La question des durées de rétention des sauvegardes revient souvent sous la forme d’un modèle “journalier / mensuel / annuel”. Mais en pratique, une rétention efficace doit arbitrer entre trois forces parfois contradictoires :

• Reprise d’activité : pouvoir restaurer vite et correctement (RPO/RTO).
• Obligations de conservation : certains documents doivent être conservés plusieurs années.
• Réduction du risque : plus on conserve longtemps, plus on augmente l’exposition en cas de fuite… et plus on complexifie la purge et la gouvernance.

Sauvegarde, archivage, conservation : ne pas tout mélanger

Une sauvegarde vise d’abord la restauration (accident, panne, ransomware). Elle est généralement cyclée (rotation) et optimisée pour revenir à un état récent.

Un archivage vise la conservation sur le long terme, souvent avec des exigences de traçabilité, d’intégrité, de recherche et de restitution (contrôle, litige, obligations sectorielles). Ce n’est pas la même finalité, ni les mêmes outils.

Cette distinction est clé : conserver des sauvegardes “à vie” pour répondre à des obligations légales est rarement la bonne stratégie. Mieux vaut archiver ce qui doit l’être, et garder des sauvegardes dimensionnées pour la reprise.

Le cadre à respecter : RGPD + obligations documentaires

RGPD : limitation de la conservation

Le RGPD impose de ne pas conserver les données à caractère personnel au-delà de ce qui est nécessaire à la finalité. En clair : une rétention “par défaut” très longue (par exemple 10 ans sur toutes les sauvegardes) peut devenir difficile à justifier, surtout si des données supprimées en production persistent durablement dans les copies.

La CNIL recommande de raisonner en cycle de vie : base active, puis archivage intermédiaire (accès restreint, finalité “preuve/obligation”), puis suppression/anonymisation selon les cas.

Exemples d’obligations de conservation (France)

Sans prétendre couvrir tous les secteurs, quelques repères fréquemment rencontrés :

• Documents comptables et pièces justificatives : conservation 10 ans (ex. documents comptables et pièces justificatives).
• Documents fiscaux : conservation souvent 6 ans (selon la nature des contrôles et textes applicables).
• Gestion du personnel : le double du bulletin de paie est conservé 5 ans par l’employeur ; pour le bulletin dématérialisé, une disponibilité très longue peut être requise (ex. 50 ans ou jusqu’aux 75 ans du salarié selon le cas présenté par l’administration).

Point important : ces durées portent sur des documents (ou des catégories de documents), pas sur “toutes les sauvegardes du SI”. La bonne pratique consiste à isoler les contenus soumis à conservation longue dans un dispositif d’archivage (ou un périmètre dédié), plutôt que de faire porter cette charge à la sauvegarde de reprise.

Les risques qui doivent influencer la rétention

• Rançongiciel et sabotage : il faut des copies protégées (idéalement déconnectées/immutables) et suffisamment “anciennes” pour revenir avant la compromission.
• Corruption silencieuse : une donnée peut être altérée sans être détectée immédiatement (application, base, stockage). Une rétention trop courte peut empêcher de retrouver une version saine.
• Erreur humaine : suppression accidentelle, mauvaise manipulation, déploiement défectueux.
• Risque juridique et conformité : conserver trop longtemps des données personnelles dans des sauvegardes augmente l’exposition en cas de fuite et complique l’application des durées de conservation (suppression, minimisation).

Alignement ISO 27001 et ANSSI : la politique avant le calendrier

ISO/IEC 27001:2022 prévoit un contrôle dédié à la sauvegarde (Annexe A, 8.13 “Sauvegarde des informations”) : des copies de sauvegarde doivent être conservées et testées régulièrement selon une politique définie.

Le Guide d’hygiène informatique de l’ANSSI recommande de formaliser une politique de sauvegarde (données vitales, types de sauvegarde dont hors ligne, fréquence, accès, tests de restauration, destruction des supports) et de vérifier la restauration de manière périodique, avec au moins un exercice annuel de restauration. Il recommande aussi, pour la résilience face aux rançongiciels, de stocker des sauvegardes sur des équipements déconnectés.

