L'une des questions les plus fréquentes que nous recevons chez Summum Consultoría lorsque nous accompagnons des entreprises dans leur mise en conformité au RGPD est trompeusement simple : combien de temps dois-je conserver les données ? La réponse ne se trouve pas directement dans le Règlement général sur la protection des données, mais dans la combinaison de deux principes : celui de la limitation de la durée de conservation (art. 5.1.e du RGPD) et les durées minimales de conservation documentaire qu'impose la législation sectorielle — droit du travail, fiscal, commercial et administratif — à chaque type de traitement. Cet article croise ces deux niveaux pour apporter une réponse concrète.
Le principe de limitation de la durée de conservation (art. 5.1.e RGPD)
L'article 5.1.e du règlement (UE) 2016/679 (RGPD) dispose que les données à caractère personnel doivent être « conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». Le règlement admet néanmoins des périodes de conservation plus longues lorsque les données sont traitées à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques, sous réserve de garanties techniques et organisationnelles appropriées.
Ce principe se traduit par une obligation pratique pour le responsable du traitement : définir, dans le registre des activités de traitement (art. 30 RGPD), les durées de conservation concrètes de chaque catégorie de données ou, à tout le moins, les critères utilisés pour les déterminer. Indiquer simplement « le temps nécessaire » ne suffit pas ; les durées doivent être précisées.
Comment les préciser ? En identifiant trois fenêtres temporelles :
- La vie active de la donnée : la période pendant laquelle la donnée est strictement nécessaire à la finalité qui a justifié sa collecte (par exemple, la gestion de la relation contractuelle avec un salarié).
- La période de gel : une fois la vie active terminée, la donnée doit être gelée (marquée comme inaccessible pour l'usage ordinaire) pendant la durée au cours de laquelle l'organisation pourrait être tenue de la présenter devant une administration, une juridiction ou l'AEPD (Agencia Española de Protección de Datos — l'autorité espagnole de protection des données) elle-même. Cette période est fixée par les règles sectorielles.
- La suppression définitive : une fois la période de gel expirée sans aucune demande, la donnée doit être effacée de façon sécurisée.
La LOPDGDD (loi organique 3/2018 du 5 décembre relative à la protection des données à caractère personnel et à la garantie des droits numériques) complète le RGPD dans l'ordre juridique espagnol et exige, en son article 32, que le responsable adopte des mesures garantissant que les données gelées ne soient accessibles qu'aux juges et tribunaux, au ministère public ou aux administrations publiques compétentes, et ne soient traitées à aucune autre fin.
Pourquoi la législation sectorielle est-elle si importante ?
Supprimer une donnée avant l'expiration de la durée de conservation minimale exigée par la réglementation sectorielle peut entraîner des sanctions administratives indépendantes du RGPD : amendes de l'Inspection du travail, de l'Agence fiscale ou de la Sécurité sociale. La conserver au-delà de la durée maximale admise par le principe de limitation constitue, en revanche, une violation du RGPD sanctionnable en vertu de l'article 83. La clé réside dans la connaissance et le respect de ces deux limites : le minimum sectoriel et le maximum imposé par le principe de minimisation temporelle.
Tableau des durées de conservation par type de traitement
Le tableau ci-dessous recense les principaux types de traitement dans le contexte des entreprises, la durée de gel indicative et la règle sectorielle de référence. Les durées sont indiquées en années sauf mention contraire. Ce tableau est fourni à titre indicatif : chaque organisation doit examiner sa situation particulière avec l'appui d'un conseiller spécialisé.
