Les données à caractère personnel des clients et prospects peuvent être conservées pendant une durée maximale de trois ans, à partir de la date de la dernière activité de la personne.

Cette période de trois ans est issue de la norme simplifiée NS-056[1], qui n’est certes plus valable depuis l’entrée en vigueur du RGPD[2], mais dont les durées de conservation des données restent valides aux yeux de la CNIL[3] :

« À titre d’illustration, tant l’ancienne norme simplifiée no 48 relative aux fichiers clients-prospects et à la vente en ligne que le récent projet de référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des activités commerciales recommandent que les données de clients inactifs soient conservées pendant une durée de trois ans à compter du dernier contact avec la société. Si cette durée est indicative et ne s’impose pas en tant que telle aux responsables de traitement, la formation restreinte considère qu’elle constitue une référence permettant d’apprécier une durée appropriée. »

Les clients et prospects qui n’ont donc pas passé de commande ou n’ont pas communiqué avec l’entreprise pendant un délai maximum de trois ans devront être supprimés.

Cette durée de trois ans n’est cependant pas imposée. Une durée plus courte ou plus longue peut être utilisée, si les traitements effectués le justifient.

Il est aussi important de noter que la simple ouverture d’un e-mail ne peut pas être considérée comme une activité de la part du client[4], et ne peut pas être utilisée pour calculer la durée de conservation des données.

Notes et références

  1. La norme simplifiée NS-048 indique que les données à caractère personnel des clients et prospect est de trois ans maximum (source : cnil.fr).
  2. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  3. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  4. L’ouverture d’un e-mail n’est pas considérée comme une action délibérée de l’internaute, pour diverses raisons. Voir « L’ouverture d’un e-mail est-il considéré comme une action significative de l’internaute ? ».