RGPD & comptes inactifs : de quoi parle-t-on ? 

Avant de cliquer sur “supprimer” ou “archiver”, il faut poser les bases. Qu’est-ce qu’un compte inactif au juste ? Et pourquoi le RGPD y attache autant d’importance ? Spoiler : ce n’est pas parce que la CNIL adore faire du tri dans les fichiers Excel.

Un compte inactif, c’est quoi concrètement ?

Dans la pratique, c’est un utilisateur qui n’a plus eu d’interaction avec vos services depuis un certain temps : il ne se connecte plus, n’ouvre plus vos mails, n’achète rien, ne vous parle pas. Il est là, quelque part dans vos bases, mais il ne bouge plus.

‍

Exemple : un client qui a créé un compte sur votre site en 2018, a passé une commande en 2019… et n’a plus rien fait depuis. Inactif ? Clairement.

‍

‍

Ce que dit vraiment le RGPD

Le RGPD ne dit pas "supprimez tous les comptes inactifs au bout de X années", mais il pose un principe clair :

‍‍

“Les données personnelles doivent être conservées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont collectées.” (Article 5.1.e)

‍

Autrement dit : pas de finalité = pas de conservation.

‍
Si un compte n’a plus de raison d’exister dans vos systèmes (ni commerciale, ni légale), il doit être supprimé. Sinon ? Vous entrez dans la zone rouge.

‍

👉 Pour aller plus loin : découvrez notre article sur Emailing et CNIL : quelles règles respecter pour rester 100 % conforme.

‍

Donnée inactive ≠ donnée inutile… mais presque

On fait souvent l’erreur de garder les comptes “au cas où”. Mauvaise idée. À moins d’avoir une obligation légale (facturation, garantie, litige, etc.), garder un compte dormant trop longtemps, c’est prendre un risque inutile.

‍

Cas classique : un profil client non actif depuis 5 ans, sans commande, sans contact. Pourquoi le conserver ? Surtout s’il contient une adresse postale, un email personnel ou d’autres informations sensibles.

‍

La CNIL surveille (et sanctionne)

Elle l’a rappelé dans plusieurs mises en demeure : l’absence de politique de suppression des comptes sans activité récente est un manquement au RGPD.

‍

📌 En 2023, plusieurs entreprises françaises ont été épinglées pour avoir conservé des comptes clients inactifs pendant plus de 6 ans, sans justification.

‍

Résultat ? Mise en demeure immédiate, obligation de mise en conformité, et parfois... amende.

Ce que vous devez retenir

• Un compte sans activité récente  n’est pas automatiquement à supprimer, mais il doit être évalué.
• Vous devez définir, documenter et justifier votre durée de conservation.
• L’absence de politique = non-conformité.
• Et qui dit non-conformité, dit risque de sanction.
  

2. Les risques juridiques : ce que vous encourez vraiment 

Si vous pensez que garder quelques vieux comptes clients “ne fait de mal à personne”, détrompez-vous. Quand il s’agit de données personnelles, l’inaction peut coûter très cher.

Le cas Twitter : un mauvais exemple qui vaut cher

En 2023, la CNIL a épinglé Twitter France pour ne pas avoir supprimé des comptes depuis plus de 5 ans. Problème ? Ces comptes contenaient encore des données personnelles identifiables.

Résultat :

• Mise en demeure publique,
• Obligation de se mettre en règle sous 2 mois,
• Et une réputation ternie dans la presse et auprès des utilisateurs.
  

Et ce n’est pas un cas isolé.

‍

Que peut vous reprocher la CNIL ?

Voici les infractions typiques observées :

• La conservation de données sans finalité précise,
• L'absence de politique de suppression ou d’archivage,
• Le manque d'information des utilisateurs sur la durée de conservation,
• Les données sensibles laissées sans protection suffisante.
  

Tous ces éléments sont des manquements à la conformité RGPD. Et ce sont eux que la CNIL traque activement.

‍

Les sanctions possibles (et elles piquent)

Selon la gravité et la taille de votre entreprise, vous pouvez avoir :

• Une amende administrative (jusqu’à 4% du CA mondial ou 20 millions d’euros),
• Une publication de la sanction, ce qui entraîne un préjudice d’image immédiat,
• Une mise en conformité sous astreinte (avec pénalités financières en cas de retard).
  

Même pour les PME ou ETI, les conséquences peuvent être lourdes : stress juridique, surcharge de travail, et perte de confiance des clients.

‍

Et votre responsabilité personnelle ?

