La gestion de la durée de conservation des données personnelles est une problématique encore trop souvent sous-estimée par les organisations disposant d’un dispositif de signalement interne. Pourtant, elle est au cœur de la conformité au RGPD, qui impose de limiter la conservation des données au strict nécessaire, sans pour autant fixer de durée standardisée. Chaque entreprise doit ainsi définir ses propres règles, en fonction des finalités poursuivies, et être capable de les justifier dans le cadre d’un éventuel contrôle.
Afin d’accompagner ses clients face à ces enjeux, Whispli a dédié une conférence à cette thématique lors de son événement client, réunissant experts et professionnels du secteur, le 17 juin 2025 à l’Hôtel du Collectionneur à Paris. Animée par son partenaire EY, cette session a réuni deux experts, Fabrice Naftalski, Avocat Associé, Global Head of Data Protection Law, et Arnaud Daubigney, Associé, Forensic & Integrity Services, afin de présenter le cadre réglementaire applicable et de rappeler les bonnes pratiques en matière de conservation des données au sein des dispositifs d’alerte.
Entre cadre légal et contraintes opérationnelles, découvrez comment structurer une politique de conservation des données conforme à votre dispositif d’alerte.
La durée de conservation des données personnelles est une source de confusion pour tout dispositif de signalement interne : trop courte, elle fait courir un risque juridique (impossibilité d’enquêter, perte de preuve) ; trop longue, elle expose à une non-conformité au RGPD, voire à des sanctions en cas de contrôle.
Il est donc essentiel de définir une politique claire, documentée, adaptée au cycle de vie de l’alerte, et de s’assurer que la solution technique utilisée permet son application effective. C’est exactement la double approche défendue par EY, acteur majeur du conseil en conformité, et Whispli, plateforme de lancement d’alerte certifiée ISO 27001 et conforme RGPD.
La détermination de la durée de conservation des données relève de la responsabilité du responsable de traitement, qui doit fixer cette durée en fonction de la finalité du traitement.
Certaines durées sont imposées par des textes législatifs ou réglementaires, tandis que d'autres ne sont que recommandées par la CNIL ou les régulateurs sectoriels. Dans ce cas, il est possible de s'en écarter à condition de justifier et documenter ce choix.
Le RGPD impose aux organisations de limiter la conservation des données personnelles au strict nécessaire, en fonction de la finalité du traitement (Article 5.1). Il revient à chaque responsable de traitement de fixer et de justifier ces durées, sur la base d’une analyse de conformité (Article 5.2).
Par ailleurs, les personnes concernées doivent être informées dès la collecte des données, avec mention de la durée de conservation prévue (Article 13), ou en cas de collecte indirecte, dès que possible et dans un délai maximal d’un mois.
En complément, l’AFA apporte un cadre spécifique pour les dispositifs d’alerte professionnelle. Si une alerte est classée sans suite, les données doivent être supprimées ou anonymisées sous deux mois après clôture. En revanche, si une procédure disciplinaire ou contentieuse est engagée, les données peuvent être conservées jusqu’à la fin de la procédure, l’acquisition de la prescription ou l’épuisement des voies de recours.
Dans ses recommandations, la CNIL distingue trois phases dans le cycle de vie des données d’un dispositif d’alerte :
1. Base active : Traitement en cours
Les données sont utilisées et sont facilement accessibles par les équipes en charge de l’instruction.
💡 Si l’alerte est classée sans suite, les données doivent être supprimées ou anonymisées dans un délai de 2 mois après clôture.
2. Archivage intermédiaire : Prévention des litiges
Le dossier est clos et les données ne sont plus utilisées, mais un risque contentieux subsiste (ex : procédure disciplinaire ou judiciaire). Les données peuvent être consultées de manière ponctuelle par des personnes habilitées avec traçabilité des accès.
💡Si l'alerte a donné lieu à une procédure (disciplinaire ou judiciaire), les données doivent être placées dans une base distincte, avec un accès restreint (conformité, service juridique…). Elles sont conservées jusqu’à la fin de la procédure ou à l’expiration des délais de prescription.
3. Suppression définitive
Une fois tout risque écarté et toute obligation légale échue, les données personnelles doivent être effacées définitivement et de façon irréversible.
