Lois sur la conservation des données par pays (2026) : RGPD, jurisprudence de la CJUE et règles mondiales
Les organisations du monde entier sont confrontées à une question d'apparence simple : combien de temps peut-on conserver des données personnelles ? La réponse dépend de celui des deux concepts juridiques très différents qui s'applique. Le principe de limitation de la conservation du RGPD prévoit de ne pas conserver les données plus longtemps que nécessaire. Les lois obligatoires sur la conservation des données de communication imposent de conserver certaines métadonnées pendant une période fixe. Les deux entraînent des sanctions importantes en cas de non-conformité.
Champ juridictionnel : cet article couvre le principe de limitation de la conservation du RGPD et du RGPD britannique, la jurisprudence de la CJUE sur la conservation obligatoire des données de communication, et les cadres nationaux de conservation des États-Unis, du Royaume-Uni, de l'UE, du Brésil, de la Chine, de l'Inde, de la Corée du Sud, de l'Australie, du Canada, du Japon, de Singapour, de l'Afrique du Sud et du Mexique. Informations vérifiées en mai 2026. Consultez un avocat autorisé dans votre juridiction pour un avis adapté à votre situation.
Deux sens du terme « conservation des données »
L'expression « loi sur la conservation des données » est utilisée pour deux notions juridiquement distinctes qui pointent dans des directions opposées, et les confondre entraîne des erreurs de conformité.
Le principe de limitation de la conservation (modèle du droit de la vie privée) prévoit que les organisations ne doivent pas conserver de données personnelles plus longtemps que nécessaire pour la finalité pour laquelle elles ont été collectées. L'article 5(1)(e) du RGPD en est l'énoncé canonique. La POPIA sud-africaine, la LGPD brésilienne, la DPDPA indienne et la LPRPDE canadienne en font toutes écho. Selon ce modèle, la conservation constitue un risque juridique continu : plus vous conservez les données longtemps, plus votre exposition est grande. L'obligation va du responsable de traitement vers le régulateur.
Les lois obligatoires sur la conservation des données de communication (modèle du droit de la surveillance) imposent aux fournisseurs d'accès internet et aux opérateurs de télécommunications de conserver les métadonnées d'abonnés et de trafic pendant une période fixe afin que les forces de l'ordre puissent y accéder rétroactivement. La directive européenne sur la conservation des données (2006/24/CE), désormais invalidée, en est l'exemple canonique. La loi australienne sur les télécommunications (interception et accès), la loi britannique sur les pouvoirs d'enquête, et la loi coréenne sur les activités de télécommunications créent toutes des périodes minimales obligatoires de conservation. Selon ce modèle, la suppression avant l'expiration de la période statutaire constitue l'infraction. L'obligation va de l'opérateur vers le gouvernement.
Les mêmes données peuvent être soumises simultanément aux deux régimes. Une entreprise de télécommunications soumise à une loi gouvernementale imposant une conservation de 12 mois est également soumise à la limitation de conservation du RGPD pour ces mêmes données client : elle ne peut pas supprimer avant 12 mois (mandat gouvernemental) mais doit également justifier de leur conservation au-delà de 12 mois au regard du RGPD (principe de limitation de la conservation). Ces deux contraintes définissent ensemble la fenêtre de conservation licite.
Le principe de limitation de la conservation en vertu du RGPD
L'article 5(1)(e) du RGPD établit que les données personnelles doivent être conservées « sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». Le RGPD ne fixe pas de périodes de conservation spécifiques pour la plupart des catégories de données ; les organisations doivent déterminer et documenter leurs propres périodes.
Les organisations doivent consigner les périodes de conservation dans leurs registres des activités de traitement (article 30) et les communiquer aux personnes concernées dans les avis de confidentialité (article 13(2)(a)). Une conservation plus longue n'est permise qu'à des fins d'archivage dans l'intérêt public, de recherche scientifique ou historique, ou à des fins statistiques, avec des garanties appropriées (article 89).
L'action coordonnée d'application 2025 du CEPD sur le droit à l'effacement (publiée en février 2026) a révélé une non-conformité généralisée : certains responsables de traitement appliquent la période de conservation la plus longue applicable à toutes les opérations de traitement ; d'autres conservent les données indéfiniment. Le CEPD a recommandé que les autorités nationales élaborent des lignes directrices pratiques supplémentaires sur la détermination des périodes de conservation.
Périodes de conservation sectorielles dans l'UE
Bien que le RGPD évite les délais fixes, les lois des États membres de l'UE et les réglementations sectorielles imposent des périodes spécifiques :
Lutte contre le blanchiment d'argent. Les directives européennes anti-blanchiment exigent la conservation des données de vigilance client et des transactions pendant cinq ans après la fin de la relation d'affaires, les États membres étant autorisés à étendre cette période jusqu'à dix ans.
Dossiers d'emploi. La plupart des États membres de l'UE exigent des employeurs qu'ils conservent les dossiers de paie et fiscaux pendant six à dix ans après la fin de la relation de travail. L'Allemagne exige dix ans pour les documents pertinents sur le plan fiscal ; la France exige cinq ans pour les documents de paie.
Dossiers médicaux. Les périodes de conservation des données de santé des patients varient considérablement. Le NHS britannique recommande de conserver les dossiers de santé des adultes pendant huit ans après le dernier traitement (25 ans pour les dossiers de santé mentale), tandis que la France exige 20 ans à compter du dernier contact médical.