Si vous êtes responsable conformité ou DPO, vous êtes aussi concerné personnellement. En cas d’audit, on vous demandera :

• Quelle est votre politique interne ?
• Comment les profils inertes sont-ils gérés ?
• Qui décide de la suppression ou de la conservation ?
  

Et si vous n’avez pas de réponse claire… ça se complique.

‍

Le vrai risque ? Laisser traîner

Ce n’est pas l’erreur technique qui est sanctionnée, c’est l’absence d’action et de procédure. Ne rien faire, c’est déjà être en tort. Heureusement, vous pouvez reprendre la main. Et on va vous montrer comment.

‍

Archiver ou supprimer : que faire des données inactives ?

Suppression ou archivage ? C’est LA grande question. Et spoiler : les deux options sont valables, à condition de respecter certaines règles.

‍

La suppression : la solution “zéro risque”

Supprimer, c’est clair, net, sans bavure. Vous effacez complètement les données personnelles : plus rien dans les bases, plus de traitement, plus de responsabilité.

C’est l’option recommandée :

• Quand l’utilisateur n’a plus d’activité depuis longtemps (ex : +36 mois),
  
• Quand vous n’avez aucune obligation légale de conserver ses infos,
  
• Quand la donnée n’a aucune valeur business pour vous.
  

Mais attention : qui dit suppression dit aussi traçabilité. Vous devez pouvoir prouver que vous avez bien supprimé, quand, et comment. Gardez une trace anonymisée ou horodatée.

‍

L’archivage : la solution intermédiaire

Vous avez encore besoin de certaines données ? Par exemple, pour :

• Répondre à une obligation comptable (factures),
• Gérer un contentieux potentiel,
• Préserver une trace légale ?
  

Vous pouvez archiver les données au lieu de les supprimer. Mais ce n’est pas une archive “à l’ancienne” en dossier papier : elle doit être sécurisée, chiffrée, et inaccessible au traitement courant.

‍

Exemple : stocker les infos dans une base à accès restreint, hors du CRM, avec un système de purge programmé à terme.

‍

Quelle durée de conservation adopter ?

Il n’existe pas de durée universelle, mais voici quelques repères :

• Un compte client sans activité récente : 3 ans maximum sans activité → suppression ou anonymisation.
• Les factures, documents comptables : 10 ans.
• Les données liées à un litige : jusqu’à la clôture de l’affaire.
  

Le plus important : documentez tout dans votre politique interne.

‍

En résumé :

Dans la suite, on vous explique comment mettre en place une vraie politique claire et conforme, sans transformer votre service juridique en usine à gaz.

‍

Implémenter une politique interne claire 

Pas de conformité RGPD sans règles internes solides. Si vous voulez éviter les sanctions, protéger les données personnelles et garder la main sur votre base clients, il vous faut une vraie politique de gestion des profils inertes.

‍

Et non, ce n’est pas juste une note dans un coin de votre drive.

‍

Pourquoi une politique ? Pour prouver que vous maîtrisez

Imaginez : un contrôle CNIL tombe, et on vous demande :

• Quels sont vos délais de conservation ?
• À partir de quand un compte est-il considéré comme inactif ?
• Comment est-il supprimé ou archivé ? Par qui ? À quelle fréquence ?
  

Sans procédure écrite, c’est flou. Avec une politique claire, vous montrez que vous maîtrisez vos données.

‍

Que doit contenir votre politique ?

Voici les incontournables à inclure :

• Une définition de l’inactivité (ex : aucune action depuis 24 mois),
• Des délais de conservation selon les types de données (ex : 3 ans pour les comptes non utilisés ),
• Des processus de suppression ou d’archivage (automatique ou manuel ?),
• Des responsables internes de la mise en œuvre (IT, juridique, marketing ?),
• Une fréquence de vérification et de purge (trimestrielle ? semestrielle ?),
• Une traçabilité et documentation des actions réalisées,
• Une communication avec les clients (mails, mentions dans la politique de confidentialité…).

Et bien sûr : gardez votre politique à jour, surtout si votre outil ou votre CRM évolue.

‍

Exemple de règle simple et efficace

“Tout compte client non utilisé  depuis plus de 36 mois, sans obligation légale de conservation, est automatiquement supprimé après information du client. Les données nécessaires à des obligations fiscales ou juridiques sont archivées dans un environnement sécurisé et restreint.”

‍

Claire, opérationnelle, conforme. Vous n’avez pas besoin d’un roman, juste d’un cadre clair.

‍

Impliquez les bonnes personnes

Votre politique ne doit pas être un document fantôme. Faites-la vivre avec :

• Le DPO (ou référent conformité),
• Les équipes IT (pour l’automatisation),
• Le service client (qui informe les utilisateurs),
• Et la direction (qui valide les règles).
  

