La durée de conservation des données est souvent perçue comme une contrainte réglementaire — une case à cocher dans le registre des traitements. C'est passer à côté de l'essentiel. Définir des durées de conservation, c'est d'abord un acte de gouvernance au service de la performance de vos systèmes d'information et de la confiance de vos utilisateurs.
Les obligations légales : un socle incontournable
Le RGPD pose un principe clair : les données à caractère personnel ne peuvent être conservées « sous une forme permettant l'identification des personnes concernées » que le temps strictement nécessaire aux finalités pour lesquelles elles ont été collectées (article 5, principe de limitation de la conservation).
En pratique, pour les collectivités et organismes publics, plusieurs référentiels encadrent les durées :
- Les référentiels CNIL : la Commission nationale publie des durées recommandées par catégorie de traitement (RH, vidéosurveillance, gestion des usagers, etc.).
- Le Code du patrimoine : certaines données publiques sont soumises à des obligations d'archivage intermédiaire avant destruction ou versement aux archives.
- Les prescriptions sectorielles : données de santé (10 ans minimum), données comptables (10 ans), logs de connexion (1 an au titre de la LPM), etc.
Le non-respect de ces durées expose l'organisme à des sanctions de la CNIL (jusqu'à 20 M€ ou 4 % du CA mondial pour les acteurs privés) et engage la responsabilité personnelle du DPO et des dirigeants.
Le piège du « on garde tout, au cas où »
Sans politique de conservation formalisée, les organisations basculent naturellement vers une rétention illimitée des données. Ce réflexe est humainement compréhensible — la donnée est perçue comme un actif qu'on ne veut pas perdre. Mais il génère des coûts et des risques souvent mal appréhendés.
La réalité terrain : des bases de données CRM contenant des contacts inactifs depuis 8 ans, des répertoires de partage accumulant des documents depuis 15 ans, des sauvegardes de sauvegardes de sauvegardes... Le volume croît, la valeur informationnelle décroît, et les risques, eux, restent entiers.
Les bénéfices pour les systèmes d'information
Appliquer des durées de conservation strictes transforme positivement l'infrastructure technique :
- Réduction des coûts de stockage : supprimer les données obsolètes, c'est réduire les volumes de stockage primaire, secondaire et de sauvegarde. À l'heure du cloud, où la facturation est au gigaoctet, l'impact budgétaire est direct et mesurable.
- Amélioration des performances : des bases de données allégées, des index plus compacts, des temps de requête réduits. Un annuaire LDAP purgé des comptes inactifs se comporte mieux. Un entrepôt de données nettoyé produit des analyses plus rapides.
- Réduction de la surface d'attaque : chaque donnée conservée est une donnée susceptible d'être compromise. En cas de cyberattaque ou de fuite, moins de données signifie moins d'impact. La minimisation des données est une mesure de cybersécurité à part entière.
- Simplification des migrations et montées de version : migrer 500 Go de données pertinentes est infiniment plus simple que migrer 5 To dont 80 % sont obsolètes. Les projets de replatforming ou de passage en cloud s'en trouvent facilités et moins coûteux.
- Meilleure qualité des données : un référentiel purge régulièrement est un référentiel fiable. Les doublons s'accumulent moins, les données contradictoires sont moins nombreuses, la confiance dans le SI augmente.
Les bénéfices pour les utilisateurs finaux
La dimension « end user » est trop souvent négligée dans les débats sur la protection des données. Pourtant, l'utilisateur final est le premier concerné :
- Droit à l'oubli effectif : un usager qui clôture son compte ou cesse d'utiliser un service a le droit de disparaître des systèmes. Une politique de conservation bien appliquée garantit que ce droit n'est pas qu'une déclaration d'intention mais une réalité technique vérifiable.
- Réduction du profilage involontaire : conserver des données d'usage sur de longues périodes permet de construire des profils comportementaux très fins, souvent sans que l'utilisateur en soit conscient. Limiter la rétention, c'est limiter ce profilage.
- Transparence et confiance : un organisme capable d'indiquer précisément « vos données sont conservées X mois puis supprimées » inspire confiance. Cette transparence est un facteur différenciant, particulièrement dans le secteur public où la relation citoyenne est centrale.
- Moins de sollicitations obsolètes : des bases marketing ou de communication purgées régulièrement, c'est moins d'emails envoyés à des adresses inactives, moins de SMS à des numéros non attribués, et un taux d'engagement réel plus représentatif.
Mettre en place une politique de conservation : par où commencer ?
Formaliser des durées de conservation n'est pas un projet ponctuel mais un processus continu. Voici une approche pragmatique :
- Cartographier les traitements : le registre des traitements RGPD est le point de départ. Chaque traitement doit mentionner sa durée de conservation en phase active et en archivage intermédiaire.
- Différencier les trois âges de la donnée : conservation courante (accès fréquent), archivage intermédiaire (accès rare, obligation légale), archivage définitif ou destruction. Ces trois phases doivent être gérées avec des accès et des supports différenciés.
- Automatiser les purges : une politique non automatisée ne sera pas appliquée. Les outils MDM, les bases de données, les plateformes GED doivent être configurés pour déclencher des purges ou des alertes à l'échéance.
- Former et responsabiliser les métiers : la durée de conservation n'est pas que l'affaire de la DSI ou du DPO. Les directions métier doivent comprendre pourquoi et comment gérer le cycle de vie de leurs données.
- Auditer régulièrement : un audit annuel permet de vérifier que les politiques sont effectivement appliquées et d'ajuster les durées si les finalités ont évolué.
Conclusion
Définir des durées de conservation, c'est passer d'une logique d'accumulation à une logique de valeur. Une donnée conservée au-delà de son utilité cesse d'être un actif pour devenir un passif : coûteux à stocker, risqué à conserver, difficile à gérer. Les collectivités et organismes publics qui adoptent une approche proactive sur ce sujet ne font pas que se conformer au RGPD — ils construisent des systèmes d'information plus sains, plus performants, et une relation plus honnête avec leurs usagers.
