Sécurité des biens et personnes : quelle est la durée de conservation des données personnelles ?

Actualité
Droit du travail RGPD

Sécurité des biens et personnes : quelle est la durée de conservation des données personnelles ?

Sécurité des biens et personnes : quelle est la durée de conservation des données personnelles ?
Publié le
Temps de lecture 4 min.
Télécharger en PDF

Le 2 avril 2026, la CNIL a publié un référentiel afin de guider les entreprises dans l’identification et la détermination des durées de conservation pertinentes pour les traitements de données personnelles qu’elles mettent en œuvre. 

Ce guide constitue une aide à la prise de décision en orientant les responsables de traitement vers :

  • les durées obligatoires du fait de la réglementation française en vigueur en particulier le code du travail;
  • les durées recommandées par la CNIL, qui sont des points de repère pour déterminer la durée pertinente.

Pour le contrôle des accès autres que par authentification biométrique :

Les données d'identification sont à conserver le temps de l'habilitation de la personne concernée en base active (lorsque les données sont facilement accessibles dans l’environnement de travail immédiat pour les services opérationnels qui sont en charge de ce traitement).

Les données de journalisation des accès produites par le dispositif sont à conserver 3 mois après leur enregistrement.

En archivage intermédiaire (lorsque les données peuvent être consultées de manière ponctuelle et motivée par des personnes spécifiquement habilitées), ces données peuvent être utilisées pour le suivi du temps de travail et conservées pendant 5 ans.

Pour le contrôle des accès par authentification biométrique :

Les données d'identification autres que les gabarits biométriques sont à conserver :

  • En base active : le temps de l'habilitation de la personne concernée.
  • En archivage intermédiaire : 6 mois après le retrait des habilitations ou celle de la cessation des fonctions de la personne concernée au sein ou pour le compte de la personne physique ou morale ayant la qualité de l'employeur.

Les données de journalisation des accès produites par le dispositif sont à conserver :

  • En base active : 6 mois glissants à compter de leur date d'enregistrement.
  • En archivage intermédiaire : uniquement si le responsable de traitement en a l'obligation ou s'il souhaite se constituer une preuve dans l’éventualité d’un contentieux, et dans la limite du délai de prescription/forclusion applicable.

Les enregistrements bruts de la caractéristique biométrique (photo, enregistrement vocal, etc.) sont à conserver le temps nécessaire au calcul du ou des gabarits en base active. Ils ne doivent pas être conservés en archivage intermédiaire.

Les données biométriques dérivées (gabarits biométriques) sont à conserver :

  • En base active : le temps de l'habilitation de la personne concernée.

Les données ne peuvent être conservées que sous forme de gabarits chiffrés ne permettant pas de recalculer la caractéristique biométrique d'origine.

  • En archivage intermédiaire : le gabarit doit être supprimé en cas de retrait des habilitations ou en cas de cessation des fonctions de la personne concernée dans l'organisme employeur.

Pour la vidéosurveillance à des fins de sécurisation des biens et des personnes :

Les images de vidéosurveillance sont à conserver 1 mois à compter de la captation des images en base active.

En règle générale, conserver les images quelques jours suffit à effectuer les vérifications nécessaires en cas d’incident, et permet d’enclencher d’éventuelles procédures disciplinaires ou pénales.

Elles ne doivent pas être conservées en archivage intermédiaire. Si une procédure disciplinaire ou pénale est engagée, les images sont extraites du dispositif (après consignation de cette opération sur un support spécifique) et conservées pour la durée de la procédure dans un autre traitement ayant des finalités et des durées de conservation propres.

Article 5.1 RGPD.

Article L 252-5 du code de la sécurité intérieure.

Pour le suivi et contrôle des traces, des accès et des actions des salariés à des fins de détection des intrusions et de réalisation des audits de sécurité :

Les données de traçabilité ne sont pas conservées en base active.

Si un incident est détecté et doit faire l'objet d'actions d'analyse, de remédiation, ou doit être utilisé à titre probatoire dans une procédure disciplinaire ou judiciaire, les données concernées sont extraites du dispositif (après consignation de cette opération sur un support spécifique) et conservées pour la durée de la procédure dans un autre traitement ayant des finalités et des durées de conservation propres.

En archivage intermédiaire, les données sont conservées de 6 mois à 1 an à compter de la connexion, sous réserve des exceptions et des textes légaux spécifiques.

Rappelons enfin que les différents fichiers de gestion du personnel doivent être inscrits au registre des activités de traitement tenu par l’employeur.

La durée de conservation des données personnelles

Lire aussi : La durée de conservation des données personnelles Fiche pratique

La CNIL a publié le 2 avril 2026 un référentiel avec pour objectif de guider, de manière opérationnelle, les entreprises dans l’identification et la détermination des durées de conservation pertinentes ...