Vous numérisez des contrats, fiches de paie, factures clients ou pièces d'identité ? La CNIL ne se contente pas de surveiller la collecte de données : elle encadre aussi leur stockage, leur durée de conservation et leur sécurité. Voici ce qui s'impose en 2026 à toute entreprise, association ou indépendant qui archive du document numérique.
Le cadre : RGPD article 32 + délibérations CNIL
Le RGPD (art. 32) exige des mesures techniques et organisationnelles « appropriées » pour garantir la confidentialité, l'intégrité et la disponibilité des données personnelles. La CNIL traduit ce principe dans son Guide pratique des durées de conservation et dans son Guide pratique sécurité des données personnelles 2023, tous deux opposables.
Les principes clés :
- Limitation de la conservation (art. 5.1.e RGPD) : pas de stockage « au cas où »
- Sécurité : chiffrement AES-256 minimum, accès tracé, sauvegardes hors site
- Distinction entre archivage courant, intermédiaire et définitif
- Documentation au registre des traitements (art. 30 RGPD)
Les trois âges de l'archivage CNIL
La CNIL distingue trois phases du cycle de vie des données (voir CNIL — durées de conservation des données et Comment concilier durées de conservation et archives ?), qui imposent des règles d'accès différentes :
- Archivage courant : document encore utilisé au quotidien (contrat en cours, dossier client actif). Accès large, base juridique opérationnelle.
- Archivage intermédiaire : document plus utilisé mais conservé pour obligation légale ou prescription (contrat clos, facture payée). Accès restreint aux personnes habilitées (juridique, comptabilité), de préférence sur un espace dédié.
- Archivage définitif : conservation patrimoniale, historique. Concerne surtout l'État et certaines associations.
Mélanger les trois niveaux dans le même Drive partagé est une non-conformité fréquente sanctionnée par la CNIL.
Durées de conservation par type de document
Voici les durées de référence en 2026 (à adapter selon votre secteur) :
| Type de document | Durée légale | Base juridique |
|---|---|---|
| Bulletin de salaire | 5 ans (employeur) / 50 ans (salarié) | Code du travail L3243-4 |
| Contrat de travail | 5 ans après départ | Prescription civile |
| Facture client / fournisseur | 10 ans | Code de commerce L123-22 |
| Déclaration TVA | 6 ans | Livre des procédures fiscales |
| Bail d'habitation | 5 ans après fin | Loi du 6 juillet 1989 |
| Pièce d'identité copie (RH, banque) | Pas plus de 3 mois après usage | Délib. CNIL |
| Justificatif de domicile | Durée du contrat | Délib. CNIL |
| CV de candidat non retenu | 2 ans (avec consentement) | Recommandation CNIL |
| Données de prospect commercial | 3 ans après dernier contact | Délib. CNIL n°2016-264 |
Au-delà de la durée, vous devez anonymiser ou supprimer. La conservation indéfinie « parce que ça peut servir » est une violation directe de l'article 5 RGPD.
Le registre des traitements : obligatoire dès 1 salarié
L'article 30 RGPD impose un registre des activités de traitement à toute structure employant des données personnelles, sauf très petites entreprises sans traitement à risque (rare en pratique). Pour chaque traitement (paie, prospection, gestion clients, vidéosurveillance), le registre doit indiquer :
- Finalité du traitement
- Catégories de personnes concernées et de données traitées
- Destinataires (internes et sous-traitants)
- Durée de conservation
- Mesures de sécurité techniques et organisationnelles
- Transferts hors UE éventuels
La CNIL fournit un modèle de registre au format tableur, gratuit. C'est le premier document demandé en cas de contrôle.
Archivage probatoire : la norme NF Z42-013
Numériser un document, c'est créer une copie fiable au sens de l'article 1379 du Code civil. Pour qu'elle ait la même valeur probante que l'original papier devant un tribunal, elle doit être archivée selon les exigences de la norme NF Z42-013 (révisée en 2020, complétée par la NF Z42-026 pour la numérisation fidèle).
