Le cadre juridique français et européen
L’article L34-1 du Code des postes et communications électroniques (CPCE)
Cet article constitue la pierre angulaire du dispositif français. Il distingue trois catégories de données :
- Les données civiles (nom, prénom, adresse) : conservation autorisée jusqu’à 5 ans si le site procède à une identification préalable des utilisateurs114.
- Les données techniques (adresse IP, identifiants de terminal) : durée maximale de 1 an.
- Les logs de sécurité : conservation limitée à 3 mois maximum pour les données relatives à l’origine des communications.
Le décret n°2021-1361 du 20 octobre 2021 précise ces obligations en alignant le droit français sur les arrêts de la CJUE, qui exigent une proportionnalité stricte entre la durée de conservation et les impératifs de sécurité nationale ou de lutte contre la criminalité grave.
La loi pour la confiance dans l’économie numérique (LCEN)
L’article 6 de la LCEN impose aux hébergeurs et fournisseurs d’accès de conserver les données permettant d’identifier les contributeurs de contenus en ligne. Le décret n°2011-219 (abrogé en 2021) fixait initialement une durée d’un an, désormais intégrée dans le nouveau cadre réglementaire.
Le RGPD et le principe de limitation de conservation
L’article 5 e) du RGPD : une obligation centrale
Le Règlement général sur la protection des données impose la suppression immédiate des données dès que leur finalité initiale est atteinte. Pour les données de connexion, la CNIL considère qu’une conservation au-delà d’un an nécessite une justification exceptionnelle, comme une obligation légale explicite ou une menace avérée pour la sécurité publique.
La minimisation des données
La conservation prolongée des logs doit répondre à trois critères cumulatifs :
- Nécessité prouvée pour la sécurité du système ou le respect d’une obligation légale
- Anonymisation partielle dès que possible (masquage de l’adresse IP après 3 mois par exemple)
- Accès restreint aux seuls administrateurs habilités, avec traçabilité des consultations
Les durées maximales par type de données
Données techniques (catégorie III du CPCE)
- Adresses IP, ports réseaux, identifiants de terminal : 1 an maximum
- Cookies de suivi : 13 mois selon l’article 82 de la loi Informatique et Libertés
- Données de géolocalisation temps réel : 3 mois sauf injonction judiciaire
Données civiles (catégorie I du CPCE)
- Nom, prénom, adresse postale : 5 ans si identification systématique des utilisateurs
- Adresse email, numéro de téléphone : 1 an sauf consentement explicite pour un usage commercial
Journaux de sécurité
- Tentatives de connexion infructueuses : 6 mois
- Traces d’activité des administrateurs : 1 an avec archivage sécurisé
- Données relatives à des incidents critiques : 5 ans en cas de procédure judiciaire en cours
Les risques d’une conservation excessive
Sanctions administratives
La CNIL a infligé en 2023 une amende de 800 000 € à une entreprise pour conservation injustifiée de logs pendant 3 ans. Les manquements retenus incluaient :
- Absence de purge automatique
- Accès non contrôlé aux archives
- Défaut d’anonymisation partielle
Risques pénaux
L’article 226-18 du Code pénal prévoit jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende pour conservation frauduleuse de données personnelles.
En 2022, un responsable de traitement a été condamné pour avoir conservé des adresses IP pendant 4 ans sans justification.
Les bonnes pratiques de conformité
Mise en œuvre d’une politique de rétention
- Cartographier tous les flux de données de connexion
- Classer les données selon les catégories du CPCE
- Programmer des purges automatiques via des outils comme Apache Purge ou Logrotate
- Documenter chaque décision de conservation exceptionnelle
Archivage intermédiaire sécurisé
Les données conservées au-delà d’un an pour des besoins judiciaires doivent être :
- Chiffrées avec algorithme AES-256
- Stockées hors ligne sur supports physiques
- Journalisées avec accès traçable
Formation des équipes
La CNIL recommande des modules de formation annuels incluant :
- Sensibilisation au RGPD
- Procédures d’urgence en cas de fuite de données
- Utilisation des outils d’anonymisation
Exceptions et cas particuliers
Enquêtes judiciaires
Sur réquisition judiciaire, la conservation peut être prolongée jusqu’à la fin de l’enquête. Le décret n°2021-1363 autorise exceptionnellement une rétention d’un an supplémentaire pour les données liées à des menaces terroristes.
Recherche scientifique
Les établissements publics peuvent conserver des logs anonymisés pendant 10 ans pour des études statistiques, sous contrôle d’un comité d’éthique.
Secteur bancaire et assurance
Une directive de l’ACPR permet une conservation de 5 ans pour les données de connexion liées à des transactions financières, avec double chiffrement obligatoire.
Soyez vigilant en permanence
La conservation des données de connexion exige un équilibre délicat entre sécurité informatique et respect de la vie privée. Les professionnels doivent impérativement :
- Actualiser leurs registres de traitement annuellement
- Tester leurs procédures de purge avec des outils comme DataCleaner
- Collaborer avec les DPO pour auditer les pratiques
En cas de doute sur une obligation spécifique, la CNIL met à disposition un simulateur de durées de conservation et une boîte à outils pour les TPE/PME. La réponse à la question initiale est donc sans équivoque : hors cas exceptionnellement justifiés, 5 ans de conservation sont illégaux pour des données de connexion standard.
Une Question sur la conservation des données de connexion ?
Notre équipe chez Inkivari est à votre disposition pour toute interrogation concernant la gestion des données personnelles.
Par mail
En soumettant ce formulaire, j’accepte que les informations saisies soient exploitées par Inkivari SARL aux fins de gestion de réponse à votre demande. Pour en savoir plus sur la gestion de vos données à caractère personnel et sur vos droits, consultez notre politique de confidentialité