Les données à caractère personnel des clients et prospects devraient être conservées pendant une durée prédéfinie n’excédant pas trois ans à partir de la date de la dernière activité de la personne.

De manière générale, les données à caractère personne doivent être conservées pendant une durée prédéfinie, en fonction de la finalité poursuivie[1]. Les données sur les clients et prospects ne sont pas une exception à cette règle.

La CNIL[2] recommande que cette durée ne dépasse pas trois ans. Cette durée est issue de la norme simplifiée NS-056[3], qui n’est certes plus valable depuis l’entrée en vigueur du RGPD[4], mais dont les durées de conservation des données restent recommandées aux yeux de la CNIL[2].

« À titre d’illustration, tant l’ancienne norme simplifiée no 48 relative aux fichiers clients-prospects et à la vente en ligne que le récent projet de référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des activités commerciales recommandent que les données de clients inactifs soient conservées pendant une durée de trois ans à compter du dernier contact avec la société. Si cette durée est indicative et ne s’impose pas en tant que telle aux responsables de traitement, la [CNIL] considère qu’elle constitue une référence permettant d’apprécier une durée appropriée. »

Cette durée de trois ans n’est cependant pas imposée. Une durée plus courte ou plus longue peut être utilisée si les traitements effectués le justifient.

Par ailleurs, pour déterminer le point de départ de cette durée, il est recommandé d’utiliser la date de la dernière activité de la personne, c’est-à-dire la date de la dernière commande de la personne ou la date du dernier message de la personne. L’ouverture d’un e-mail en utilisant des « pixels espions »[5] n’est pas considérée comme une action volontaire de la personne et ne peut donc pas être utilisée pour conserver les données des clients et prospects[6].

Enfin, l’utilisation d’une durée de conservation trop longue peut être sanctionnée par l’autorité de contrôle, c’est-à-dire la CNIL pour la France. De nombreuses sociétés ont déjà été sanctionnées, notamment :

  • le vendeur en ligne Spartoo, car des données sur ses clients et prospects étaient conservées sans limite de durée, puis pendant cinq ans, durée jugée excessive[7] ;
  • les magasins Carrefour, car les données des clients étaient conservées pendant quatre ans, durée jugée excessive[8].

Notes et références

  1. Le RGPD indique que les données à caractère personnel doivent être conservées « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées » (source : RGPD, articlee 5-1-e). Voir « Combien de temps peut-on conserver des données à caractère personnel ? ».
  2. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  3. La norme simplifiée NS-048 indique que les données à caractère personnel des clients et prospect devrait être de trois ans maximum (source : cnil.fr).
  4. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  5. Certains éditeurs intègrent des « pixels espions » à leurs e-mails pour détecter si le destinataire ouvre l’e-mail. Voir « Des pixels espions sont présents dans tous vos e-mails, mais vous pouvez les bloquer » et « Pourquoi les pixels espions sont utilisés et comment peuvent-ils vous espionner ? ».
  6. L’ouverture d’un e-mail n’est pas considérée comme une action délibérée de l’internaute, pour diverses raisons. Voir « L’ouverture d’un e-mail est-il considéré comme une action significative de l’internaute ? ».
  7. La société Spartoo a été sanctionnée par la CNIL, les données sur ses clients et prospects étaient conservées sans limite de durée, puis pendant cinq ans (source : CNIL, SAN-2020-003, 28 juillet 2020, Spartoo). Voir « SPARTOO.COM sanctionné suite à une conservation trop importante de données personnelles, un manque d’informations et des faiblesses de sécurité ».
  8. La société Carrefour France a été sanctionnée par la CNIL, car les données des clients étaient conservées pendant quatre ans (source : CNIL, SAN-2020-008, 18 novembre 2020, Carrefour). Voir « CARREFOUR sanctionné pour avoir conservé les données de ses clients trop longtemps, mais aussi pour l’inaccessibilité et l’imprécision de ses informations et pour de nombreux autres manquements ».