Durée de conservation des données de formulaire — Combien de temps garder ?
Guide pratique des durées de conservation des soumissions sous RGPD, nLPD et règles sectorielles. Comment fixer des valeurs par défaut, les documenter et éviter le risque silencieux du "tout garder pour toujours".
La plupart des organisations réfléchissent beaucoup à la manière de collecter les données de formulaire, beaucoup moins au moment de les supprimer. Le résultat est une accumulation silencieuse : des milliers de soumissions stockées dans des outils de formulaire, parfois bien après leur durée de vie utile, souvent oubliées, occasionnellement remontant à la surface lors d'une fuite ou d'une demande d'accès. Cet article est un guide pratique des durées de conservation pour les soumissions de formulaire — ce que la loi exige, comment fixer des valeurs par défaut sensées et comment les outils à connaissance nulle changent la donne.
À qui ce texte s'adresse
Fondateurs, responsables ops, DPO et toute personne qui gère des formulaires côté client ou interne. L'accent est mis sur l'orientation opérationnelle, pas sur une analyse juridique exhaustive — consultez un spécialiste qualifié pour vos obligations spécifiques.
Le réglage par défaut sur lequel la plupart des organisations vivent
Ouvrez le tableau de bord d'un outil de formulaire typique en service depuis deux ou trois ans. Vous y trouverez en général chaque soumission jamais reçue, complète et lisible, sans aucune suppression programmée. Les raisons sont familières : personne ne porte la question de la conservation, l'outil ne vous incite pas à fixer une limite, et le coût marginal d'une ligne supplémentaire dans une base tend vers zéro. Donc les données restent.
Ce réglage par défaut a un coût précis. Sous le RGPD (art. 5(1)(e), limitation de la conservation) et la nLPD (art. 6 al. 4, proportionnalité et nécessité), les données personnelles ne doivent pas être conservées plus longtemps que nécessaire au regard de la finalité pour laquelle elles ont été collectées. « Indéfini par défaut » n'est pas une réponse défendable — c'est l'absence de réponse, et les régulateurs la traitent de plus en plus comme telle.
Le risque silencieux
Les données que vous oubliez sont les plus susceptibles de remonter dans une fuite. Une soumission de trois ans, dormante dans l'archive d'un outil de formulaire, ne protège personne — mais elle reste sur le disque de quelqu'un, indexée par ses systèmes, soumise à tout ce qui se passera ensuite.
Ce que la loi exige réellement
RGPD et nLPD adoptent la même position fondamentale : ne conserver les données personnelles que le temps nécessaire à la finalité de la collecte. Aucun ne fixe une seule échéance qui s'applique à tous les formulaires ; tous deux exigent que vous fixiez des échéances cohérentes avec vos finalités et que vous puissiez les défendre.
RGPD — principe de limitation de la conservation
L'article 5(1)(e) exige que les données soient « conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». Le considérant 39 le renforce : des délais d'effacement ou de revue périodique doivent être fixés. Les autorités attendent un calendrier de conservation documenté, non un principe vague.
nLPD (Suisse) — proportionnalité et nécessité
La LPD révisée suit la même logique : les données peuvent être traitées (y compris stockées) uniquement dans la mesure nécessaire à la finalité indiquée. Lorsqu'un responsable ne peut justifier la poursuite de la conservation, la suppression ou l'anonymisation est requise. Le PFPDT a indiqué que les calendriers de conservation seront un sujet d'inspection standard.
Couches sectorielles
Au-delà des principes généraux, les règles sectorielles imposent des minimums et maximums que vous ne pouvez ajuster librement :
- Santé : les dossiers médicaux ont souvent une longue conservation minimale (Suisse : ~10 ans après traitement pour les adultes ; davantage pour les mineurs et certaines spécialités)
- Finance et KYC : la législation LBA impose typiquement 5 à 10 ans de conservation des dossiers de diligence client
- Fiscal et comptable : nombreuses juridictions imposent 7 à 10 ans pour les documents commerciaux
- Emploi : paie, contrats et dossiers RH ont des minimums variables (typiquement 5 à 10 ans après fin du contrat)
- Recherche et essais cliniques : ICH-GCP et règlement européen sur les essais cliniques exigent 25 ans pour le dossier permanent de l'essai
Minimums sectoriels et minimisation ne s'opposent pas — les règles sectorielles donnent le plancher, le droit des données le plafond. Votre tâche est de trouver le bon point entre les deux et de l'écrire.
Un cadre pratique pour fixer la conservation
Le cadre qui marche pour la plupart des processus pilotés par formulaire a quatre étapes : identifier la finalité, identifier l'obligation la plus longue, fixer une durée de conservation unique, documenter.
