Please choose your language:
  • frFrançais

Visit us in:
Barcelona, Copenhagen, Hamburg, Hong Kong, Kochi, London, Madrid, Milan, Munich, New York, Paris, Vienna, Zurich

Nos bureaux
Demander une démo
Contactez notre expert
Compliance & Ethics
Solutions
Politiques & Procédures internes
Gestion des déclarations
Risques liés aux tiers
Dispositif anti-corruption
Dispositif d'alerte professionnelle
Sensibilisation à la conformité
Plateforme
Toutes vos exigences de conformité. Une seule plateforme.
Whistleblowing
Canaux sécurisés. Protection totale.
Policies
Une gouvernance claire. Zéro confusion.
Approvals
Décisions rapides. Transparence totale.
Third Parties
Vision approfondie. Partenariats sécurisés.
Livre Blanc
Case Study
Webinar
Event
Article
Optimiser votre cartographie des risques
Faire le premier pas est toujours un défi, surtout lorsqu’il s’agit de mettre en place un dispositif de conformité efficace.
Ressources
Case Studies Webinaires Evénements White Papers Blog Actualité produits Service
Data Privacy
Solutions
Privacy automation
Plateforme
Protégez les données. Renforcez la confiance.
Conformité RGPD
Protection fluide. Esprit tranquille.
Conformité IA
Innovation éthique. Prêt pour l’avenir.
E-Learnings
Des connaissances qui perdurent. Des équipes performantes.
Livre Blanc
Case Study
Webinar
Event
Article
Votre checklist pour réussir vos audits de conformité RGPD
Nos experts en protection des données ont conçu une checklist complète pour vous accompagner, étape par étape, dans la préparation et la réalisation de vos audits RGPD. Téléchargez-la gratuitement dès maintenant.
Ressources
Études de cas Webinaires Evénements White Papers Blog
Gestion de la durabilité
Solutions
Plateforme
Tous les cas d’usage sur une seule plateforme. Le cockpit de la durabilité
CSRD
Collectez les données dans toute l’organisation. Des rapports conformes..
Empreinte CO2
Calculez votre empreinte carbone. Réduisez vos émissions.
Double matérialité
Identifiez les enjeux clés. Passez à l’action.
VSME
Déclarez et partagez vos données ESG essentielles.
Taxonomie européenne
Mesurez votre alignement. Devenez plus durable.
Livre Blanc
Case Study
Webinar
Event
Article
La publication d’informations en matière de durabilité après la proposition “Omnibus” de l’UE
Faire le premier pas est toujours un défi, surtout lorsqu’il s’agit de mettre en place un dispositif de conformité efficace.
Ressources
Études de cas Webinaires Evénements White Papers Blog
Retour

Le cycle de vie d’une donnée personnelle

by Ola Mohty  | Updated: 11/12/2025

Comprendre chaque étape du cycle de vie d’une donnée personnelle est essentiel pour maîtriser vos traitements et garantir une conformité continue au RGPD. Voici un aperçu clair des différentes phases, depuis la collecte jusqu’à la suppression ou l’archivage.

Toute donnée à caractère personnel passe par plusieurs étapes, depuis sa collecte jusqu’à sa suppression. On parle du cycle de vie de la donnée qui représente la succession des phases que connaît une donnée ou un ensemble de données. Une donnée relative à une personne ne peut en effet être conservée indéfiniment et une durée de vie doit en principe être définie lors de sa création.

Les étapes du cycle de vie d’une donnée peuvent être interprétées de plusieurs manières. Les obligations qu’impose le RGPD permettent une représentation générale en 4 étapes principales. Toutes les données traitées ne sont pas forcément concernées par toutes ces étapes et cela dépend de plusieurs paramètres liés tant aux traitements concernés qu’aux obligations légales. La conservation des données en base active concerne toutefois tout type de donnée, indépendamment du contexte de son exploitation.

Collecte de la donnée personnelle

Le cycle de vie d’une donnée prend naissance au moment de sa collecte. Lors de cette étape, plusieurs obligations doivent être respectées, qui conditionnent par la suite la licéité du traitement. Ces obligations dépendent des objectifs de la collecte et des traitements qui seront mis en place. Elles varient également selon la modalité de la collecte.

