CRYPTOITDATACRYPTOITDATA

Protection des données

Conservation des données RGPD : combien de temps les garder ?

Le RGPD ne donne aucun nombre fixe d'années. Voici combien de temps vous devez et pouvez conserver les données, ce que vérifie l'ANSPDCP en 2026 et comment supprimer correctement — y compris dans les sauvegardes.

9 min de lecture

L'une des questions les plus fréquentes de nos clients est simple : « combien de temps ai-je le droit de conserver les données ? ». Derrière se cache une habitude très répandue dans les PME — tout garder, indéfiniment, « au cas où on en aurait besoin ». Pendant des années, cela ressemblait à de la prudence. En 2026 c'est en réalité un risque de conformité et de sécurité.

Chaque jeu de données que vous conservez sans raison valable est une surface d'attaque de plus, un coût de stockage de plus et une amende potentielle de plus. Ce guide vous montre combien de temps vous êtes légalement tenu de conserver certains documents, combien de temps vous pouvez garder le reste, et comment supprimer correctement — sans jargon.

Ce que dit le RGPD : le principe de limitation de la conservation

Le RGPD ne donne aucun nombre fixe d'années. L'article 5(1)(e) — le principe de « limitation de la conservation » — exige que les données à caractère personnel ne soient conservées que le temps nécessaire à la finalité pour laquelle elles ont été collectées. Autrement dit : une fois la finalité disparue et en l'absence de base légale, les données doivent être supprimées ou anonymisées.

En pratique, la conservation résulte d'une tension entre deux forces. D'un côté, le principe de minimisation pousse à supprimer le plus tôt possible. De l'autre, d'autres lois (comptables, fiscales, du travail) vous obligent à conserver certains documents pendant des années. Une politique de conservation correcte trouve, pour chaque catégorie de données, exactement l'intersection des deux.

Combien de temps vous DEVEZ conserver (délais légaux en Roumanie)

Pour les documents où la loi impose un délai minimal, celui-ci prime sur le principe de minimisation du RGPD. Les repères les plus souvent pertinents pour une entreprise roumaine :

  • Registres comptables obligatoires et pièces justificatives : 5 ans, comptés à partir du 1er juillet de l'année suivant l'exercice financier (loi comptable 82/1991, modifiée par la loi 36/2023).
  • Bulletins de paie : 5 ans — réduit de l'ancien seuil de 50 ans à compter du 1er janvier 2023.
  • États financiers annuels : 10 ans.
  • Documents liés à un contrat : pour la durée du contrat plus le délai de prescription des éventuels litiges (en général 3 ans pour les créances, plus dans les cas particuliers).
  • Données issues de la relation de travail : pour la durée de l'emploi plus les délais imposés par le droit du travail et le droit fiscal.

Attention à la transition des bulletins de paie : la réduction de 50 à 5 ans ne signifie pas que vous pouvez jeter immédiatement tout ce qui est plus ancien. Les documents servant à établir les droits à la retraite doivent être traités avec prudence. En cas de doute, demandez à votre comptable ou à votre juriste avant de supprimer.

Combien de temps vous POUVEZ conserver (sans obligation légale)

Pour les données qui ne relèvent pas d'une obligation légale d'archivage, la règle s'inverse : vous ne demandez pas « combien de temps puis-je la garder », mais « pourquoi la garderais-je encore ». Quelques cas typiques :

  • Données collectées sur la base du consentement (newsletter, marketing) : à supprimer dès que la personne retire son consentement et qu'aucune autre base légale ne s'applique.
  • Prospects et formulaires de contact sans contrat : fixez un délai raisonnable (par ex. 12-24 mois après le dernier contact) et supprimez automatiquement ensuite.
  • Enregistrements de vidéosurveillance : en général des jours, pas des mois — une conservation à long terme doit être justifiée séparément.
  • CV reçus spontanément : les conserver au-delà du processus de recrutement nécessite une base claire (par ex. consentement pour un vivier de talents).

Le droit à l'effacement — ce que les autorités vérifient désormais

Au-delà de la suppression automatique à l'expiration d'un délai, vous avez aussi une obligation réactive : le droit à l'effacement (« droit à l'oubli », article 17). Lorsqu'une personne demande la suppression de ses données et qu'il n'existe aucune base pour les conserver, vous devez les supprimer sans retard injustifié — de tous les systèmes où elles se trouvent.

Ce sujet a été au cœur de l'action de contrôle coordonnée du Comité européen de la protection des données (CEPD) pour 2025, dont le rapport a été adopté le 18 février 2026. 32 autorités de contrôle y ont participé, et 764 responsables de traitement — des PME aux grandes entreprises — ont répondu. Les conclusions sont pertinentes pour toute entreprise :

  • L'absence de procédures internes claires pour traiter les demandes d'effacement.
  • Une transparence insuffisante envers les personnes concernées.
  • L'utilisation de techniques d'anonymisation inefficaces en remplacement d'une véritable suppression.
  • L'absence de durées de conservation clairement définies.
  • Des limitations techniques empêchant l'effacement effectif des systèmes de sauvegarde.