La norme impose six garanties techniques :
- Intégrité : empreinte cryptographique (SHA-256 minimum) calculée à l'archivage et vérifiée à chaque consultation
- Authenticité : horodatage qualifié eIDAS (RFC 3161) + signature électronique du système d'archivage
- Traçabilité : journal d'événements horodaté, immuable, conservé 6 ans minimum
- Pérennité : formats ouverts pérennes (PDF/A-3, XML, TIFF), migration de support tous les 5-10 ans
- Sécurité : chiffrement, contrôle d'accès, redondance géographique
- Réversibilité : export complet possible vers un autre prestataire (anti-vendor lock-in)
La certification NF 461 (AFNOR) atteste qu'un Système d'Archivage Électronique (SAE) respecte effectivement la NF Z42-013. C'est la garantie demandée par les juridictions françaises et l'URSSAF pour les contrôles fiscaux.
Cas d'usage concret : pour qu'une facture scannée puisse remplacer l'original papier (suppression légale après numérisation, autorisée par l'arrêté du 22 mars 2017), le scan doit être fidèle (NF Z42-026) et l'archivage probatoire (NF Z42-013). Sinon, l'administration fiscale peut exiger l'original papier — qui aura été détruit. Un Drive Google ou Dropbox ne suffit pas : aucun horodatage qualifié, aucun journal immuable.
Mise à jour 2024-2025 : la CNIL a aligné ses recommandations sur les durées administratives (DUA) avec l'obligation de facturation électronique de septembre 2026, ce qui impose désormais un SAE conforme NF Z42-013 pour les factures B2B émises via plateforme agréée (source : Arhivix — NF Z42-013 et valeur probante 2026).
Sécurité : le minimum exigé
Les mesures considérées comme « appropriées » par la CNIL en 2026 :
- Chiffrement des fichiers sensibles (au repos et en transit, TLS 1.3)
- Authentification forte (2FA) pour les accès aux espaces d'archivage
- Journalisation des accès et modifications, conservée 6 mois minimum
- Sauvegardes quotidiennes, au moins une copie hors site / hors fournisseur
- Procédure de purge automatisée à expiration des durées
- Formation annuelle des collaborateurs au RGPD
Un Drive Google partagé sans 2FA, sans gestion des droits, avec accès « lien public », est automatiquement non conforme.
Droits des personnes : accès, rectification, effacement
Toute personne dont vous archivez les données peut exercer :
- Droit d'accès (art. 15) : vous devez fournir une copie des données détenues sous 1 mois
- Droit de rectification (art. 16) : correction d'une donnée inexacte
- Droit à l'effacement (art. 17) : suppression des données quand la finalité est atteinte ou que la personne retire son consentement
- Droit à la portabilité (art. 20) : export dans un format structuré
Concrètement : un ancien client demande la suppression de son dossier ? Vous devez purger l'archivage courant et intermédiaire, sauf obligation légale de conservation (factures à 10 ans). Dans ce cas, vous restreignez l'accès et expliquez la base légale dans votre réponse.
Sanctions CNIL en 2026
La CNIL a prononcé en 2025 plus de 70 sanctions publiques dont une vingtaine au-delà de 100 000 €. Le maximum théorique reste 20 millions d'euros ou 4 % du CA mondial (le plus élevé). Cas typiques sanctionnés :
- Conservation excessive de données clients (jusqu'à 250 000 €)
- Absence de mesures de sécurité (chiffrement, mots de passe faibles)
- Défaut de réponse à une demande d'accès
- Sous-traitant non encadré par contrat RGPD
Le bon réflexe pour la suite
Avant d'archiver, classez et purgez. Avant de classer, lisez le document. Pour extraire rapidement le contenu textuel d'un PDF scanné (pour le rechercher, l'indexer ou le purger nominativement), passez par l'outil d'extraction de texte d'iFillPDF : OCR FR multilingue, traitement en France, données supprimées sous 2 h. Une fois le texte extrait, vous pouvez décider : conserver, anonymiser, supprimer. Et tracer chaque action dans votre registre des traitements.