Durées de conservation des données RGPD en Belgique
Steven | TrustYourWebsite · 12 juin 2026 · Dernière mise à jour : juin 2026
Les entreprises belges font face à une obligation de conservation à deux niveaux. L'article 5(1)(e) du RGPD fixe le plafond : ne conservez les données personnelles que le temps nécessaire à leur finalité. Le droit fiscal et le droit de la sécurité sociale belges fixent des planchers obligatoires : certains documents doivent être conservés pendant une durée minimale, même si vous préféreriez les supprimer plus tôt.
Réponse rapide pour la Belgique : documents fiscaux 10 ans (après 2022), comptes annuels 10 ans, documents de paie DmfA 5 ans après la fin de l'emploi, comptes clients pendant la durée du contrat plus le délai de prescription applicable, logs serveur 30 à 90 jours et données analytics GA4 14 mois par défaut.
Scannez votre site web gratuitement pour voir quels outils tiers collectent en ce moment des données personnelles sur votre site. Chacun soulève sa propre question de conservation.
Le principe de limitation de la conservation
L'article 5(1)(e) du RGPD dispose :
Les données à caractère personnel doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
Trois exigences en découlent :
- Une finalité définie pour chaque catégorie de données que vous collectez
- Une durée de conservation définie liée à cette finalité, ou les critères utilisés pour la déterminer
- Une suppression ou une anonymisation effective à l'expiration de la durée, pas seulement une politique sur papier
Une conservation plus longue n'est autorisée que pour l'archivage dans l'intérêt public ou pour la recherche scientifique, historique ou statistique. Les deux voies exigent les garanties de l'article 89(1).
L'article 5(2) du RGPD ajoute le principe de responsabilité : vous devez pouvoir démontrer votre conformité. Cela suppose des durées de conservation documentées dans votre registre des traitements de l'article 30, un calendrier de suppression réellement exécuté et une trace prouvant que le calendrier s'applique.
L'APD (Autorité de protection des données) est l'autorité belge de protection des données. Elle a rendu des décisions constatant que la conservation de données au-delà de leur finalité constitue une violation autonome de l'article 5, traitée séparément de la fuite de données ou de la plainte qui a déclenché l'enquête.
Obligations de conservation spécifiquement belges
Documents fiscaux : la règle des 10 ans
La loi du 20 novembre 2022 a modifié le Livre III du Code de droit économique (ejustice.just.fgov.be) et actualisé l'obligation belge de conservation des documents comptables. Pour les documents créés à partir du 1er janvier 2022, la durée minimale de conservation est de 10 ans à compter de la fin de l'exercice. Les documents créés avant 2022 conservent le minimum antérieur de 7 ans.
Cela concerne :
- Les factures (émises et reçues)
- Les extraits bancaires et livres de comptes
- Les registres TVA
- Les registres de stock et d'inventaire
L'article 6(1)(c) du RGPD couvre la base légale : la conservation est exigée par la loi, ce qui satisfait l'exigence de licéité. Une fois la période de 10 ans expirée, la limitation de la conservation du RGPD s'applique et les données doivent être supprimées, sauf si une autre finalité active existe.
Sécurité sociale et paie
Les employeurs belges transmettent les données salariales via la DmfA (Déclaration multifonctionnelle / Multifunctionele aangifte) à l'ONSS/RSZ (Office national de sécurité sociale / Rijksdienst voor Sociale Zekerheid). L'obligation de conservation des documents de paie et de cotisation est de 5 ans à compter de la fin de l'emploi en vertu du droit belge de la sécurité sociale.
Les contrats de travail eux-mêmes doivent être conservés pendant la durée de la relation plus le délai de prescription applicable. En vertu de l'article 2262bis du Code civil belge, le délai de prescription général des actions contractuelles est de 10 ans pour les relations commerciales et de 5 ans pour les relations avec les consommateurs. En pratique, la plupart des conseillers RH belges recommandent 5 ans après la fin de l'emploi pour la documentation d'emploi standard.
