Pourquoi tout conserver est un risque
Chaque enregistrement conservé est une donnée que vous devez protéger — et, sous RGPD, une donnée dont vous devez justifier la conservation. Une politique de conservation des données définit combien de temps chaque catégorie est gardée et comment elle est supprimée de façon sécurisée, réduisant à la fois votre exposition aux violations et votre risque de conformité.
Quoi inclure
- Périmètre — catégories de données couvertes (clients, RH, financières, journaux, sauvegardes).
- Durées de conservation — combien de temps chaque catégorie est gardée, selon les besoins légaux, contractuels et métier.
- Base légale — l'obligation ou la justification derrière chaque durée (principe de limitation de conservation du RGPD).
- Suppression — suppression sécurisée et documentée à l'échéance, y compris dans les sauvegardes.
- Gels — comment une conservation à des fins juridiques (legal hold) suspend la suppression.
- Responsabilités — qui décide et applique la conservation.
- Revue — mise à jour périodique au fil de l'évolution des obligations.
Erreurs fréquentes
- « Tout garder pour toujours », ce qui maximise l'impact d'une violation et enfreint le RGPD.
- Des durées de conservation sans base légale consignée.
- Oublier les sauvegardes, où les données survivent après suppression en production.
Alignement référentiels
Soutient l'Annexe A 5.33 (protection des enregistrements) et 8.10 (suppression des informations) d'ISO 27001:2022, les critères SOC 2, et le principe de limitation de conservation du RGPD.
Générez-la en quelques minutes
Voir un exemple de politique de conservation des données ou générez la vôtre gratuitement.