPD.
Lors d’un contrôle, l’autorité attend que le responsable de traitement puisse expliquer clairement :
Cette justification est souvent examinée de près par la CNIL, qui sanctionne régulièrement des durées imprécises ou excessives.
Un des manquements les plus fréquemment relevés lors des contrôles consiste à ne pas définir ou appliquer des durées de conservation adaptées.
En janvier 2025, un centre de formation à distance a été sanctionné pour non-respect du principe de minimisation et de la durée de conservation des enregistrements téléphoniques et de vidéosurveillance, en plus d’un défaut d’information des personnes concernées (amende de 10 000 € et injonction de mise en conformité).
Dans un autre cas, une entreprise de transport routier de marchandises a reçu une amende administrative de 8 000 € pour des durées de conservation inadaptées concernant ses systèmes de géolocalisation, parmi d’autres manquements.
Ces décisions illustrent que la durée de conservation est désormais un point de contrôle prioritaire.
Une difficulté fréquente réside dans la confusion entre conservation active et archivage.
Les données ne doivent pas nécessairement être supprimées dès la fin de leur utilisation opérationnelle. Toutefois, leur accès doit être strictement limité à des finalités légales ou probatoires.
Sans cette distinction, les données demeurent accessibles dans des bases actives, ce qui constitue un risque majeur de non-conformité.
La CNIL souligne régulièrement que l’absence de mécanismes techniques permettant de restreindre l’accès courant à des données devenues « sans utilité » constitue un manquement grave au principe de limitation de la conservation.
Un exemple notable concerne la sanction prononcée contre la société éditrice du site PAP (De Particulier à Particulier), à hauteur de 100 000 € en janvier 2024, notamment pour non-respect des obligations relatives à la durée de conservation et à la sécurité des données.
Parmi les manquements figurait la conservation de données d’utilisateurs inactifs sans tri préalable, en violation du principe de limitation.
Ce cas illustre l’articulation entre durées de conservation et sécurité : une conservation excessive, combinée à des failles techniques, peut aggraver le montant de la sanction.
Plusieurs décisions rendues en 2025 montrent une tendance à sanctionner les organisations pour des manquements cumulés, incluant fréquemment des durées de conservation inadéquates.
Une entreprise spécialisée dans la vente en ligne a ainsi été sanctionnée d’une amende administrative de 600 000 € pour un ensemble de manquements incluant la durée de conservation, l’information et le consentement des utilisateurs.
Ces exemples démontrent que les durées de conservation ne doivent pas être considérées comme une formalité, mais comme un élément structurant d’une stratégie de conformité intégrée.
La gestion des durées de conservation des données personnelles demeure un point de vigilance majeur du RGPD, encore insuffisamment maîtrisé en pratique.
Les décisions récentes de la CNIL confirment que l’autorité adopte une approche particulièrement stricte sur ce sujet et n’hésite pas à sanctionner des organisations, quelles que soient leur taille ou leur secteur.
La mise en place de durées définies, justifiées et techniquement appliquées — avec une distinction claire entre conservation active et archivage — est indispensable pour réduire les risques juridiques et financiers.
Au-delà des sanctions, cette maîtrise contribue à renforcer la gouvernance des données, la sécurité des traitements et la confiance des personnes concernées.
Pour en savoir plus sur nos services de mise en conformité : https://www.dpo-consulting.com/fr-fr
To give you 100% control over the design, together with Webflow project, you also get the Figma file. After the purchase, simply send us an email to and we will e happy to forward you the Figma file.
Yes, we know... it's easy to say it, but that's the fact. We did put a lot of thought into the template. Trend Trail was designed by an award-winning designer. Layouts you will find in our template are custom made to fit the industry after carefully made research.
We used our best practices to make sure your new website loads fast. All of the images are compressed to have as little size as possible. Whenever possible we used vector formats - the format made for the web.
Grained is optimized to offer a frictionless experience on every screen. No matter how you combine our sections, they will look good on desktop, tablet, and phone.
Both complex and simple animations are an inseparable element of modern website. We created our animations in a way that can be easily reused, even by Webflow beginners.
Our template is modular, meaning you can combine different sections as well as single elements, like buttons, images, etc. with each other without losing on consistency of the design. Long story short, different elements will always look good together.
On top of being modular, Grained was created using the best Webflow techniques, like: global Color Swatches, reusable classes, symbols and more.
Grained includes a blog, carrers and projects collections that are made on the powerful Webflow CMS. This will let you add new content extremely easily.
Grained Template comes with eCommerce set up, so you can start selling your services straight away.
To give you 100% control over the design, together with Webflow project, you also get the Figma file.
.svg)