Métadonnées de télécommunications. La directive européenne originale sur la conservation des données (2006/24/CE) exigeait des opérateurs de télécommunications qu'ils conservent les métadonnées de communication pendant 6 à 24 mois. La CJUE a invalidé la directive en 2014 dans l'arrêt Digital Rights Ireland. La plupart des États membres de l'UE ont maintenu des exigences nationales de conservation, mais celles-ci ont également fait l'objet d'un examen de la CJUE. Selon une enquête de 2025 portant sur 18 pays européens, seuls l'Allemagne, les Pays-Bas et la Roumanie n'avaient aucune règle de conservation des données de télécommunications en vigueur ; la plupart des autres maintenaient des obligations générales de conservation malgré la jurisprudence de la CJUE, et seuls la Belgique, le Danemark et le Royaume-Uni n'imposaient qu'une conservation ciblée.
La jurisprudence de la CJUE sur la conservation des données de communication
La Cour de justice de l'Union européenne a développé un corpus jurisprudentiel sur la conservation obligatoire des données de communication qui a progressivement restreint ce que les États membres peuvent imposer aux opérateurs de télécommunications. Comprendre cette trajectoire est essentiel pour toute organisation opérant dans plusieurs États membres de l'UE.
Digital Rights Ireland (2014)
Dans l'arrêt Digital Rights Ireland (affaires jointes C-293/12 et C-594/12, 8 avril 2014), la grande chambre de la CJUE a invalidé dans son intégralité la directive européenne sur la conservation des données (2006/24/CE). La directive exigeait la conservation généralisée de toutes les métadonnées de communication pendant 6 à 24 mois. La cour a jugé qu'exiger une conservation générale et indifférenciée des données de tous les utilisateurs, sans différenciation, limitation ni exception fondée sur l'objectif de lutte contre la criminalité grave, portait une atteinte disproportionnée aux droits à la vie privée et à la protection des données garantis par les articles 7 et 8 de la Charte des droits fondamentaux de l'UE.
Tele2 Sverige et Watson (2016)
La directive ayant disparu, plusieurs États membres ont maintenu ou réédicté des lois nationales de conservation. Dans l'arrêt Tele2 Sverige et Watson (affaires jointes C-203/15 et C-698/15, 21 décembre 2016), la grande chambre a jugé qu'une législation nationale prévoyant une conservation générale et indifférenciée de toutes les données de trafic et de localisation de tous les abonnés est incompatible avec le droit de l'UE. Une conservation ciblée licite doit être : (a) limitée à des catégories spécifiques de données, moyens de communication, personnes concernées et périodes de conservation ; (b) restreinte à ce qui est strictement nécessaire ; (c) accessible uniquement pour lutter contre la criminalité grave ; et (d) soumise à un contrôle préalable par une juridiction ou un organisme administratif indépendant. La cour a également exigé que les données conservées soient stockées au sein de l'UE et détruites irréversiblement à l'expiration de la période de conservation.
La Quadrature du Net I (2020)
Dans l'arrêt La Quadrature du Net I (affaires jointes C-511/18, C-512/18, C-520/18 et C-623/17, 6 octobre 2020), la grande chambre a confirmé l'interdiction de la conservation générale, tout en reconnaissant trois exceptions admissibles : (1) la conservation générale préventive de toutes les métadonnées pendant une période prévisible de menace grave pour la sécurité nationale, sous réserve du contrôle d'une juridiction ou d'un organisme indépendant ; (2) la conservation ciblée fondée sur des critères géographiques ou les caractéristiques de groupes spécifiques pour lutter contre la criminalité grave ; et (3) la conservation rapide de données déjà conservées (quick-freeze) pour des enquêtes en cours.
SpaceNet et Telekom Deutschland (2022)
Dans l'arrêt SpaceNet et Telekom Deutschland (affaires jointes C-793/19 et C-794/19, 20 septembre 2022), la grande chambre a réaffirmé qu'une législation allemande exigeant une conservation générale et indifférenciée des données de trafic et de localisation des télécommunications était incompatible avec le droit de l'UE, même aux fins de lutte contre la criminalité grave. L'arrêt a souligné que le quick-freeze et la conservation ciblée demeurent possibles mais que la conservation générale ne l'est pas, indépendamment de l'objectif de prévention de la criminalité.
La Quadrature du Net II (2024)
Le développement le plus récent est l'arrêt La Quadrature du Net II (affaire C-470/21, 30 avril 2024), qui portait sur le système anti-piratage français Hadopi. La formation plénière de la CJUE (et non la grande chambre) a jugé que les adresses IP sont des données de trafic au sens de la directive 2002/58, mais qu'elles se distinguent des autres données de trafic et de localisation en ce que leur conservation générale et indifférenciée ne constitue pas une ingérence grave dans les droits fondamentaux lorsqu'elle est correctement encadrée.
La cour a autorisé la conservation des adresses IP et leur association avec des données d'identité civile pour permettre aux forces de l'ordre de lutter contre la contrefaçon en ligne d'œuvres protégées par le droit d'auteur, y compris pour des infractions non graves. Les garanties requises sont les suivantes : (a) les données d'adresses IP doivent être stockées séparément des autres données conservées, au moyen de systèmes techniques sécurisés ; (b) l'accès doit être limité à l'orientation vers des poursuites, empêchant le suivi des flux de navigation ou le profilage ; (c) un contrôle préalable par une juridiction ou un organisme indépendant est requis en cas de risque de profilage ; et (d) une surveillance périodique indépendante de l'intégrité du système doit être maintenue.
Ce que cela signifie aujourd'hui
La jurisprudence de la CJUE en 2026 permet aux États membres : de conserver les adresses IP de manière générale avec des garanties techniques ; d'imposer une conservation ciblée fondée sur la géographie ou des catégories de suspects pour la criminalité grave ; de recourir à des ordres de quick-freeze ; et d'imposer une conservation générale pendant une période prévisible de menace grave pour la sécurité nationale. La conservation générale et indifférenciée de toutes les métadonnées de tous les utilisateurs pour lutter contre la criminalité ordinaire demeure illicite. La Commission européenne mène une consultation sur un nouveau cadre européen de conservation obligatoire des métadonnées (appel à contributions lancé en mai 2025 ; projet législatif attendu début 2026), qui devra composer avec ces contraintes.
