Combien de temps l'employeur peut-il conserver les échanges sur les messageries professionnelles ?
Réponse courte
La durée de conservation des échanges sur messageries professionnelles n'est pas fixée par un texte unique : elle résulte de l'application des principes de minimisation et de limitation posés par l'article 5 du RGPD. L'employeur doit déterminer une durée proportionnée à la finalité du traitement et documenter ce choix dans sa politique de conservation.
À titre indicatif, les durées couramment retenues sont de 6 mois pour les échanges courants, de 3 à 5 ans pour les éléments de preuve disciplinaire, et de 5 à 10 ans pour les échanges relevant du secret d'affaires ou nécessaires à la défense juridique. Ces durées doivent être formalisées dans une politique d'archivage et communiquées aux salariés préalablement à leur entrée en vigueur.
Définition
La conservation des données désigne la période pendant laquelle des données personnelles sont stockées par le responsable du traitement avant leur effacement ou leur anonymisation. Pour les messageries professionnelles, elle concerne les emails, pièces jointes, logs de connexion et métadonnées associées.
Le principe de limitation de la conservation impose que les données ne soient pas conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées. La politique d'archivage formalise ces durées et les modalités techniques de suppression ou d'anonymisation.
Conditions d’exercice
Les règles de conservation obéissent à plusieurs critères :
| Critère | Règle |
|---|---|
| Minimisation | Limiter aux données strictement nécessaires |
| Proportionnalité | Durée adaptée à la finalité |
| Information | Durées communiquées aux salariés |
| Finalité | Justification documentée dans le registre |
| Archivage intermédiaire | Accès restreint pendant la période de preuve |
| Suppression définitive | Effacement ou anonymisation à échéance |
Modalités pratiques
Les durées indicatives selon la finalité sont les suivantes :
| Étape | Modalité |
|---|---|
| Échanges courants | 6 mois en base active |
| Relations clients | 3 ans après fin de la relation |
| Preuve disciplinaire | 3 à 5 ans après la procédure |
| Secret d'affaires | 5 à 10 ans en archivage sécurisé |
| Contentieux | Durée de la prescription applicable |
| Obligations légales | Durée fixée par le texte (comptable, fiscal) |
Pratiques et recommandations
Il est recommandé d'élaborer une politique de conservation écrite, validée par le DPO et consultée avec la délégation du personnel. La mise en place d'un archivage intermédiaire sécurisé permet de distinguer les données en usage courant de celles conservées à fin probatoire, avec des droits d'accès restreints.
L'information des salariés doit être claire, intégrée au contrat de travail ou à la charte informatique, et rappelée périodiquement. Des audits réguliers permettent de vérifier l'effectivité de la politique et de détecter les conservations excessives. L'automatisation des suppressions à échéance constitue une bonne pratique pour garantir la conformité dans la durée.
Cadre juridique
| Référence | Objet |
|---|---|
| Article 5 RGPD | Principes de minimisation et limitation |
| Article 13 RGPD | Information des personnes concernées |
| Article 30 RGPD | Registre des activités de traitement |
| Article L.261-1 Code du travail | Protection des données des salariés |
| Loi du 1er août 2018 | Mise en œuvre du RGPD au Luxembourg |
Note
Une conservation excessive expose à des sanctions de la CNPD et peut rendre irrecevables les preuves ainsi obtenues. La politique doit être régulièrement auditée et révisée. Toute conservation doit pouvoir être justifiée par une finalité précise et documentée.