💡 L’absence de suppression effective constitue une non-conformité directe au RGPD. En cas de conservation prolongée, par exemple à des fins statistiques ou d’optimisation des dispositifs de prévention, l’anonymisation devient la solution privilégiée. Cette approche permet ainsi de respecter les obligations réglementaires tout en assurant la conservation des informations utiles, sans identification directe.
Au-delà du cadre européen, les entreprises doivent composer avec des réglementations multiples et parfois divergentes à l’international. Adapter leur politique de conservation des données tout en maintenant une cohérence globale devient alors un enjeu stratégique.
Lorsqu’une entreprise opère dans plusieurs pays, la gestion de la durée de conservation des données devient un véritable casse-tête juridique et opérationnel. Le RGPD impose un cadre strict en Europe, mais d’autres législations comme le CCPA (California Consumer Privacy Act) aux États-Unis, la LGPD (General Personal Data Protection Law) au Brésil ou l’APPI (Protection of Personal Information Act) au Japon fonctionnent sur des logiques différentes, souvent plus souples ou sectorielles.
Dans ce contexte, trois principes permettent de structurer une stratégie robuste de conservation des données:
1. Appliquer par défaut la norme la plus protectrice
Face à la diversité des cadres légaux, appliquer systématiquement la norme la plus exigeante constitue une stratégie de précaution efficace. Le RGPD peut ainsi servir de socle commun pour limiter les risques : principe de limitation, justification des durées, documentation des règles, gestion des exceptions… En cas de doute, mieux vaut conserver moins longtemps et pouvoir le prouver.
2. Documenter les exceptions locales
Certaines réglementations imposent des obligations spécifiques, comme le litigation hold aux États-Unis, qui oblige à suspendre la suppression de données en cas de contentieux potentiel. Ces cas particuliers doivent être identifiés précisément, documentés dans la politique de conservation, et encadrés par des procédures internes pour répondre aux exigences locales.
3. Structurer une gouvernance pluridisciplinaire
La gestion des durées de conservation ne relève pas d’un seul département. Pour être efficace, la politique doit associer :
Cette collaboration transverse permet d’adapter les règles de conservation en fonction des spécificités locales, tout en assurant une gestion centralisée et cohérente à l’échelle du groupe, encore faut-il disposer d’une solution technique capable de mettre en œuvre ces règles.
Gestion fine des droits d’accès, archivage sécurisé et modulable, suppression automatisée et traçabilité des opérations sont autant de fonctionnalités indispensables pour appliquer concrètement les politiques de conservation définies. C’est précisément dans cette logique que s’inscrit la plateforme de lancement d’alertes et de signalement Whispli, pensée pour offrir une gestion maîtrisée et conforme du cycle de vie des données dans les dispositifs d’alerte.
👉 En savoir plus sur les fonctionnalités de Whispli
Pour renforcer la conformité de votre dispositif de signalement et maîtriser la gestion des données, voici les actions concrètes à mettre en place :
Chaque durée de conservation retenue doit être formalisée et justifiée. En cas de contrôle, c’est la première question qu’un régulateur vous posera : Pourquoi conservez-vous ces données ? Pendant combien de temps ? Sur quelle base ?
Le risque principal est la possibilité que des données sensibles circulent en dehors de votre dispositif sécurisé (emails, partages Teams, clés USB, etc.). Afin de vous en prémunir, mettez en place des règles strictes de partage et centralisez les rapports et documents sensibles dans une plateforme dédiée et sécurisée, avec accès contrôlé, comme Whispli.
En présence de filiales ou d’équipes réparties dans plusieurs pays, unifiez votre politique de conservation : appliquez par défaut la règle la plus stricte, et documentez les exceptions locales obligatoires.
La gestion des durées de conservation ne doit pas reposer uniquement sur le DPO. Associez le Juridique, la Conformité, la Sécurité des Systèmes d’Information et les équipes opérationnelles dans une gouvernance transverse pour des décisions cohérentes et partagées.
La meilleure politique ne vaut rien si elle n’est pas appliquée sur le terrain :
En cas de doute : entourez-vous d’experts comme EY et d’un partenaire technologique comme Whispli.
Découvrez comment Whispli peut vous aider à gérer simplement et en toute conformité la conservation des données de votre dispositif d’alerte.
👉 Contactez-notre équipe pour une démo personnalisée