Cadres de conservation pays par pays
États-Unis
Les États-Unis ne disposent d'aucune loi fédérale globale sur la conservation des données équivalente au RGPD. Les exigences de conservation proviennent de lois fédérales sectorielles et de lois d'État.
Exigences fédérales :
- IRS (dossiers fiscaux) : les entreprises doivent conserver leurs dossiers fiscaux pendant un minimum de trois ans à compter de la date de dépôt, cette période s'étendant à six ou sept ans en cas de sous-déclaration substantielle des revenus (26 USC 6501).
- HIPAA (dossiers de santé) : les entités couvertes doivent conserver la documentation de leurs politiques et procédures pendant six ans à compter de leur création ou de leur dernière date d'effet (45 CFR 164.530(j)). Les lois d'État imposent souvent des périodes plus longues pour les dossiers médicaux sous-jacents.
- FLSA (dossiers d'emploi) : le Fair Labor Standards Act exige des employeurs qu'ils conservent les dossiers de paie pendant trois ans et les calculs de salaire pendant deux ans (29 CFR 516).
- SOX (dossiers financiers) : le Sarbanes-Oxley Act exige la conservation des documents de travail d'audit pendant sept ans (18 USC 1520).
- Règle 17a-4 de la SEC : les courtiers-négociants doivent conserver certains dossiers pendant trois à six ans selon le type de document.
- Bank Secrecy Act (dossiers de lutte contre le blanchiment) : les institutions financières doivent conserver les dossiers de certaines transactions, y compris les déclarations d'opérations en espèces et les déclarations d'activités suspectes, pendant cinq ans.
Exigences au niveau des États : la CCPA/CPRA de Californie exige des entreprises qu'elles communiquent les périodes de conservation et évitent de conserver les données plus longtemps que raisonnablement nécessaire (Cal. Civ. Code 1798.100(c)). Le Colorado, la Virginie (VCDPA) et le Texas (TDPSA) contiennent des principes parallèles de limitation de la conservation exigeant des périodes de conservation documentées et alignées sur les finalités de traitement.
Royaume-Uni
Après le Brexit, le Royaume-Uni conserve le principe de limitation de la conservation du RGPD par le biais du RGPD britannique et du Data Protection Act 2018. L'ICO fait appliquer ce principe aux côtés de la législation britannique sectorielle.
Le projet de loi britannique sur la protection des données et l'information numérique (DPDI) est mort lors de la dissolution du Parlement avant les élections générales de juillet 2024. La loi sur les données (utilisation et accès) a reçu la sanction royale le 19 juin 2025, introduisant des changements aux dispositifs de données intelligentes et au partage de données, tout en préservant inchangé le principe fondamental de limitation de la conservation du RGPD britannique.
Les périodes sectorielles spécifiques incluent :
- Services financiers : les règles de la FCA exigent la conservation des dossiers de transactions pendant cinq ans (MiFID II) et des dossiers de lutte contre le blanchiment pendant cinq ans après la fin de la relation d'affaires.
- Télécommunications : la loi de 2016 sur les pouvoirs d'enquête autorise la conservation des relevés de connexion internet pendant jusqu'à 12 mois à des fins d'accès par les forces de l'ordre. La Belgique, le Danemark et le Royaume-Uni figurent parmi les rares juridictions de l'UE ou post-UE n'imposant qu'une conservation ciblée conforme à la jurisprudence de la CJUE.
- Emploi : le HMRC exige que les dossiers de paie soient conservés pendant trois ans après la fin de l'exercice fiscal auquel ils se rapportent.
États membres de l'Union européenne
Au-delà du cadre du RGPD, les États membres de l'UE maintiennent individuellement des périodes de conservation statutaires sectorielles. Exemples clés :
Finance/lutte contre le blanchiment : tous les États membres mettent en œuvre l'exigence de conservation de cinq ans de la directive européenne anti-blanchiment pour les données de vigilance client et de transactions.
Emploi : l'Allemagne exige dix ans pour les documents d'emploi pertinents sur le plan fiscal ; la France exige cinq ans pour les documents de paie ; la Pologne et la République tchèque exigent 50 ans pour les dossiers de sécurité sociale et de retraite.
Dossiers de santé : l'Allemagne exige 10 ans pour les dossiers médicaux à compter de la fin du traitement ; la France exige 20 ans à compter du dernier contact ; l'Italie exige 30 ans pour les dossiers médicaux d'interventions majeures.
Métadonnées de télécommunications : comme indiqué plus haut, seuls l'Allemagne, les Pays-Bas et la Roumanie n'ont actuellement aucune règle obligatoire de conservation des télécommunications. La plupart des autres États membres maintiennent des lois nationales potentiellement incompatibles avec la jurisprudence de la CJUE mais qui n'ont pas encore été formellement invalidées au niveau national.
Brésil (LGPD)
La LGPD du Brésil reflète le principe de limitation de la conservation du RGPD en vertu de l'article 15, exigeant la suppression des données personnelles une fois la finalité du traitement atteinte. Les exceptions couvrent le respect d'obligations légales, la recherche (avec anonymisation si possible), et les intérêts légitimes du responsable de traitement.
L'Autorité nationale de protection des données du Brésil (ANPD) a rendu ses premières décisions d'application significatives en 2024 et publié un projet de lignes directrices sur la conservation, signalant un contrôle réglementaire accru des organisations qui conservent des données sans calendrier défini.