Conservation en droit des sociétés
Les comptes annuels et les documents sociaux relèvent du Code des sociétés et des associations (CSA / WVV). Les informations du SPF Économie (economie.fgov.be) confirment une obligation de conservation de 10 ans pour les comptes annuels, en miroir de l'obligation relative aux documents fiscaux.
Tableau de conservation pour les PME belges
Ces durées combinent le droit belge et les exigences du RGPD. Lorsqu'un minimum légal s'applique, ce minimum est indiqué. En l'absence de minimum légal, la durée recommandée est la plus courte qui sert l'intérêt commercial légitime.
Données financières et fiscales
| Type de données | Durée de conservation | Base |
|---|---|---|
| Factures et documents comptables (après 2021) | 10 ans à compter de la fin de l'exercice | Loi du 20 novembre 2022, Livre III CDE/WER |
| Factures et documents comptables (avant 2022) | 7 ans à compter de la fin de l'exercice | Livre III CDE/WER antérieur |
| Comptes annuels | 10 ans | Code des sociétés et des associations |
| Registres TVA | 10 ans (alignés sur les documents fiscaux) | Loi du 20 novembre 2022 |
| Extraits bancaires | 10 ans | Alignés sur les documents fiscaux |
Données RH et emploi
| Type de données | Durée de conservation | Remarques |
|---|---|---|
| Contrats de travail | Durée de l'emploi + 5 ans | Délai de prescription contractuelle (art. 2262bis Code civil) |
| Paie et documents DmfA | 5 ans après la fin de l'emploi | Droit de la sécurité sociale ONSS/RSZ |
| Certificats de maladie | Durée de l'emploi. À supprimer rapidement après usage. | Données de santé au sens de l'art. 9 RGPD |
| Données de recrutement (candidats refusés) | 4 semaines après la décision de refus | Sauf consentement du candidat pour une durée plus longue |
| Dossiers disciplinaires | Maximum 2 ans sauf procédure judiciaire en cours | Doctrine de proportionnalité de l'APD |
| Images de vidéosurveillance | Maximum un mois | Art. 6 §3 / 7 §3 loi caméras du 21 mars 2007. Trois mois pour les lieux à risque désignés, plus longtemps uniquement comme preuve |
Données clients et commandes
| Type de données | Durée de conservation | Remarques |
|---|---|---|
| Compte client actif | Durée de la relation + 2 ans | Résolution des litiges et garantie |
| Compte client inactif | 2 ans après la dernière activité | Réactiver ou supprimer |
| Historique d'achat | Aligné sur la conservation des factures (10 ans) | Uniquement les éléments financiers. Supprimez le profil marketing plus tôt. |
| Tickets de support client | 1 an après la clôture | À prolonger uniquement si un litige est en cours |
| Réclamations de garantie | Durée de la période de garantie | La directive (UE) 2019/771 fixe une garantie minimale de 2 ans |
| Demandes via formulaire de contact | 1 an après le dernier contact ou la résolution | Plus court si aucune relation durable n'en résulte |
Données marketing et e-mail
| Type de données | Durée de conservation | Remarques |
|---|---|---|
| Liste d'abonnés à la newsletter | Abonnement actif + 2 ans | Suppression rapide en cas de désinscription |
| Preuves de consentement marketing | 3 ans après le consentement | Preuve de la base légale au titre de l'art. 7 RGPD |
| Abonnés inactifs (aucun engagement) | Nouveau consentement requis après 24 mois | Un consentement périmé est un vrai risque |
| E-mails de panier abandonné | 14 à 30 jours maximum | Relance limitée à cette seule finalité |
Pour le marketing direct par e-mail en Belgique, il vous faut soit un consentement préalable, soit un soft opt-in issu d'une relation client existante. Dans les deux cas, l'adresse e-mail doit être supprimée immédiatement dès la désinscription. L'APD applique à l'e-mail marketing le même standard de consentement qu'aux cookies.