Identifier la finalité de chaque formulaire
Soyez précis. « Demande client » est trop large. « Formulaire de contact commercial pour les demandes sur le produit X » est utilisable. « Candidature pour la promo software-engineer 2026 » est mieux. Plus la finalité est étroite, plus la question de conservation est facile.
Trouver l'obligation la plus longue
Cartographiez le formulaire face à vos obligations contractuelles, réglementaires et fiscales. Un formulaire de demande commerciale n'a en général pas de plancher légal ; un formulaire d'admission KYC peut avoir un plancher LBA de cinq ans. Prenez la durée obligatoire la plus longue comme plancher.
Fixer une durée unique de conservation
Choisissez un nombre — 90 jours, 12 mois, 7 ans — qui n'excède pas le nécessaire et atteint au moins votre plancher. Écrivez-le à côté de la finalité du formulaire. Résistez à l'envie de laisser ouvert « au cas où ». Quelque chose se présentera ; c'est précisément quand une conservation documentée vous aide.
Documenter et réviser
Ajoutez la durée au registre des activités de traitement (RoPA — exigé par le RGPD art. 30 et son équivalent suisse). Révisez chaque année. À l'échéance : suppression ou anonymisation — automatisée, pas manuelle.
Valeurs par défaut sensées comme point de départ
Ce sont des points de départ — non un conseil juridique — qui fonctionnent pour beaucoup d'organisations petites ou moyennes et que l'on peut resserrer ou allonger après revue par un DPO ou un avocat.
| Type de formulaire | Valeur par défaut suggérée | Moteur |
|---|---|---|
| Contact / demande générale | 30 à 90 jours après clôture du dossier | Pas de plancher légal dans la plupart des juridictions |
| Inscription newsletter | Jusqu'à désinscription + 12 mois de preuve | Preuves de consentement RGPD/nLPD |
| Inscription événement | 30 à 60 jours après la fin de l'événement | Opérationnel uniquement ; suivi minimal |
| Candidature (rejetée) | 6 à 12 mois | Fenêtre de défense anti-discrimination |
| Onboarding client / KYC | 5 à 10 ans après fin de relation | Statuts LBA / secteur financier |
| Admission santé | 10+ ans après traitement | Conservation médicale sectorielle |
| Lanceur d'alerte / protection | Assez pour enquêter ; ensuite minimiser/anonymiser | Directive UE lanceurs d'alerte |
| Données de participants à la recherche | Spécifique au projet ; souvent 10 à 25 ans | Comité d'éthique + ICH-GCP |
Le réglage 30 jours qu'on oublie
Même si vous gardez un enregistrement permanent dans un système aval (CRM, gestion de dossier, DMP), l'outil de formulaire lui-même n'a généralement plus besoin de garder la soumission originale une fois traitée. 30 à 90 jours côté formulaire plus stockage permanent dans le système maître est un schéma propre.
Pourquoi la plupart des outils de formulaire compliquent la suppression
Si vous avez essayé d'opérationnaliser la conservation dans Google Forms, Microsoft Forms ou Typeform, vous reconnaîtrez la friction : pas de suppression automatique. Il faut s'en souvenir, sur un calendrier que vous fixez, dans une UI qui vous pousse à garder, pas à supprimer. Et lorsque vous supprimez, c'est un acte mou — disparu de votre vue, mais les sauvegardes du fournisseur en gardent une copie pendant une fenêtre que vous ne maîtrisez pas pleinement.
Pire : même votre suppression est réversible côté fournisseur, parce qu'il détient les clés. « Nous l'avons supprimé » signifie techniquement « nous l'avons marqué comme supprimé dans notre base applicative ». Le texte clair continue d'exister sur le stockage et les sauvegardes du fournisseur pour une durée — typiquement 30 à 90 jours — gouvernée par sa politique interne, pas par la vôtre.
Comment l'architecture à connaissance nulle change la donne
Quand les données sont chiffrées dans le navigateur du répondant avant transmission, le fournisseur ne stocke que du chiffré. Les clés vivent côté propriétaire du formulaire — l'organisation. Cela change ce que « suppression » signifie de deux manières importantes.
- La suppression est cryptographiquement définitive. Quand le propriétaire supprime une soumission, le chiffré est retiré de la base active. Le fournisseur n'a aucune copie en clair — pas de sauvegarde cachée, pas d'accès du support, pas de chemin de récupération. Les données sont parties.
- Les frontières de conservation sont tenues par la physique, pas par la politique. Un calendrier de conservation sur un outil classique est une promesse ; sur un outil à connaissance nulle, c'est une propriété. Aucune copie en clair ne peut survivre silencieusement à votre planning.