Les exigences sectorielles brésiliennes incluent :
- Dossiers fiscaux : cinq ans (Código Tributário Nacional).
- Dossiers d'emploi : cinq ans pour les dossiers généraux ; jusqu'à 30 ans pour les dossiers de santé au travail.
- Dossiers consommateurs : cinq ans (Código de Defesa do Consumidor).
Chine (PIPL)
L'article 19 de la PIPL de Chine exige que les périodes de conservation correspondent au « minimum nécessaire pour atteindre la finalité du traitement ». Les organisations doivent supprimer ou anonymiser les informations personnelles une fois la finalité atteinte, la période de conservation convenue expirée, ou le consentement retiré par la personne concernée.
Le règlement sur la gestion de la sécurité des données de réseau, annoncé le 30 septembre 2024 et en vigueur depuis le 1er janvier 2025, exige des responsables du traitement des données de réseau qu'ils incluent la période de conservation des informations personnelles dans leurs règles de traitement. Lorsqu'une période est difficile à déterminer, la méthode permettant de la déterminer doit être explicitement indiquée. Ce règlement met en œuvre les exigences de la PIPL avec une spécificité opérationnelle accrue.
Les exigences sectorielles existantes demeurent en vigueur :
- Loi sur la cybersécurité : les opérateurs de réseau doivent conserver les journaux réseau pendant au moins six mois.
- Dossiers financiers : les banques doivent conserver les dossiers d'identification des clients pendant cinq ans après la clôture du compte et les dossiers de transactions pendant cinq ans après la transaction.
- Télécommunications : les opérateurs doivent conserver les informations d'enregistrement des utilisateurs pendant la durée du service plus cinq ans après la résiliation.
Inde (DPDPA)
L'article 8(7) de la DPDPA de l'Inde exige des fiduciaires de données qu'ils effacent les données personnelles une fois la finalité du traitement remplie et la conservation n'étant plus nécessaire pour la conformité légale.
Les règles de protection des données personnelles numériques 2025 ont été finalisées le 13 novembre 2025, mettant en œuvre la DPDPA avec des dispositions de conservation spécifiques :
- Conservation minimale (traitement de la Septième Annexe) : les fiduciaires de données traitant des données au titre de la Septième Annexe (sécurité nationale, obligations statutaires) doivent conserver les données personnelles, les données de trafic et les journaux de traitement pendant au moins un an à compter de la date du traitement.
- Conservation maximale (plateformes à grande échelle) : les entités de commerce électronique et les intermédiaires de réseaux sociaux comptant 20 millions ou plus d'utilisateurs indiens enregistrés, et les intermédiaires de jeux en ligne comptant 5 millions ou plus d'utilisateurs enregistrés, font face à un plafond de trois ans à compter de la dernière demande de la personne concernée ou de la date d'entrée en vigueur des règles, selon la plus tardive de ces dates.
- Notification préalable à la suppression : les fiduciaires de données doivent notifier les personnes concernées 48 heures avant de supprimer leurs données personnelles si la personne n'a pas interagi avec la plateforme.
Les règles entrent en vigueur par phases : 12 mois pour les dispositions relatives au gestionnaire de consentement, et 18 mois pour le reste. Les lois sectorielles continuent de s'appliquer : la loi de 2013 sur les sociétés exige la conservation des dossiers financiers pendant huit ans ; la loi de l'impôt sur le revenu exige la conservation des dossiers fiscaux pendant six à huit ans ; les règlements KYC de la RBI exigent cinq ans après la fin de la relation d'affaires.
Corée du Sud (PIPA)
L'article 21 de la PIPA de Corée du Sud exige la destruction des informations personnelles dans les cinq jours suivant l'expiration de la période de conservation ou la réalisation de la finalité du traitement. Ce délai de destruction de cinq jours figure parmi les plus stricts au monde.
Lorsque la conservation est exigée par une autre loi, les informations doivent être stockées séparément des autres données personnelles. Les périodes sectorielles spécifiques incluent :
- Commerce électronique : cinq ans pour les dossiers de contrat et de paiement en vertu de la loi sur la protection des consommateurs dans le commerce électronique.
- Télécommunications : 12 mois pour les données d'abonnés ; trois mois pour les métadonnées de communication en vertu de la loi sur les activités de télécommunications.
- Dossiers fiscaux : cinq ans en vertu de la loi-cadre sur les impôts nationaux.
Australie
La loi australienne sur la vie privée de 1988 (principe australien de protection de la vie privée n° 11) exige des organisations qu'elles prennent des mesures raisonnables pour détruire ou dépersonnaliser les informations personnelles lorsqu'elles ne sont plus nécessaires à aucune fin.
La loi de 2024 modifiant diverses lois sur la protection de la vie privée (Cth) a reçu la sanction royale le 10 décembre 2024, introduisant la réforme la plus importante du régime australien de protection de la vie privée depuis son adoption. Les principaux changements affectant la conservation des données incluent : la clarification selon laquelle les « mesures raisonnables » pour protéger les informations personnelles englobent la mise en œuvre de « mesures techniques et organisationnelles » ; un nouveau délit civil statutaire pour les atteintes graves à la vie privée (entré en vigueur au plus tard le 10 juin 2025) ; et de nouvelles obligations de transparence sur la prise de décision automatisée entrées en vigueur le 11 décembre 2024. L'exigence de conservation de deux ans des métadonnées de télécommunications en vertu de la loi sur les télécommunications (interception et accès) demeure inchangée.