| Type de traitement | Données principales | Durée de gel (indicative) | Règle de référence |
|---|---|---|---|
| Relation de travail (contrats, bulletins de salaire, inscriptions/radiations à la Sécurité sociale) | Nom, pièce d'identité (DNI), IBAN, catégorie professionnelle, salaire, temps de travail, cotisations | 4 ans (prescription des infractions en matière sociale et des créances de la Sécurité sociale) | Art. 21 et 24 RDL 8/2015 (LGSS — loi générale sur la Sécurité sociale) ; art. 4 RDL 5/2000 (LISOS — loi sur les infractions sociales) ; art. 59 RDL 2/2015 (ET — Statut des travailleurs) |
| Prévention des risques professionnels (surveillance de la santé) | Rapports médicaux, examens médicaux, aptitude au poste | 5 ans (délai général de conservation de la documentation en matière de prévention des risques ; prolongeable selon l'exposition aux agents) | Art. 23 loi 31/1995 (LPRL — loi sur la prévention des risques professionnels) ; règlements spécifiques aux agents (amiante, bruit…) |
| Paie et Sécurité sociale | Bulletins de salaire, bordereaux de cotisation TC1/TC2, formulaires RLC/RNT | 4 ans (prescription des dettes envers la Sécurité sociale) | Art. 21 RDL 8/2015 (LGSS) |
| Fiscal (factures émises et reçues, déclarations fiscales) | Numéro d'identification fiscale (NIF/CIF), montants, bases imposables, déductions, déclarations fiscales | 4 ans (prescription générale du droit de contrôle et d'investigation) ; jusqu'à 10 ans pour les bases imposables négatives en attente d'imputation | Art. 66 à 70 loi 58/2003 (LGT — loi générale fiscale) |
| Comptable (livres comptables, comptes annuels, pièces justificatives) | Écritures comptables, bilans, comptes de résultat, inventaires | 6 ans à compter de la dernière écriture | Art. 30 du Code de commerce (Código de Comercio) |
| Vidéosurveillance (caméras dans les locaux) | Images de personnes captées dans l'enceinte de l'entreprise ou dans des espaces publics privés | 1 mois à compter de la captation (maximum légal) ; sauf si les images constituent une preuve d'infraction ou d'incident | Art. 22.3 LOPDGDD (LO 3/2018) |
| Marketing et communications commerciales (fondées sur le consentement) | Adresse électronique, téléphone, préférences, historique des interactions | Tant que le consentement subsiste ; après désabonnement, gel pendant 3 ans (prescription des actions pour concurrence déloyale et réclamations des consommateurs) | Art. 7 RGPD ; art. 21 LSSI (loi sur les services de la société de l'information) ; art. 1961-1968 Code civil espagnol |
| Vidéosurveillance dans le travail (contrôle disciplinaire) | Images attestant une infraction en droit du travail | Jusqu'à la clôture de la procédure disciplinaire ou judiciaire | Art. 22.3 et 22.4 LOPDGDD |
| Lutte contre le blanchiment de capitaux (entités assujetties) | Documentation de vigilance, bénéficiaire effectif, transactions | 10 ans à compter de la fin de la relation d'affaires ou de l'exécution de l'opération occasionnelle | Art. 25 loi 10/2010 (LPBC/FT — loi sur la lutte contre le blanchiment) |
| Vidéoconférences et communications électroniques | Enregistrements de réunions, journaux de chat interne | Selon la finalité : si formation, jusqu'à 1 an ; si litige potentiel, jusqu'à la résolution de celui-ci | Art. 5.1.e RGPD ; art. 20 ET (contrôle patronal) |
Analyse détaillée par catégorie
Données issues de la relation de travail : entre 4 et 5 ans
La relation de travail génère un volume considérable de données à caractère personnel : contrat de travail, bulletins de salaire, formulaires d'inscription et de radiation à la Sécurité sociale, notifications disciplinaires, évaluations des performances et déclarations d'accident. La durée de conservation de cette documentation n'est pas fixée par le RGPD, mais par la prescription des infractions en matière sociale et des créances envers la Sécurité sociale.
L'article 21 du décret législatif royal 8/2015 portant approbation du texte refondu de la loi générale sur la Sécurité sociale (LGSS) dispose que le droit à la révision des actes en matière de Sécurité sociale se prescrit par quatre ans. Le décret législatif royal 5/2000 (LISOS) fixe également des délais de prescription pour les infractions en matière sociale. L'article 59 du décret législatif royal 2/2015 (ET — Statut des travailleurs) établit une prescription d'un an pour les actions découlant du contrat de travail, mais la documentation y afférente doit être conservée pendant quatre ans pour couvrir d'éventuels contrôles de l'Inspection du travail.