- Les demandes d'accès et d'effacement sont plus simples. Quand un répondant demande la suppression (RGPD art. 17, équivalent nLPD), « nous l'avons supprimé » est techniquement et démonstrablement vrai.
À quoi cela ressemble avec Schweizerform
Chaque formulaire a une fenêtre de conservation configurable. Lorsqu'elle s'écoule, le chiffré est retiré automatiquement de la base. Nous ne pouvons physiquement pas le récupérer — nous n'avons pas de clés. Votre politique de conservation est appliquée par les mathématiques, pas par la confiance dans nos procédures internes.
Erreurs fréquentes à éviter
Erreur 1 : une seule durée pour tous les formulaires
Un formulaire KYC et une inscription newsletter ont des obligations différentes. Un « 7 ans pour tout » global est trop long pour la newsletter et peut-être trop court pour le KYC. La granularité par formulaire est la bonne.
Erreur 2 : confondre conservation et archive
Si vous avez besoin de stockage long pour la conformité, l'outil de formulaire n'est rarement le bon endroit. Déplacez les données vers un système d'archive (CRM, DMP, gestion de dossier), avec ses propres contrôles, et laissez la conservation côté formulaire à « assez pour traiter ».
Erreur 3 : la suppression comme tâche manuelle
Le nettoyage manuel ne tient pas sur la durée. Choisissez un outil qui supporte la suppression automatique à l'horizon de conservation, puis vérifiez qu'il fonctionne.
Erreur 4 : ne pas documenter le pourquoi
Si un régulateur demande pourquoi vous gardez les candidatures neuf mois, « parce qu'on a choisi » ne suffit pas. « Parce que cela correspond à la fenêtre de défense anti-discrimination en droit du travail [juridiction] », oui. Notez la raison à côté du nombre.
Erreur 5 : oublier les copies en aval
Les données de formulaire finissent dans des CRM, ticketing, threads e-mail, tableurs. La politique doit suivre la donnée, pas seulement le formulaire d'origine. Documentez la propagation, alignez les calendriers.
Une politique de conservation minimale viable
Si vous n'avez rien aujourd'hui, vous pouvez livrer une politique viable en un après-midi. Voici un squelette :
- Listez chaque formulaire actif (ou chaque formulaire ayant reçu une soumission ces 12 derniers mois)
- Pour chacun, écrivez une finalité en une ligne, le plancher obligatoire le plus long, la durée de conservation choisie
- Configurez l'outil pour appliquer la durée automatiquement — ou, à défaut, programmez une tâche calendaire récurrente avec des responsables nommés
- Ajoutez la table à votre registre des activités et liez-la depuis votre politique de confidentialité
- Programmez une revue annuelle
Fait vaut mieux que parfait ici. Une conservation documentée à six mois que vous appliquez vraiment vaut beaucoup plus qu'une politique polie de 50 pages que personne ne suit.
Comment le communiquer aux répondants
RGPD et nLPD exigent que vous indiquiez aux répondants combien de temps vous comptez garder leurs données. La formulation n'a pas besoin d'être compliquée :
Nous conserverons les informations que vous fournirez sur ce formulaire pendant [X mois/ans] après [événement déclencheur], après quoi elles seront automatiquement supprimées de notre système de formulaires. Si vous avez demandé à être contacté à propos d'un service, nous garderons une preuve de ce consentement [Y mois] au-delà de la désinscription.
Placez le texte dans l'avis de confidentialité du formulaire, liez la politique complète depuis la case de consentement et référencez la table depuis votre registre. Ceux qui s'en soucient regarderont ; les régulateurs aussi.
L'essentiel
La conservation est la moitié silencieuse de la protection des données. La plupart des organisations sont bonnes à la collecte, faibles à la suppression. La correction est mécanique, pas philosophique : documenter un calendrier par formulaire, l'appliquer automatiquement, préférer des outils qui rendent la suppression définitive.
Schweizerform a été conçu avec la conservation en tête. Chiffrement dans le navigateur, stockage chiffré uniquement, conservation configurable avec suppression cryptographique — ensemble, ils transforment la conservation d'une promesse du fournisseur sur son comportement en une propriété du système. Le genre de garantie qu'un DPO peut poser sur le bureau d'un régulateur sans broncher.
Essayez Schweizerform sur l'offre gratuite. Chiffré de bout en bout, hébergé en Suisse, avec des contrôles de conservation appliqués par les mathématiques — pas par la confiance dans la politique interne d'un fournisseur.
Avertissement : Cet article est de l'information générale et du contenu marketing, et non un conseil juridique ou de conformité. Les obligations de conservation varient selon la juridiction, le secteur et le contrat ; consultez un spécialiste qualifié avant toute décision de conformité.