Canada
La LPRPDE du Canada (Loi sur la protection des renseignements personnels et les documents électroniques, LC 2000, ch. 5) exige des organisations qu'elles ne conservent les renseignements personnels que le temps nécessaire à la finalité identifiée. Les amendements de la Loi 25 du Québec (en vigueur depuis septembre 2023) exigent des organisations qu'elles détruisent ou anonymisent les renseignements personnels une fois la finalité atteinte.
Mise à jour du projet de loi C-27 / de la LPVPC : le projet de loi C-27, qui aurait édicté la Loi sur la protection de la vie privée des consommateurs (LPVPC) pour remplacer la LPRPDE, est mort au Feuilleton lorsque le Parlement a été prorogé en janvier 2025. Des élections fédérales en avril 2025 ont repoussé davantage la réforme dans le calendrier législatif. Le Commissariat à la protection de la vie privée s'est dit confiant que la réforme fédérale de la protection de la vie privée deviendra une priorité de la 45e législature, mais aucune nouvelle loi fédérale n'a été adoptée en date de mai 2026. Le Canada continue de fonctionner sous la LPRPDE, une loi rédigée en 2000.
Japon
L'article 22 de la loi japonaise sur la protection des informations personnelles (APPI) exige des exploitants traitant les données qu'ils s'efforcent de supprimer les données personnelles lorsqu'elles deviennent inutiles, mais ne précise pas de périodes de conservation fixes. Les lignes directrices sectorielles apportent des précisions supplémentaires : les lignes directrices du MIC pour les opérateurs de télécommunications exigent des opérateurs qu'ils documentent les périodes de conservation et effacent les données sans délai après l'expiration de la période de conservation.
La Commission de protection des informations personnelles (PPC) a traité 67 dossiers d'application au cours de l'exercice 2024 (avril 2024 à mars 2025) et mène une consultation sur des amendements à l'APPI en 2025, y compris l'introduction de sanctions administratives pécuniaires. Les périodes de conservation sectorielles incluent : les dossiers d'entreprise en vertu de la loi sur les sociétés (10 ans), les dossiers des institutions financières en vertu de la loi bancaire (10 ans après la clôture du compte), et les dossiers fiscaux en vertu de la loi fiscale nationale (sept ans).
Singapour
La loi sur la protection des données personnelles (PDPA) de Singapour impose une obligation de limitation de la conservation exigeant des organisations qu'elles cessent de conserver ou qu'elles éliminent les données personnelles lorsqu'elles ne sont plus nécessaires à une finalité commerciale ou légale. La PDPC a intensifié son application en 2024-2025 : une affaire de 2024 contre Keppel Telecommunications a établi une violation pour défaut de suppression de données personnelles obsolètes d'un serveur hérité. Les sanctions financières peuvent atteindre 1 million de dollars singapouriens ou 10 % du chiffre d'affaires annuel à Singapour pour les organisations dont le chiffre d'affaires dépasse 10 millions de dollars singapouriens.
Les exigences sectorielles incluent : les institutions financières réglementées par la MAS doivent conserver les dossiers clients pendant cinq ans ; les prestataires de soins de santé doivent conserver les dossiers médicaux pendant six ans en vertu des règlements sur les hôpitaux privés et les cliniques médicales.
Afrique du Sud (POPIA)
L'article 14 de la loi sud-africaine sur la protection des informations personnelles (POPIA) exige que les dossiers d'informations personnelles ne soient pas conservés plus longtemps que nécessaire pour atteindre la finalité de la collecte. Une conservation prolongée est permise pour des fonctions légales, des obligations contractuelles, ou le consentement de la personne concernée.
Lorsqu'un dossier a été utilisé pour prendre une décision concernant une personne concernée, il doit être conservé pendant une période exigée par la loi ou un code de conduite, ou, en l'absence d'une telle période, suffisamment longtemps pour offrir à la personne concernée une possibilité raisonnable de demander l'accès. La POPIA est entrée en vigueur le 1er juillet 2020, avec une échéance de conformité au 30 juin 2021.
Mexique
Le Mexique a promulgué une nouvelle loi fédérale sur la protection des données personnelles détenues par des parties privées (LFPDPPP), en vigueur depuis le 21 mars 2025, remplaçant la version de 2010. Les responsables de traitement doivent établir des périodes de conservation et supprimer les données à l'expiration de ces périodes, suivant un processus de blocage. Les données relatives à un manquement contractuel doivent être supprimées après 72 mois. Une fois la finalité du traitement remplie, les données sont bloquées (conservées mais non traitées) jusqu'à l'expiration du délai de prescription légal ou contractuel, puis supprimées.
Tableau comparatif des principales périodes de conservation
| Secteur/type de dossier | É.-U. | UE/RGPD | R.-U. | Brésil | Chine | Corée du Sud | Australie | Japon | Singapour |
|---|---|---|---|---|---|---|---|---|---|
| Dossiers fiscaux/financiers | 3-7 ans | 5-10 ans (variable selon l'État) | 3-6 ans | 5 ans | 5 ans | 5 ans | 5-7 ans | 7 ans | 5 ans |
| Emploi/paie | 2-3 ans (FLSA) | 6-10 ans (variable) | 3 ans (HMRC) | 5-30 ans | Selon contrat + loi | 3 ans | 7 ans | Selon contrat | 5 ans |
| Dossiers de santé/médicaux | 6+ ans (documents HIPAA) | 8-20 ans (variable) | 8-25 ans (NHS) | 20 ans | 15 ans minimum | 5 ans après traitement | 7 ans | Variable selon le secteur | 6 ans |
| Métadonnées de télécommunications | Aucun mandat fédéral | Variable selon l'État membre (conservation générale interdite par la CJUE) | 12 mois (IPA) | Selon réglementation sectorielle | 6 mois (journaux) | 3-12 mois | 2 ans | Selon lignes directrices du MIC | Selon règles de la MDA |
| Lutte contre le blanchiment | 5 ans (BSA) | 5 ans (AMLD) | 5 ans | 5 ans | 5 ans | 5 ans | 7 ans | 7 ans | 5 ans |
| Consommation/commerce électronique | Aucun mandat fédéral | Selon finalité | Selon finalité | 5 ans | Selon finalité | 5 ans | Selon finalité | Selon finalité | Selon finalité |
Exigences de destruction des données
Les obligations de conservation sont vaines sans exigences de destruction applicables. La plupart des lois modernes sur la vie privée précisent comment les données doivent être détruites, et non seulement quand.