Données du site web et analytics
| Type de données | Durée de conservation | Remarques |
|---|---|---|
| Logs d'accès serveur (sécurité) | 30 à 90 jours | Des durées plus longues peuvent être contestées par l'APD |
| Logs serveur (débogage) | 14 à 30 jours | Minimum opérationnel |
| Adresses IP dans les logs | 30 à 90 jours puis anonymisation ou suppression | Les adresses IP sont des données personnelles au sens du RGPD |
| Données de session Google Analytics 4 | 14 mois (réglage par défaut de GA4) | Vérifiez ce paramètre dans votre panneau d'administration GA4 |
| Preuves de consentement aux cookies | 3 ans | Preuve d'un consentement valable en cas de contestation |
| Enregistrements de session / heatmaps | 30 à 90 jours | Finalité limitée à l'analyse UX |
Comment les deux niveaux s'articulent
La durée de conservation finale d'une catégorie de données donnée résulte de deux contraintes qui agissent ensemble.
Le plancher est fixé par le droit belge ou européen : les factures doivent être conservées 10 ans. Vous ne pouvez pas les supprimer plus tôt, même si vous le souhaitiez. L'article 6(1)(c) du RGPD couvre ce cas : l'obligation légale fournit la base licite.
Le plafond est fixé par l'article 5(1)(e) du RGPD : une fois l'obligation légale expirée, les données doivent être supprimées, sauf si une nouvelle finalité active existe. La conservation fiscale n'autorise pas à garder l'historique de navigation ou les préférences marketing du client pendant la même durée. Chaque catégorie de données fait l'objet de sa propre analyse.
Une erreur fréquente consiste à appliquer la durée de conservation fiscale à toutes les données clients. La règle des 10 ans couvre les factures et les documents comptables. Elle n'autorise pas à conserver pendant 10 ans l'adresse IP du client, ses préférences produits ou son historique de paniers abandonnés.
Mettre en œuvre la conservation en pratique
Étape 1 : cartographiez vos données
Listez chaque catégorie de données personnelles détenue par votre entreprise. Incluez vos outils d'analytics, votre CRM, votre plateforme e-mail, votre logiciel comptable et tout service tiers qui reçoit des données depuis votre site. Chacun de ces services est un sous-traitant et nécessite un contrat de sous-traitance RGPD.
Étape 2 : attribuez une durée de conservation à chaque catégorie
Utilisez le tableau ci-dessus comme point de départ. Pour les durées imposées par la loi, retenez le minimum légal. Pour tout le reste, définissez la durée la plus courte qui sert réellement votre besoin commercial.
Pour les outils courants des PME belges :
- WooCommerce / WooCommerce Subscriptions : configurez la purge des données de commande dans les réglages WooCommerce et vérifiez que la durée correspond à votre obligation de conservation des factures
- Mailchimp / Brevo : activez le nettoyage automatique des listes de désinscription et définissez les périodes d'inactivité des abonnés dans les paramètres de liste
- Google Analytics 4 : vérifiez le paramètre de conservation des données dans Admin sous Paramètres des données (14 mois par défaut)
- Shopify : utilisez les outils intégrés d'export et de suppression de données. Shopify conserve par défaut les données de commande pendant 5 ans, mais vous pouvez supprimer les fiches clients sur demande.
Étape 3 : documentez
Ajoutez les durées de conservation dans :
- Votre registre des traitements de l'article 30
- Votre politique de confidentialité (exigée par l'article 13(2)(a) du RGPD)
- Vos procédures internes de gestion des données
Étape 4 : automatisez la suppression
La suppression manuelle échoue. Configurez la suppression ou l'anonymisation automatique dans chaque outil qui détient des données personnelles. Pour les bases de données, utilisez des tâches planifiées qui parcourent chaque table et appliquent la règle de conservation. Consignez chaque exécution avec des compteurs récapitulatifs pour disposer d'une preuve d'exécution.