En matière de prévention des risques professionnels, l'article 23 de la loi 31/1995 (LPRL) oblige l'employeur à conserver la documentation générée par l'activité préventive. Pour certains agents spécifiques — amiante, plomb, bruit — les règlements sectoriels peuvent considérablement allonger ce délai, pouvant aller jusqu'à quarante ans en cas d'exposition à des agents cancérigènes ou mutagènes.
Si votre entreprise traite des données de salariés, l'article de Summum Consultoría sur le RGPD et les ressources humaines offre une vue d'ensemble complète du cadre applicable à ces traitements.
Données fiscales : 4 ans, avec des exceptions pouvant aller jusqu'à 10 ans
La loi 58/2003 du 17 décembre, loi générale fiscale (LGT), est la règle de référence pour fixer la durée de conservation de la documentation à portée fiscale. Les articles 66 à 70 de la LGT établissent que le droit de l'Administration de déterminer la dette fiscale par voie de liquidation, ainsi que d'exiger le paiement des dettes liquidées, se prescrit par quatre ans.
Il existe cependant des exceptions notables. L'article 70 de la LGT dispose que les obligations formelles liées aux obligations fiscales doivent être respectées pendant la période de prescription du droit de contrôle et d'investigation. Dans le cas de bases imposables négatives (pertes fiscales) en attente d'imputation, cette période peut être étendue à dix ans (ou au délai résultant des règles propres à chaque impôt). Cela signifie que l'entreprise doit conserver la documentation justifiant ces pertes pendant toute la durée durant laquelle elles peuvent être imputées sur des bénéfices futurs.
L'essor de la facturation électronique en Espagne, encouragé par la loi 18/2022 (Crea y Crece), ne modifie pas les délais fiscaux de conservation : la forme électronique du document ne raccourcit ni n'allonge la durée de conservation légalement requise.
Données comptables : 6 ans à compter de la dernière écriture
L'article 30 du Code de commerce (Código de Comercio) impose à l'entrepreneur de conserver les livres comptables, la correspondance, la documentation et les pièces justificatives relatives à son activité, dûment classés, pendant six ans à compter de la date de la dernière écriture dans les livres. Cette obligation s'applique même lorsque l'entrepreneur a cessé son activité ou que la société a été liquidée.
Du point de vue du RGPD, cette exigence du droit commercial justifie le maintien en gel des données à caractère personnel contenues dans la documentation comptable (noms de clients ou de fournisseurs figurant dans les factures, coordonnées bancaires dans les ordres de paiement) pendant cette période de six ans. Le responsable du traitement ne peut invoquer le principe de limitation de la durée de conservation pour supprimer ces données plus tôt si le droit commercial lui impose de conserver le support documentaire qui les contient.
Vidéosurveillance : le délai le plus court — un mois maximum
L'article 22.3 de la LOPDGDD (LO 3/2018) dispose avec précision que « les images seront supprimées dans un délai maximum d'un mois à compter de leur captation ». Il s'agit de la durée de conservation la plus restrictive parmi tous les traitements courants dans le monde de l'entreprise, et elle surprend souvent les organisations qui gèrent des systèmes de vidéosurveillance sans politique spécifique de purge automatique.
L'exception à ce délai maximum d'un mois s'applique lorsque les images constituent la preuve d'une infraction ou d'un incident : dans ce cas, l'article 22.3 permet de les conserver jusqu'à la clôture de la procédure judiciaire ou administrative correspondante. Dans le contexte du travail, l'article 22.4 de la LOPDGDD autorise l'utilisation de systèmes de vidéosurveillance pour contrôler les salariés dans le cadre de l'article 20.3 de l'ET (Statut des travailleurs), mais sous réserve des mêmes limitations temporelles.