Un vrai travail d’équipe pour faire des bonnes pratiques RGPD un réflexe quotidien.

‍

Mettre en place des outils et services adaptés 

OK, vous avez la théorie. Maintenant, parlons pratique : comment appliquer tout ça sans y passer vos nuits ? Spoiler : il existe des outils simples et efficaces pour automatiser la gestion des comptes dormants.

Plugins & modules pour la suppression automatique

Selon votre stack technique, vous pouvez ajouter des plugins ou modules pour :

• Détecter automatiquement l’inactivité (basée sur la date de dernière action),
• Envoyer des notifications ou mails de rappel,
• Supprimer ou archiver les données après X jours d’inactivité.
  

Exemples :

• WordPress / WooCommerce : extensions RGPD comme Delete Me ou GDPR Tools
• CRM (HubSpot, Salesforce) : workflows d’automatisation personnalisés
• Prestashop / Shopify : modules de purge clients et consentement intégré
  

Ces plugins permettent de gérer la conservation, suppression, consentement et la traçabilité de vos actions, sans tout faire à la main.

‍

Services SaaS spécialisés RGPD

Il existe aussi des services SaaS qui vous aident à :

• Identifier les données obsolètes,
• Vérifier si vos bases respectent les règles du RGPD
• Générer des rapports pour les audits CNIL.
  

Quelques noms à connaître :

• Didomi, Data Legal Drive, OneTrust, Privacore…
  

Ces outils sont particulièrement utiles pour les structures avec beaucoup de données ou une base clients étendue.

‍

Sécurité, traitement et conformité : un trio indissociable

N’oubliez pas : supprimer ou archiver des données implique aussi de les protéger.

• Stockage chiffré,
• Accès restreint,
• Journalisation des actions (qui a fait quoi, quand).
  

Chaque plugin ou module que vous utilisez doit être évalué sur ces critères. Un outil mal configuré peut faire plus de mal que de bien.

‍

‍

Mettez en place un pilotage par étapes :

• La sélection d’un outil adapté à votre plateforme,
• Le paramétrage de vos seuils d’inactivité,
• La phase de test sur une partie de la base 
• Le suivi des suppressions / les archivages automatiques, 
• L’ajustement de la politique selon les résultats.

Une fois rôdé, le système tourne en autonomie. Et vous, vous êtes conforme, tranquille, et prêt pour l’audit CNIL.

‍

Informer et obtenir le consentement des utilisateurs 

Vous avez décidé de supprimer ou d’archiver les comptes dormants ? Très bien. Mais vous ne pouvez pas le faire en douce. Le RGPD impose de prévenir les utilisateurs de ce que vous faites avec leurs données. Et là, la transparence fait toute la différence.

‍

Informer avant de supprimer : une obligation simple, mais essentielle

Avant toute suppression, vous devez informer l’utilisateur. Pourquoi ? Parce que même s’il ne vous lit plus depuis 2 ans, il reste propriétaire de ses données.

Concrètement :

• Un email de notification au minimum,
  
• Indiquant clairement la raison (inactivité),
  
• Les données concernées,
  
• La date de suppression prévue,
  
• Et un lien pour s’y opposer ou réactiver son compte.
  

Exemple simple mais efficace : “Bonjour, vous n’avez pas utilisé votre compte depuis 2 ans. Afin de respecter le RGPD, nous prévoyons de le supprimer définitivement dans 30 jours. Si vous souhaitez le conserver, cliquez ici.”

‍

➡️ Résultat : vous êtes conforme, transparent, et vous montrez que vous respectez la vie privée de vos utilisateurs.

‍

Consentement : pas toujours obligatoire, mais recommandé

Bonne nouvelle : vous n’avez pas besoin d’un nouveau consentement pour supprimer un compte dormant. La suppression entre dans le cadre légal du traitement des données.

Mais vous pouvez proposer une action positive à l’utilisateur :

• Confirmer la suppression,
• Choisir d’archiver ses données (avec conditions),
• Ou redonner son consentement à la conservation.
  

Cette approche rassure, engage et évite les litiges.

‍

Privilégiez une communication claire, sans jargon

Évitez les messages techniques ou flous. Vos utilisateurs veulent comprendre ce que vous faites de leurs données, pas lire un extrait de règlement.

‍

Checklist d’un bon message RGPD :

• Simple et direct,
• Personnalisé si possible,
• Un délai clair avant suppression,
• Une possibilité d’action (garder/supprimer),
• Un lien vers votre politique de confidentialité mise à jour.
  