Le dernier point est celui que les entreprises ignorent le plus souvent : si vous supprimez un client de la base de production mais qu'il reste dans les sauvegardes pendant des années, l'effacement est incomplet. La réponse n'est pas d'arrêter de sauvegarder, mais d'avoir une politique de conservation des sauvegardes et une procédure documentée : les données supprimées de la production « expirent » aussi des sauvegardes à mesure que les anciennes copies sont remplacées. C'est là que se rejoignent la protection des données (sauvegarde et conservation) et la conformité RGPD.

Les amendes ne sont pas théoriques (ANSPDCP 2025-2026)

L'Autorité nationale roumaine de surveillance du traitement des données à caractère personnel (ANSPDCP) applique activement des sanctions. En 2025, elle a infligé 105 amendes, pour un total d'environ 2,56 millions de lei (environ 511 000 euros), dont 96 au titre du RGPD. Et au cours des quatre premiers mois de 2026, elle a déjà appliqué 52 amendes, d'une valeur d'environ 1,13 million de lei (environ 230 500 euros).

Beaucoup de ces sanctions visent précisément ce dont nous avons parlé ici : la conservation de données sans base, l'absence de réaction aux demandes des personnes, une sécurité insuffisante des données conservées. Pour une PME, une seule amende peut dépasser le coût d'une politique de conservation bien conçue dès le départ.

Comment construire une politique de conservation qui tient

Une politique de conservation utile n'est pas un document de 40 pages que personne ne lit, mais un ensemble de règles réellement appliquées. Le parcours que nous recommandons :

  1. 1Inventoriez les données : quelles catégories vous détenez, où elles se trouvent (applications, fichiers, e-mail, sauvegardes), qui y a accès.
  2. 2Cartographiez la finalité et la base légale de chaque catégorie — sans finalité ni base légale, les données ne devraient pas exister.
  3. 3Fixez un délai de conservation par catégorie, à l'intersection de l'obligation légale et du principe de minimisation.
  4. 4Automatisez la suppression : autant que possible, les données expirent d'elles-mêmes plutôt que de dépendre de quelqu'un qui « s'en souvient ».
  5. 5Traitez les sauvegardes séparément : définissez la conservation des copies et la procédure par laquelle les suppressions se propagent à mesure que les anciennes sauvegardes sont remplacées.
  6. 6Documentez tout : une politique écrite et justifiée est la première preuve qu'une autorité demande lors d'un contrôle.

Si vous voulez que la conservation ne soit pas seulement sur le papier mais appliquée techniquement — avec des sauvegardes testées, une conservation automatisée et une suppression conforme — nous pouvons la construire ensemble. Découvrez notre service de protection des données ou planifiez un échange et nous partons de votre inventaire réel.

Conclusion

Une conservation correcte des données ne consiste pas à garder le plus possible, mais à garder exactement ce qu'il faut — et à pouvoir prouver pourquoi. Les entreprises qui mettent de l'ordre là-dedans gagnent sur trois fronts à la fois : elles réduisent le risque d'amende, diminuent leur surface d'attaque et coupent des coûts de stockage inutiles. Et quand arrive un contrôle ou une demande d'effacement, elles répondent en quelques heures, pas dans la panique.

Questions fréquentes

Le RGPD me dit-il exactement combien d'années conserver les données ?+

Non. Par le principe de limitation de la conservation (art. 5(1)(e)), le RGPD exige de ne conserver les données que le temps nécessaire à la finalité. Les délais concrets viennent d'autres lois (comptables, fiscales, du travail) ou vous les fixez vous-même, en les justifiant, pour chaque catégorie de données.

Combien de temps dois-je conserver les documents comptables et les bulletins de paie ?+

En Roumanie, les registres comptables obligatoires et les pièces justificatives sont conservés 5 ans (comptés à partir du 1er juillet de l'année suivant l'exercice), y compris les bulletins de paie — réduits de 50 à 5 ans depuis 2023. Les états financiers annuels sont conservés 10 ans.

Si je supprime un client de l'application mais qu'il reste dans une sauvegarde, est-ce suffisant ?+

Pas entièrement. La suppression doit couvrir tous les systèmes, y compris les sauvegardes. La réponse pratique est une politique de conservation des sauvegardes : les données supprimées de la production expirent aussi des copies à mesure que les anciennes sauvegardes sont remplacées, selon une procédure documentée.

Quelle est l'ampleur des amendes de l'ANSPDCP pour les PME ?+

Elles varient beaucoup, mais ne sont pas théoriques. En 2025, l'ANSPDCP a infligé 105 amendes pour environ 511 000 euros, et au cours des quatre premiers mois de 2026 déjà 52 amendes (environ 230 500 euros). Beaucoup visent la conservation de données sans base et une sécurité insuffisante.

Tous les articles

Une question concrète ?

30 minutes, gratuit. Nous parlons précisément de votre situation.

Réserver une consultation