Fiche n°14 : Gérer la durée de conservation des données

Les cycles de conservation des données

Le cycle de conservation des données à caractère personnel peut être divisé en trois phases successives distinctes :
- la base active ;
- l’archivage intermédiaire ;
- l’archivage définitif ou la suppression.
Les mécanismes de suppression de données personnelles des bases actives permettent de garantir que les données sont conservées et accessibles par les services opérationnels uniquement le temps nécessaire à l’accomplissement de l’objectif poursuivi par le traitement.
Veillez à ne pas conserver les données en base active en les notant simplement comme étant archivées. Les données archivées (archive intermédiaire) ne doivent être accessibles qu’à un service spécifique chargé d’y accéder et de les sortir des archives le cas échéant.
Veillez également à prévoir des modalités d’accès spécifiques aux données archivées du fait que l’utilisation d’une archive doit intervenir de manière ponctuelle et exceptionnelle.
Si possible, utilisez la même implémentation lors de la mise en œuvre de la purge ou l’anonymisation des données que celle gérant le droit à l’effacement (cf. fiche sur l’exercice des droits), afin de garantir un fonctionnement homogène de votre système.

Les données relatives à la gestion de la paie ou au contrôle des horaires des salariés peuvent être conservées pendant 5 ans.
Les données figurant dans un dossier médical doivent être conservées 20 ans.
Les coordonnées d’un prospect ne répondant à aucune sollicitation peuvent être conservées pendant 3 ans.
Les données de journalisation peuvent être conservées entre 6 mois et un an. Cette durée peut être allongée dans des cas spécifiques, lorsque la loi l'impose sur certaines catégories de traitements et suivant le risque de détournement de la finalité de l’utilisation des données.