À faire aussi côté site / app

• Mettez à jour votre politique de confidentialité : indiquez votre durée de conservation des comptes dormants.
  
• Intégrez cette info dans les formulaires de création de compte.
  
• Mentionnez-la dans les CGU ou CGV, pour plus de clarté.
  

Études de cas : ceux qui ont bien (ou mal) géré l’inactif 

Parfois, un bon exemple vaut mieux qu’un long discours. Nous allons présenter trois situations pour illustrer les bonnes et mauvaises pratiques en matière de suppression des profils inertes.

‍

Le mauvais élève : Twitter France

En 2023, Twitter a été mis en demeure par la CNIL pour avoir conservé des comptes inactifs depuis plus de 5 ans… sans justification.
Problèmes identifiés :

• Des données conservées sans finalité,
• Pas d’info claire pour les utilisateurs,
• Une absence de suppression automatique.

Le résultat :

• Une base de données allégée,
• Un taux d’engagement augmenté (via les emails de rappel),
• Le respect des règles RGPD validé en audit interne.
  

Cas d’usage MO&JO : intégration via plugin CRM

Un client MO&JO, SaaS en forte croissance, a mis en place un module automatisé sur son CRM :

• La détection d’inactivité via date de dernière activité,
• L’archivage sécurisé des comptes dormants (>3 ans),
• Une génération automatique de rapports pour le DPO.
  

‍

Le point commun des bons élèves ?

Ils ont tous :

• Une politique claire,
• Des règles simples,
• Des outils adaptés,
• Et surtout : une culture de la donnée responsable.
  

Votre plan d'action RGPD en 5 étapes 

Vous avez lu jusqu’ici ? Bravo ! Maintenant, passons au concret : comment passer de la théorie à l’action ? Voici un plan d'action clair et réalisable, même si vous n'avez pas (encore) une équipe dédiée au RGPD.

Étape 1 – Définissez ce qu’est un compte inactif chez vous

Pas de règle magique. Posez vos critères :

• Une inactivité pendant 12, 24, ou 36 mois ?
• Plus de connexion ? Plus d’achats ? Plus de réponse aux emails ?
  

L’important, c’est que vous définissiez vos propres seuils, adaptés à votre activité… et que vous les documentiez.

Étape 2 – Mettez à jour votre politique de conservation

Vous devez pouvoir justifier la durée de vie de chaque type de donnée :

• Les données commerciales : 3 ans sans activité ?
• Les données légales : 10 ans ?
• Les données inutiles : suppression immédiate ?
  

‍

Étape 3 – Choisissez vos outils de suppression / archivage

Ne faites pas tout à la main. Intégrez :

• Des plugins ou modules adaptés à votre système (CRM, CMS, plateforme e-commerce),
• Ou des services SaaS RGPD qui automatisent la détection et la purge.
  

Objectif : que la gestion des données personnelles soit prévue dès le départ, pas ajoutée à la volée. 

Étape 4 – Informez vos utilisateurs en toute transparence

Avant de supprimer quoi que ce soit, envoyez des emails clairs, rassurants et activables :

• "Vous êtes inactif depuis 2 ans, on va bientôt supprimer votre compte…”
• “Souhaitez-vous le conserver ? Cliquez ici.”
  

Montrez que vous êtes RGPD-friendly et respectueux de vos utilisateurs.

Étape 5 – Suivez, tracez, ajustez

Mettez en place un suivi :

• Qui a été supprimé ?
• Quand ?
• Par quel process ?
  

Et surtout : ajustez votre politique si vous voyez que certains seuils ne sont pas adaptés ou que les utilisateurs réagissent peu.

‍

Pensez à documenter chaque étape : c’est votre meilleure défense en cas de contrôle.

Le mot de la fin 

Les comptes sans activités récentes, ce ne sont pas juste des lignes oubliées dans votre base de données.

‍

Ce sont des risques dormants, des obligations légales… mais aussi une opportunité de faire le ménage, de renforcer la sécurité, et de montrer que votre entreprise respecte vraiment les données personnelles.

‍

Le RGPD n'est pas là pour complexifier votre quotidien, mais pour garantir un cadre sain et équilibré. Et avec une politique claire, des outils adaptés, et un bon process de communication, vous avez tout en main pour rester conforme sans vous compliquer la vie.

‍

Besoin de faire le ménage dans vos bases sans pénaliser vos campagnes ?
Contactez MO&JO pour structurer votre stratégie d’emailing RGPD-proof, efficace et orientée conversion.

‍