Si votre entreprise a des caméras installées dans ses locaux, l'article de Summum Consultoría sur la vidéosurveillance en milieu professionnel détaille les exigences d'information, de signalisation et de configuration technique imposées par l'AEPD.
Marketing et communications commerciales : tant que le consentement dure
Les données traitées sur la base du consentement de la personne concernée (art. 6.1.a RGPD) n'ont pas de durée de conservation fixée par une règle sectorielle spécifique : la vie active de la donnée dure aussi longtemps que le consentement est en vigueur. Dès que la personne concernée révoque son consentement ou demande la suppression de ses données, le responsable doit cesser le traitement actif.
Cependant, la suppression immédiate n'est pas toujours possible. L'organisation peut avoir un intérêt légitime à geler les données pendant la période au cours de laquelle elle pourrait être poursuivie pour un usage antérieur abusif. Pour les communications commerciales électroniques, la prescription des actions en violation de la loi 34/2002 sur les services de la société de l'information et du commerce électronique (LSSI) est de trois ans (art. 47 LSSI). Les articles 1961 à 1968 du Code civil espagnol fixent des délais de prescription compris entre un et quinze ans pour diverses actions civiles ; la prescription générale des actions personnelles sans délai spécial est de cinq ans (art. 1964 CC après la réforme de 2015).
La bonne pratique en marketing numérique est de geler les données pendant trois ans à compter de la dernière interaction avec la personne concernée ou à compter du désabonnement, puis de les supprimer définitivement à l'expiration de ce délai, sauf si une demande judiciaire ou administrative impose de les conserver.
Comment documenter les durées dans le registre des activités de traitement
L'article 30.1.f du RGPD exige que le registre des activités de traitement comprenne « dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données ». En pratique, de nombreuses organisations se contentent d'une référence générique, ce qui ne satisfait pas à cette exigence et peut rendre difficile la démonstration de la responsabilité proactive (accountability) devant l'AEPD.
La structure recommandée pour documenter les durées dans le registre est la suivante :
- Phase active : durée pendant laquelle la donnée est nécessaire à la finalité principale (par exemple, « pendant la durée du contrat de travail »).
- Phase de gel : durée de conservation gelée par exigence réglementaire (par exemple, « 4 années supplémentaires à compter de la fin du contrat, conformément à l'art. 21 LGSS »).
- Date ou critère de suppression : mécanisme qui déclenche la suppression définitive (par exemple, « à l'expiration de 4 ans à compter de la fin du contrat, en l'absence de toute demande en cours de l'Inspection du travail ou de la TGSS »).
- Référence réglementaire : citation de la règle sectorielle qui justifie le délai.
Chez Summum Consultoría, nous accompagnons les organisations dans l'élaboration et la tenue de leur registre des activités de traitement, avec des modèles adaptés aux secteurs les plus courants et une révision annuelle des délais en réponse aux éventuelles évolutions réglementaires.
Conséquences d'une conservation des données au-delà du délai autorisé
Conserver des données à caractère personnel au-delà du délai justifié constitue une violation du principe de limitation de la durée de conservation de l'article 5.1.e du RGPD. En fonction de la gravité, du volume des personnes concernées et de l'existence de mesures techniques de protection, cela peut être qualifié de violation grave ou très grave au sens de l'article 83 du RGPD :
- Les violations des principes de l'article 5 du RGPD sont considérées comme des violations très graves en vertu de l'article 83.5, passibles d'amendes pouvant atteindre 20 000 000 EUR ou 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.
- La LOPDGDD (LO 3/2018), en son article 72, qualifie de violations très graves dans l'ordre juridique espagnol les atteintes substantielles à l'article 5 du RGPD, sans fixer de montants distincts de ceux du règlement lui-même.
Au-delà des sanctions financières, conserver des données sans justification augmente le préjudice potentiel en cas de violation de sécurité (davantage de données exposées) et complique l'exercice des droits des personnes concernées (accès, rectification, effacement), droits auxquels le responsable est tenu de répondre dans les délais fixés par l'article 12 du RGPD.