Approche RGPD/UE : le RGPD exige un effacement qui rend les données irrécupérables. L'ENISA a publié des lignes directrices recommandant la destruction physique pour le matériel et l'effacement cryptographique ou la réécriture multi-passes pour les enregistrements électroniques. Le CEPD a noté que l'anonymisation (rendant les individus non identifiables) constitue une alternative à la suppression pour des finalités de recherche et d'archivage, mais a mis en garde contre le fait de traiter la pseudonymisation comme équivalente à l'effacement aux fins de la limitation de conservation.
Normes fédérales américaines : le NIST publie la SP 800-88 rév. 1 (« Lignes directrices pour l'assainissement des supports »), fournissant des méthodes détaillées pour l'effacement, la purge et la destruction des supports de stockage de données. De nombreuses lois d'État sur la vie privée font référence aux normes NIST comme référence pour une destruction adéquate.
Exigences documentaires : plusieurs juridictions exigent des dossiers documentés de destruction :
- La Corée du Sud exige un journal de destruction documentant la date, la méthode et la personne responsable, dans un délai de cinq jours suivant l'expiration de la finalité.
- L'ICO britannique recommande de conserver des certificats de destruction pour les services d'élimination externalisés.
- La PDPA de Singapour exige des organisations qu'elles maintiennent une « responsabilisation raisonnable » pour la destruction, y compris la tenue de dossiers.
- Les règles DPDPA de l'Inde exigent que la notification préalable de 48 heures avant suppression soit documentée et consignée.
Données de sauvegarde : le rapport CEF 2025 du CEPD a révélé que la moitié des autorités répondantes ont indiqué que les responsables de traitement n'ont aucune procédure spécifique pour l'effacement à partir des systèmes de sauvegarde. Certains responsables de traitement ne suppriment jamais les données personnelles des sauvegardes. Les régulateurs traitent de plus en plus les données de sauvegarde comme soumises aux mêmes obligations de suppression que les données primaires.
Mesures conservatoires judiciaires et conflits de conservation
Une mesure conservatoire judiciaire (litigation hold) est une obligation de préserver tous les documents et données potentiellement pertinents lorsqu'un litige est raisonnablement anticipé. Aux États-Unis, le devoir de préservation découle de la common law et des amendements aux FRCP, en particulier la règle 37(e), qui traite des sanctions pour défaut de préservation des informations stockées électroniquement.
Les mesures conservatoires judiciaires priment sur les calendriers de conservation standard. Si la politique d'une organisation prévoit une suppression après trois ans mais qu'un litige impliquant ces dossiers est anticipé, l'organisation doit suspendre la suppression des données concernées jusqu'à la levée de la mesure conservatoire.
En vertu du RGPD, la tension entre les exigences de minimisation des données et les devoirs de mesure conservatoire est explicitement reconnue. Le considérant 65 du RGPD prévoit qu'une conservation au-delà de la finalité initiale peut être permise pour établir, exercer ou défendre des droits en justice. Les organisations doivent documenter cette base légale dans leurs registres des activités de traitement et la communiquer aux personnes concernées.
Comment élaborer une politique de conservation conforme
Les organisations naviguant des exigences de conservation multi-juridictionnelles devraient suivre les étapes suivantes :
1. Réaliser un inventaire des données. Recensez chaque catégorie de données personnelles collectées, les juridictions qu'elles traversent, et les bases légales du traitement. Cet inventaire constitue le fondement d'un calendrier de conservation défendable.
2. Élaborer un calendrier de conservation. Pour chaque catégorie de données, identifiez les périodes de conservation applicables dans toutes les juridictions concernées. Fixez le plafond de conservation à la période obligatoire la plus longue. Documentez la base légale de chaque période (obligation légale, intérêt légitime ou consentement).
3. Établir une matrice transfrontalière. Pour les organisations multinationales, créez un tableau juridiction par juridiction identifiant la période obligatoire la plus longue, la période maximale la plus courte, et la fenêtre licite qui en résulte. Lorsque des juridictions entrent en conflit (par exemple, un minimum obligatoire de 12 mois dans la juridiction A et un maximum fondé sur la finalité de six mois dans la juridiction B), documentez la tension et la résolution choisie.
4. Automatiser la suppression. Les processus manuels de suppression sont sujets à erreur. Les plateformes modernes de gouvernance des données peuvent appliquer une suppression automatisée basée sur les calendriers de conservation, avec gestion des exceptions pour les mesures conservatoires judiciaires. Le rapport CEF 2025 du CEPD a identifié les données de sauvegarde comme une lacune fréquente.
5. Tout documenter. Les régulateurs et les tribunaux attendent de plus en plus des organisations qu'elles démontrent non seulement qu'elles disposent d'une politique de conservation, mais qu'elles la respectent. Conservez des journaux de destruction, des pistes d'audit et des dossiers d'exception. La Corée du Sud et l'Inde exigent toutes deux une documentation spécifique des événements de destruction.