Modèles de rétention : trois schémas réalistes (à adapter)

Les modèles ci-dessous sont des gabarits. Le bon réglage dépend de vos RPO/RTO, de la criticité métier, et de votre stratégie d’archivage.

1) Schéma “reprise standard” (la majorité des SI bureautiques et applicatifs)

• Journalier : 14 à 30 points (ex. 14 ou 30 sauvegardes quotidiennes).
• Hebdomadaire : 8 à 12 points (2 à 3 mois).
• Mensuel : 12 points (1 an).
• Annuel : 0 à 3 points (optionnel) — plutôt réservé à des périmètres précis, sinon à basculer en archivage.

Pourquoi ? On couvre les incidents courants et une grande partie des détections tardives, sans transformer la sauvegarde en stockage légal longue durée.

2) Schéma “résilience ransomware” (copies protégées/immutables)

• Quotidien immuable ou déconnecté : 30 à 90 jours.
• Mensuel immuable : 6 à 12 mois (selon exposition et criticité).

Pourquoi ? si un attaquant compromet des comptes ou chiffre des données, une rétention immuable/déconnectée offre une “ligne de vie”. Attention : cela ne remplace pas les tests de restauration.

3) Schéma “conformité documentaire” (ne pas confondre avec la sauvegarde)

Pour les contenus soumis à conservation longue (comptabilité, fiscal, social, contrats…), privilégier :

• Archivage dédié (périmètre documentaire, export, coffre/SAE, stockage WORM/immutabilité, accès restreint).
• Sauvegarde de reprise avec une rétention “raisonnable” (ex. modèle 1) sur les systèmes qui hébergent ces documents, mais sans viser 10 ans de sauvegardes complètes.

Pourquoi ? vous répondez à l’obligation de conservation via l’archivage (objectif “preuve/contrôle”), tout en gardant une sauvegarde optimisée pour restaurer (objectif “reprise”).

Checklist de gouvernance : ce qui fait la différence en audit… et en crise

• Cartographier les données/systèmes critiques et leurs propriétaires (métier + IT).
• Définir une politique : périmètre, fréquence, rétention, supports, chiffrement, contrôle d’accès, séparation des rôles.
• Protéger les sauvegardes : copies déconnectées/immutables, comptes dédiés, journalisation et supervision des opérations de backup.
• Tester : tests de restauration réguliers + exercice annuel complet documenté.
• Traiter la fin de vie : suppression/rotation, destruction sécurisée des supports, et articulation avec l’archivage intermédiaire (RGPD).

Conclusion

Un bon calendrier de rétention n’est pas un chiffre “standard” appliqué partout : c’est un compromis documenté entre reprise d’activité, exigences légales et réduction du risque. Dans la plupart des cas, la stratégie gagnante consiste à garder des sauvegardes de reprise sur une durée maîtrisée, et à basculer la conservation longue dans un archivage dédié, gouverné et accessible de façon restreinte.

Sources

• CNIL, Les durées de conservation des données, 28 juillet 2020,
• CNIL (avec le Service interministériel des archives de France), Guide pratique – Les durées de conservation, version juillet 2020,
• Entreprendre.Service-Public.fr (DILA), Quels sont les délais de conservation des documents pour les entreprises ?,
• Légifrance, Code de commerce – article L123-22 (conservation des documents comptables et pièces justificatives),
• CNIL, RGPD – Chapitre II, Article 5 (principes, dont limitation de la conservation), https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2
• ANSSI, Guide d’hygiène informatique – Renforcer la sécurité de son système d’information en 42 mesures, septembre 2017
• ISO, ISO/IEC 27001:2022 – Systèmes de management de la sécurité de l’information, 2022 (Annexe A, contrôle 8.13 “Sauvegarde des informations”).