Mesures techniques pour garantir la suppression dans les délais
Connaître les durées de conservation n'est que la première étape. L'organisation doit mettre en place des mécanismes techniques garantissant la suppression effective des données à l'expiration du délai. Parmi les mesures habituelles :
- Politiques de conservation automatisées dans les systèmes de gestion documentaire et les CRM, qui bloquent ou suppriment les enregistrements à l'expiration du délai configuré.
- Inventaire des dépôts de données (bases de données, dossiers réseau, messagerie électronique, archives physiques) afin de s'assurer que la suppression est complète et qu'il ne subsiste pas de copies résiduelles.
- Destruction certifiée des supports physiques (papier, disques durs) contenant des données à caractère personnel en fin de cycle de vie, avec justificatif documentaire du processus.
- Révision périodique du registre des activités de traitement, au moins une fois par an, pour détecter les traitements dont le délai est expiré ou dont la justification a disparu.
Questions fréquentes
Que se passe-t-il si la règle sectorielle exige de conserver des données pendant 6 ans mais que la personne concernée exerce son droit à l'effacement après un an ?
Le droit à l'effacement prévu à l'article 17 du RGPD n'est pas absolu. L'article 17.3.b du RGPD dispose que le droit à l'effacement ne s'applique pas lorsque le traitement est nécessaire au respect d'une obligation légale qui requiert le traitement. Si la conservation est imposée par une règle ayant force de loi (le Code de commerce, la LGT, la LGSS), le responsable peut refuser l'effacement pendant la durée légalement requise, mais doit geler les données afin qu'elles ne soient accessibles à aucune autre fin de traitement. La personne concernée doit recevoir une réponse motivée dans un délai d'un mois (art. 12.3 RGPD).
Combien de temps dois-je conserver les CV de candidats non retenus ?
Il n'existe aucune règle sectorielle imposant une durée minimale de conservation des candidatures. Le principe de limitation de la durée de conservation de l'article 5.1.e du RGPD exige de les supprimer dès qu'elles cessent d'être nécessaires au processus de sélection. L'AEPD a indiqué dans plusieurs décisions qu'il est difficile de justifier la conservation de candidatures pendant plus d'un an sans base légale, sauf si la personne concernée a donné son consentement explicite pour rejoindre un vivier de talents. La recommandation générale est de les supprimer dans un délai maximum de douze mois si aucun recrutement n'a eu lieu, sauf consentement explicite à leur conservation.
Les images de vidéosurveillance peuvent-elles être conservées plus d'un mois si une clause est prévue dans le contrat de travail ?
Non. Le délai maximum d'un mois fixé à l'article 22.3 de la LOPDGDD est impératif et ne peut être prolongé par contrat, convention collective ou consentement individuel du salarié. Seule l'exception légale prévue à l'article 22.3 lui-même — images constituant la preuve d'une infraction pénale ou administrative — permet de conserver les enregistrements au-delà de ce mois, et uniquement pendant le temps nécessaire au traitement de la procédure correspondante. Toute clause contractuelle visant à étendre ce délai est nulle de plein droit.
Le délai de conservation commence-t-il à courir à partir de la collecte de la donnée ou à partir de la fin de la relation ?
Cela dépend du type de traitement. Pour les données issues de la relation de travail et les données fiscales, le délai de gel commence généralement à courir à partir de la fin de la relation contractuelle ou de la réalisation de la dernière opération pertinente (la dernière écriture comptable, le dépôt de la dernière déclaration fiscale). Pour la vidéosurveillance, le délai d'un mois court à compter du moment de la captation de chaque image, et non à compter de la fin d'une quelconque relation. Pour les données de marketing, le délai de gel commence à courir à partir de la révocation du consentement ou de la dernière interaction active avec la personne concernée. Le registre des activités de traitement doit préciser l'événement qui déclenche le point de départ du délai pour chaque activité de traitement.