Développements récents (2024-2026)
Application du droit à l'effacement par le CEPD en 2025. L'action coordonnée d'application 2025 du CEPD a couvert 764 responsables de traitement dans 32 juridictions et a révélé des difficultés généralisées à déterminer et mettre en œuvre les périodes de conservation. Le CEPD a appelé les autorités nationales à élaborer des lignes directrices de conservation plus spécifiques.
Législation européenne sur la conservation des métadonnées. La Commission européenne a lancé un appel formel à contributions en mai 2025 sur la relance d'un cadre européen obligatoire de conservation des métadonnées. Une proposition législative provisoire est attendue début 2026. La proposition s'appliquerait aux télécommunications, aux services cloud, aux processeurs de paiement, et potentiellement aux services de messagerie chiffrés de bout en bout. Toute loi devra composer avec la jurisprudence de la CJUE interdisant la conservation générale et indifférenciée.
Règles DPDPA de l'Inde finalisées. Les règles DPDPA de l'Inde ont été finalisées le 13 novembre 2025, établissant pour la première fois des plafonds de conservation spécifiques pour les grandes plateformes numériques.
Réformes de la loi australienne sur la vie privée. La loi de 2024 modifiant diverses lois sur la protection de la vie privée (sanction royale le 10 décembre 2024) a introduit les réformes australiennes les plus significatives en matière de vie privée depuis l'adoption de la loi, clarifiant les obligations de destruction et introduisant un nouveau délit civil statutaire.
Nouvelle LFPDPPP du Mexique. La LFPDPPP mise à jour du Mexique est entrée en vigueur le 21 mars 2025, remplaçant un cadre de 2010 par des procédures actualisées de traitement et de blocage des données.
Frequently Asked Questions
Quelle est la différence entre le principe de limitation de la conservation du RGPD et les lois obligatoires sur la conservation des données ?
Le principe de limitation de la conservation du RGPD (article 5(1)(e)) constitue une protection de la vie privée : il interdit de conserver des données personnelles plus longtemps que nécessaire pour la finalité initiale. Les lois obligatoires de conservation des données sont des outils de surveillance : elles imposent aux fournisseurs d'accès internet et aux opérateurs de télécommunications de conserver les métadonnées d'abonnés et de trafic pendant une période fixe afin que les forces de l'ordre puissent y accéder. Les deux peuvent s'appliquer simultanément aux mêmes données, créant une fenêtre de conservation licite entre le minimum obligatoire et le maximum fondé sur la limitation de la conservation.
Combien de temps une entreprise peut-elle conserver des données personnelles en vertu du RGPD ?
Le RGPD ne fixe aucun délai précis. L'article 5(1)(e) exige que les données personnelles soient conservées pendant une durée n'excédant pas celle nécessaire pour la finalité de leur collecte. Les organisations doivent déterminer et documenter les périodes de conservation en fonction de leur finalité de traitement, de toute obligation légale, et des règles sectorielles spécifiques. Le rapport d'application 2025 du CEPD a révélé que la plupart des organisations peinent à le faire de manière cohérente.
Qu'est-il advenu de la directive européenne sur la conservation des données ?
La Cour de justice de l'UE a invalidé la directive sur la conservation des données (2006/24/CE) dans l'arrêt Digital Rights Ireland (affaire C-293/12, 8 avril 2014), jugeant qu'exiger la conservation générale de toutes les métadonnées de communication pour tous les utilisateurs, sans différenciation, violait les droits de la Charte à la vie privée et à la protection des données. La Commission européenne mène actuellement une consultation sur un cadre de remplacement de conservation obligatoire ; une proposition législative provisoire est attendue début 2026.
La conservation générale des métadonnées de télécommunications est-elle encore autorisée dans l'UE ?
Non, pour la plupart des finalités de lutte contre la criminalité. La jurisprudence de la CJUE entre 2014 et 2022 a établi que la conservation générale et indifférenciée de toutes les données de trafic et de localisation de tous les utilisateurs est incompatible avec le droit de l'UE. Seules la conservation ciblée (fondée sur la personne, la géographie ou la catégorie), les ordres de quick-freeze, et la surveillance en temps réel avec autorisation judiciaire sont permises. L'arrêt La Quadrature du Net II de 2024 a créé une exception restreinte pour la conservation des adresses IP, considérées comme moins intrusives que les autres métadonnées.
Que s'est-il passé avec les règles de conservation de la DPDPA indienne ?
Les règles DPDPA de l'Inde ont été finalisées le 13 novembre 2025. Les règles exigent au moins un an de conservation pour les données personnelles traitées au titre de la sécurité nationale et des obligations statutaires. Les grandes plateformes de commerce électronique, les intermédiaires de réseaux sociaux (20+ millions d'utilisateurs) et les plateformes de jeux en ligne (5+ millions d'utilisateurs) font face à un plafond maximal de conservation de trois ans. Les fiduciaires de données doivent notifier les utilisateurs 48 heures avant de supprimer leurs données si l'utilisateur n'a pas récemment interagi avec la plateforme.
Quel est le statut de la réforme canadienne de la vie privée ?
Le projet de loi C-27 du Canada, qui aurait remplacé la LPRPDE par la Loi sur la protection de la vie privée des consommateurs (LPVPC), est mort au Feuilleton lorsque le Parlement a été prorogé en janvier 2025. Des élections fédérales en avril 2025 ont repoussé davantage la réforme. Le Canada fonctionne toujours sous la LPRPDE, adoptée en 2000. La Loi 25 du Québec (en vigueur depuis septembre 2023) prévoit des exigences provinciales plus strictes.
Les mesures conservatoires judiciaires priment-elles sur les politiques de conservation des données ?