Étape 5 : révisez chaque année
Les durées de conservation changent quand votre activité change. Révisez votre cartographie des données et votre calendrier chaque année, ou dès que vous ajoutez un nouvel outil ou service qui traite des données personnelles.
Ce que l'APD examine
L'APD examine les violations de conservation aussi bien dans les enquêtes sur plainte que dans les audits sectoriels. En pratique, les constats de conservation apparaissent le plus souvent à côté d'une fuite de données ou d'une autre plainte, et non lors d'un audit isolé. Mais quand ils apparaissent, ils sont traités comme un facteur aggravant.
Constats récurrents dans l'application belge :
- Aucune durée de conservation définie dans le registre des traitements (violation de l'article 30)
- Politique de confidentialité indiquant « aussi longtemps que nécessaire » sans préciser de durée (violation de l'article 13)
- Comptes clients inactifs conservés des années après la fin de la relation
- Copies de sauvegarde conservées longtemps après la date à laquelle les données actives auraient dû être supprimées
- Durées de conservation fiscale étendues à toutes les données clients au lieu des seuls documents comptables
Si d'anciennes données clients sont exposées lors d'une fuite et qu'il s'avère qu'aucune finalité active ne justifiait leur conservation, l'APD considère que cela aggrave la violation de sécurité de l'article 32. Le guide des amendes RGPD pour petites entreprises explique comment l'APD calcule les sanctions.
Checklist finale
- Chaque activité de traitement de votre registre a une durée de conservation définie
- Les documents fiscaux postérieurs à 2021 sont conservés 10 ans à compter de la fin de l'exercice
- Les documents de paie et DmfA sont conservés 5 ans après la fin de l'emploi
- La politique de confidentialité indique la durée de conservation ou les critères pour chaque activité
- La suppression est mise en œuvre comme un processus planifié, pas comme une tâche manuelle
- Les exécutions de suppression sont consignées avec des compteurs récapitulatifs comme preuve
- La rotation des sauvegardes est alignée sur le calendrier de conservation
- Les comptes clients inactifs ont une période d'inactivité et un déclencheur de suppression
- La conservation fiscale s'applique aux seuls documents comptables, pas à toutes les données clients
- Révision annuelle du registre, de la politique de confidentialité et du calendrier de suppression
Questions fréquentes
Combien de temps une entreprise belge doit-elle conserver ses documents financiers sous le RGPD ?
Le droit belge impose de conserver les documents fiscaux créés après le 1er janvier 2022 pendant 10 ans, contre 7 ans auparavant. Cette obligation découle de la loi du 30 juillet 1953 telle que modifiée par la loi du 20 novembre 2022, qui a actualisé le Livre III du Code de droit économique. Les documents créés avant 2022 restent soumis à la règle des 7 ans. L'article 6(1)(c) du RGPD permet cette conservation au titre du respect d'une obligation légale.
Que signifie le principe de limitation de la conservation du RGPD pour mon entreprise belge ?
L'article 5(1)(e) du RGPD exige que les données personnelles soient conservées sous une forme permettant l'identification des personnes pendant une durée n'excédant pas celle nécessaire à la finalité. Pour les PME belges, cela signifie définir une durée de conservation pour chaque type de données collectées, la documenter dans le registre des traitements de l'article 30 et supprimer réellement les données à l'expiration de la durée. L'APD (Autorité de protection des données) considère la conservation illimitée comme une violation autonome de l'article 5.
Dois-je indiquer les durées de conservation dans ma politique de confidentialité ?
Oui. Les articles 13(2)(a) et 14(2)(a) du RGPD exigent que le responsable du traitement indique la durée de conservation ou, lorsque ce n'est pas possible, les critères utilisés pour la déterminer. Mentionner uniquement « aussi longtemps que nécessaire » ne suffit pas. Les entreprises belges doivent préciser la durée réelle pour chaque catégorie de données, ou expliquer les critères si la durée ne peut pas être fixée à l'avance.