Il existe en effet deux types de collecte : directe et indirecte. Les exigences à respecter ne sont pas identiques dans ces deux cas. Lorsque les données sont recueillies auprès de la personne concernée, un certain nombre d’informations doivent lui être fournies au moment de l’obtention des données. Ces informations ne sont pas tout à fait identiques lorsque les données sont récupérées auprès d’un tiers. Dans ce cas, la personne concernée doit en plus avoir connaissance des catégories des données et de la source des données. Le moment de fourniture de cette information n’est pas le même dans ces deux cas. Il peut correspondre à un délai raisonnable et au plus tard à un mois après l’obtention des données, au moment de la première communication avec la personne concernée ou encore dans le cas où il est envisagé de transmettre les données à un autre destinataire, concerner le moment où elles sont communiquées pour la première fois.

Traitement de la donnée personnelle

Cette phase correspond à toute opération effectuée sur des données. Il peut s’agir d’une simple utilisation, de leur organisation, ou encore porter sur la transmission à des tiers. Quoi qu’il en soit, un traitement de données doit être licite. Les principes de licéité de l’article 6 du RGPD doivent dès lors être respectés et les mesures permettant de s’y conformer doivent être identifiées et mises en place. Ainsi, les données personnelles ne peuvent être traitées que si l’organisme a le droit de le faire et qu’une base légale a bien été définie pour le traitement concerné. Les autres obligations relatives à la protection des données doivent également être prises en compte à cette étape, notamment celles portant sur la transparence, les finalités, les droits des personnes, les mesures techniques et organisationnelles, etc.

Suppression / Anonymisation de la donnée personnelle

Toute donnée personnelle doit avoir une durée de conservation au-delà de laquelle elle doit être, selon le cas, supprimée, anonymisée ou encore archivée. La détermination de cette durée dépend des raisons pour lesquelles la collecte a eu lieu. Cette durée de conservation doit être communiquée à la personne concernée. Ainsi, afin de se conformer au principe de transparence, la personne doit être informée de cette durée lui permettant de choisir en connaissance de cause si elle accepte ou pas de révéler ses données. Dans le cas où cette durée ne peut être déterminée au moment de la collecte, les informations portant sur les éléments pouvant la définir doivent, à minima, être mises à disposition des personnes concernées.

Cette durée de conservation doit être respectée et les données ne peuvent être conservées de manière indéfinie. Certains textes de loi fixent une durée de conservation. Mais en l’absence d’une durée légale, le responsable de traitement est tenu de fixer une durée proportionnée au regard de l’objectif et du but poursuivi.

Une fois ce délai passé, le responsable de traitement doit obligatoirement supprimer ou anonymiser les données personnelles. La suppression des données doit se faire manuellement ou de manière automatique. L’anonymisation des données peut être privilégiée dans le cas où le responsable de traitement souhaite réutiliser les données à d’autres fins telles que la recherche. Un véritable processus doit donc être mis en place au sein de l’organisme afin de garantir le respect de ces durées.

Archivage de la donnée personnelle

L’archivage des données intervient une fois la durée de conservation atteinte et que les données présentent un intérêt pour l’organisme. On distingue deux types d’archivage : l’archivage en base intermédiaire et l’archivage définitif.

L’archivage intermédiaire concerne le cas où la conservation des données est pertinente dans le cadre d’un intérêt administratif pour l’organisme ou pour se conformer à une obligation légale. Il permet la conservation des données au-delà de la durée prévue initialement. À titre d’exemple, des données qui peuvent présenter un intérêt en cas de contentieux doivent être archivées. La CNIL recommande ainsi que les documents nécessaires au calcul de l’assiette soient conservés pendant un mois en base active. Un archivage intermédiaire de ces éléments est aussi nécessaire. L’article L243-16 du Code de la sécurité sociale prévoit une durée de conservation de 6 ans pour ces documents. De même, le bulletin de salaire en version papier peut être conservé un mois en base active et pendant 5 ans en archivage intermédiaire.

L’archivage définitif concerne, quant à lui, certaines données qui ne peuvent faire l’objet d’aucune destruction définitive. C’est notamment le cas des données d’intérêt public (historique, scientifique, statistique).

Conclusion

Le cycle de vie d’une donnée personnelle structure l’ensemble de vos obligations en matière de protection des données : de la collecte à l’archivage, chaque étape doit être anticipée, encadrée et documentée. En maîtrisant ce cycle, les organisations renforcent non seulement leur conformité, mais aussi la confiance des personnes concernées et la qualité de leurs traitements.

Ola Mohty
Ola Mohty

Experte en protection des données & Docteure en droit

Passionnée par la protection de la vie privée et la sécurité des données, Ola aide depuis 2018 les entreprises à transformer la conformité en véritable levier de confiance. Forte de son expertise juridique approfondie en matière de protection des données personnelles, elle allie précision juridique et approche opérationnelle pour accompagner des organisations de toutes tailles. Sa mission : rendre la protection des données accessible, stratégique et porteuse de valeur.

Contact