Oui. Lorsqu'un litige est raisonnablement anticipé, les organisations doivent préserver toutes les données potentiellement pertinentes, quels que soient les calendriers de conservation standard. Aux États-Unis, la règle 37(e) des FRCP traite des sanctions pour défaut de préservation des informations stockées électroniquement. En vertu du RGPD, le considérant 65 permet une conservation au-delà de la finalité initiale pour établir, exercer ou défendre des droits en justice. Cette obligation se poursuit jusqu'à la conclusion du litige ou la levée formelle de la mesure conservatoire.
Comment les données personnelles doivent-elles être détruites à l'expiration de la période de conservation ?
La plupart des lois sur la vie privée exigent une destruction irréversible. La norme NIST SP 800-88 fournit des méthodes incluant la destruction physique, l'effacement cryptographique, et la réécriture multi-passes. La Corée du Sud exige une destruction documentée dans un délai de cinq jours. L'Inde exige un préavis de 48 heures avant la suppression pour certaines plateformes. Les organisations devraient tenir des journaux de destruction consignant la date, la méthode et la personne responsable. Les systèmes de sauvegarde nécessitent des procédures de suppression spécifiques ; le CEPD a identifié cela comme une lacune de conformité répandue.
Les lois sur la conservation des données diffèrent-elles pour les dossiers de santé par rapport aux dossiers financiers ?
Oui, de manière significative. Les dossiers de santé ont généralement des périodes de conservation obligatoires plus longues (8 à 25 ans dans de nombreuses juridictions) en raison de leur pertinence clinique continue et des risques de réclamations pour faute professionnelle. Les dossiers financiers exigent généralement 3 à 10 ans selon la juridiction et le type de dossier. Chaque secteur dispose de son propre cadre réglementaire. Aux États-Unis, l'HIPAA régit la documentation des dossiers de santé (6 ans) tandis que les lois d'État sur la pratique médicale exigent généralement 7 à 10 ans pour les dossiers sous-jacents.
Une entreprise peut-elle utiliser la même période de conservation pour tous les pays ?
Fixer les périodes de conservation à la période la plus longue exigée mondialement est juridiquement prudent mais peut entrer en conflit avec les exigences de minimisation des données dans les pays ayant des périodes maximales plus courtes. L'approche la plus sûre est un calendrier de conservation spécifique à chaque juridiction, fondé sur le lieu de résidence des personnes concernées, avec des bases légales documentées pour chaque période. Les organisations multinationales devraient élaborer une matrice transfrontalière identifiant la fenêtre licite entre les minimums obligatoires et les maximums de limitation de conservation pour chaque catégorie de données et chaque juridiction.
Sources and References
- RGPD : règlement (UE) 2016/679 du Parlement européen et du Conseil(eur-lex.europa.eu).gov
- RGPD, article 5 : principes relatifs au traitement des données à caractère personnel(gdpr-info.eu)
- CJUE, Digital Rights Ireland (affaires C-293/12 et C-594/12, 8 avril 2014)(curia.europa.eu).gov
- CJUE, Tele2 Sverige et Watson (affaires C-203/15 et C-698/15, 21 décembre 2016)(eur-lex.europa.eu).gov
- CJUE, La Quadrature du Net I (affaires C-511/18, C-512/18, C-520/18, C-623/17, 6 octobre 2020)(curia.europa.eu).gov
- CJUE, SpaceNet et Telekom Deutschland (affaires C-793/19 et C-794/19, 20 septembre 2022)(curia.europa.eu).gov
- CJUE, La Quadrature du Net II (affaire C-470/21, 30 avril 2024)(eur-lex.europa.eu).gov
- Action coordonnée d'application 2025 du CEPD : mise en œuvre du droit à l'effacement (février 2026)(edpb.europa.eu).gov
- ICO britannique : lignes directrices sur la limitation de la conservation(ico.org.uk).gov
- 26 USC 6501 : délais de prescription de l'IRS pour l'établissement et le recouvrement(law.cornell.edu)
- 45 CFR 164.530 : exigences administratives HIPAA(law.cornell.edu)
- 29 CFR 516 : dossiers à conserver par les employeurs en vertu du FLSA(law.cornell.edu)
- 18 USC 1520 : destruction des dossiers d'audit d'entreprise (SOX)(law.cornell.edu)
- Cal. Civ. Code 1798.100 : droit de savoir du consommateur (CCPA)(leginfo.legislature.ca.gov).gov
- LGPD du Brésil : loi 13.709/2018(planalto.gov.br).gov
- Texte intégral de la PIPL chinoise (NPC)(npc.gov.cn).gov
- Règlement chinois sur la gestion de la sécurité des données de réseau (en vigueur depuis le 1er janvier 2025)(english.www.gov.cn).gov
- Texte intégral de la DPDPA 2023 de l'Inde(meity.gov.in).gov
- IAPP : les règles DPDPA de l'Inde finalisées (novembre 2025)(iapp.org)
- Traduction anglaise de la PIPA de Corée du Sud(law.go.kr).gov
- Principes australiens de protection de la vie privée (OAIC)(oaic.gov.au).gov
- Loi de 2024 modifiant diverses lois sur la protection de la vie privée (Cth), Parlement d'Australie(aph.gov.au).gov
- LPRPDE du Canada : Loi sur la protection des renseignements personnels et les documents électroniques, LC 2000, ch. 5(laws-lois.justice.gc.ca).gov
- PDPA de Singapour : obligations de protection des données (PDPC)(pdpc.gov.sg).gov
- POPIA d'Afrique du Sud : article 14, conservation et restriction des dossiers(popia.co.za)
- NIST SP 800-88 rév. 1 : lignes directrices pour l'assainissement des supports(csrc.nist.gov).gov
- Règle 37(e) des FRCP : défaut de préservation des informations stockées électroniquement(law.cornell.edu)