top of page
Rechercher

RGPD et destruction des archives : comment rester en règle

  • Photo du rédacteur: Alain Roumani
    Alain Roumani
  • 17 sept. 2025
  • 2 min de lecture


Photo du rédacteur : Alain RoumaniAlain Roumani – 5 min de lecture


Pourquoi ce sujet concerne directement les services généraux

Le Règlement Général sur la Protection des Données (RGPD) impose une règle simple :

ne conserver les données personnelles que le temps nécessaire à leur finalité.

Dans les immeubles tertiaires, cela touche autant les dossiers RH, contrats fournisseurs, registres visiteurs que les sauvegardes informatiques. Une mauvaise gestion des durées de conservation peut entraîner :

  • des sanctions financières (jusqu’à 4 % du CA annuel mondial),

  • un risque de fuite de données,

  • une perte de confiance des collaborateurs et partenaires.


Les grands principes de conservation

La CNIL et le Code du commerce fixent des durées légales minimales pour certains documents :

Type de document

Durée légale de conservation*

Comptabilité, factures, pièces justificatives

10 ans (Code du commerce)

Documents commerciaux / contrats clients

5 ans (Code civil)

Registres du personnel, bulletins de paie

5 ans minimum (Code du travail)

Données prospect ou client inactif

3 ans maximum après dernier contact (RGPD/CNIL)

*Sources : Service-Public.fr – Obligations de conservation, CNIL – Guide durées de conservation.

Principe clé : au-delà de ces délais, si aucune obligation légale ne s’applique, les données doivent être supprimées ou anonymisées.


Destruction sécurisée de documents papier pour conformité RGPD
Destruction sécurisée de documents papier pour conformité RGPD


Destruction sécurisée : les bonnes pratiques

Lorsque la durée est dépassée, la suppression doit être irréversible :

  • Archives papier : destruction par broyage, déchiquetage ou prestataire certifié (ISO 21964, ex-DIN 66399).

  • Supports informatiques : effacement sécurisé (écrasement logiciel, dégaussage) ou destruction physique des disques.

  • Traçabilité : conserver un bordereau de destruction signé par le prestataire pour prouver la conformité.

Pour les archives publiques ou documents historiques, un bordereau d’élimination validé par les Archives départementales est obligatoire avant toute destruction.


Mettre en place une politique interne RGPD

Pour rester conforme, un service généraux ou un manager de transition doit :

  1. Cartographier les données : identifier tous les types de documents contenant des données personnelles (papier et numérique).

  2. Définir les durées de conservation par catégorie, en s’appuyant sur la réglementation.

  3. Planifier la destruction : calendrier annuel de tri, prestataires certifiés, registre des opérations.

  4. Informer et former les équipes : RH, assistantes, prestataires, pour éviter les conservations “par habitude”.


En résumé

Le RGPD ne se limite pas à la protection pendant l’usage des données : il impose une gestion rigoureuse de la fin de vie des archives.Une politique claire de tri, conservation et destruction sécurisée protège l’entreprise contre les

Commentaires

bottom of page