Combien de temps dois-je conserver les données RH et de paie en Belgique ?
Le droit belge de la sécurité sociale impose aux employeurs de conserver les documents de paie et de cotisation DmfA (Déclaration multifonctionnelle) pendant 5 ans à compter de la fin de l'emploi. Les contrats de travail doivent être conservés pendant la durée de la relation plus le délai de prescription applicable du Code civil belge (en général 5 ans pour les actions contractuelles en vertu de l'article 2262bis). Les données de santé sensibles, comme les certificats de maladie, doivent être conservées le moins longtemps possible et supprimées rapidement dès qu'elles ne sont plus nécessaires.
Que fait l'APD si une entreprise conserve des données trop longtemps ?
L'APD peut imposer des mesures correctrices et des amendes administratives en vertu de l'article 83 du RGPD. L'APD a rendu des décisions constatant des violations de la limitation de la conservation, y compris des cas où des entreprises avaient conservé des données pendant des années au-delà de leur finalité initiale. Les violations de conservation sont souvent découvertes avec d'autres problèmes RGPD lors d'une plainte ou d'un audit plutôt qu'isolément, mais elles sont traitées comme un constat distinct et aggravant.
Scannez votre site web gratuitement pour vérifier si votre politique de confidentialité mentionne les durées de conservation comme l'exige l'article 13(2)(a) du RGPD. Le scan signale les mentions de conservation manquantes ou incomplètes, ainsi que les problèmes de bannière cookies, de HTTPS et d'exposition aux trackers tiers.
Pour une vue d'ensemble de la conformité RGPD en Belgique, la checklist des obligations RGPD pour PME belges couvre l'ensemble des obligations qui entourent le régime de conservation. Pour les questions de conservation impliquant un contentieux en cours, des secteurs réglementés ou des conflits entre obligations belges et européennes, consultez un avocat spécialisé en protection des données.
Sources
- Règlement (UE) 2016/679, RGPD (eur-lex.europa.eu)
- Portail de la Justice fédérale belge, lois et arrêtés (ejustice.just.fgov.be)
- APD, Autorité de protection des données (autoriteprotectiondonnees.be)
- SPF Économie / FOD Economie (economie.fgov.be)
- EDPB, Lignes directrices 3/2019 sur les dispositifs vidéo (edpb.europa.eu)
Ceci est une analyse technique, pas un avis juridique. Consultez un avocat pour un conseil juridique spécifique.
Vérifiez votre site web maintenant
Analysez votre site web pour les problèmes de RGPD et confidentialité et plus de 30 autres vérifications.
Lancer le check gratuitGuides pour votre site web
Bannière cookies Belgique : règles et amendes APD
Ce que l'APD exige pour votre bannière cookies en Belgique. Dark patterns, bouton Tout refuser, décisions Roularta et Mediahuis. Vérification gratuite.
Exigences bannière cookies Belgique : règles APD 2026
Ce que votre bannière cookies doit contenir selon l'APD et l'art. 10/2 de la loi-cadre du 30 juillet 2018. Boutons égaux, texte trilingue, sans dark patterns.
Google Fonts RGPD : stopper la fuite d'adresses IP
Google Fonts chargé depuis les serveurs de Google envoie l'IP de vos visiteurs aux États-Unis. Un tribunal allemand a jugé cela contraire au RGPD. La solution.
Liste de contrôle RGPD PME belges 2026 : 35 points
35 points de contrôle RGPD pour PME belges. APD, loi 30 juillet 2018, numéro BCE, cookies, sous-traitants. Ce que l'APD vérifie vraiment lors d'un contrôle.
Politique de confidentialité Belgique : modèle gratuit
Politique de confidentialité Belgique : générateur gratuit et modèle. APD comme autorité, Loi du 30 juillet 2018, numéro d'entreprise BCE.