Nettoyer l'archive e-mail : du quota de boîte mail à la conformité RGPD
Une boîte mail professionnelle moyenne aux Pays-Bas contient, au bout de cinq ans, entre 50 000 et 250 000 e-mails, pour un stockage de 5 à 25 Go. Pour l'entreprise, c'est un trésor de correspondance et de contrats. Pour l'informatique, c'est un problème de quota. Pour la conformité, c'est une bombe à retardement RGPD. Cet article décrit comment organiser un nettoyage de l'archive e-mail professionnelle sans perdre de savoir métier ni dépasser les délais de conservation.
Trois forces qui réclament un nettoyage
- Le quota. Serveurs de messagerie avec licences de capacité, plateformes cloud avec 50/100 Go par utilisateur, coûts de stockage dans les environnements cloud qui croissent avec le nombre d'e-mails.
- La limitation de conservation RGPD. Données personnelles de clients et de candidats dans le corps des e-mails et les pièces jointes. Selon l'art. 5 du RGPD, elles ne peuvent pas être conservées plus longtemps que nécessaire.
- La rapidité et la recherche. Une archive de 250 000 messages est pratiquement inutilisable pour la recherche.
Délais de conservation pour l'e-mail
L'e-mail n'est pas une catégorie à part dans le RGPD. Le délai de conservation suit le contenu :
- Correspondance clients sans intérêt fiscal : 2 à 3 ans après le dernier contact.
- E-mails liés à un contrat : 7 ans après la fin de l'accord (fiscal).
- Correspondance RH et candidatures : 4 semaines (candidat rejeté) à 7 ans (après la fin du contrat de travail).
- Correspondance de réclamation : 2 ans après résolution.
- Listes marketing/newsletter : jusqu'à la désinscription plus 30 jours.
Pour l'aperçu complet, voyez la checklist des délais de conservation RGPD.
Une stratégie de nettoyage en quatre étapes
Étape 1 : inventaire
- Combien de boîtes mail, quel volume total.
- Quelle quantité de données les plus anciennes (par trimestre sur les 5 à 7 ans les plus anciens).
- Présence d'anciens salariés avec des boîtes mail encore actives.
Étape 2 : définir la politique
- Délai de conservation standard par catégorie (déduit du contenu).
- Archivage automatique vers PST ou système de journalisation pour les catégories à délais fiscaux.
- Suppression automatique après le délai de conservation pour le reste.
- Procédure pour les demandes de « droit à l'oubli ».
Étape 3 : mise en œuvre
- Dans Microsoft 365 : règles de conservation via le Compliance Center.
- Dans Google Workspace : règles de conservation Vault.
- Dans Exchange sur site : politiques de messaging records management.
- Par règle : portée, catégorie, délai, action (conserver ou supprimer).
Étape 4 : communication
- E-mail au personnel avec date, politique et conséquences.
- Exception personnelle pour ceux qui peuvent démontrer que d'anciens e-mails sont encore nécessaires.
- Moment de décision par la direction en cas de doute.
La plus grosse erreur : vider sans politique. Un « jetons les e-mails de plus de 5 ans » spontané n'est pas un plan conforme au RGPD, c'est une fuite de données en puissance.
Et les anciens salariés ?
Les boîtes mail des personnes parties sont souvent une lacune dans la politique. Règles empiriques RGPD :
- Boîte mail personnelle : plus accessible, conservation limitée aux raisons légales.
- E-mail professionnel à leur nom : 90 jours de redirection ou accès via partage de licence.
- Correspondance clients : archivez dans le CRM ou un système d'équipe partagé, puis fermez la boîte mail.
- Délai de conservation du stockage de boîte mail après le départ : 6 mois à 1 an, puis supprimer.
Suppression locale contre cloud
Une suppression dans le cloud n'est pas la même chose qu'une destruction physique. Lisez notre article vraiment supprimer des données cloud pour les détails. Pour la plupart des organisations, l'effacement cryptographique dans le cloud suffit aux fins du RGPD, à condition que le fournisseur dispose de processus de suppression démontrables.
Ce qui exige bien une destruction physique : les fichiers PST locaux sur clés USB ou ordinateurs portables, les sauvegardes sur site sur bande ou disque dur. Pour ceux-ci :
- Clés USB avec PST : lisez éliminer des clés USB.
- Bandes de sauvegarde : lisez bandes de sauvegarde et nettoyage LTO.
- Anciens disques durs avec archive e-mail : DIN H-4 ou H-5.
Archivage automatique contre nettoyage actif
Deux modèles :
Archivage automatique
Les e-mails de plus de X mois passent automatiquement dans un dossier « archive », et finalement vers un système de stockage froid. Bon pour le quota de boîte mail, mais cela prolonge le délai de conservation effectif à moins qu'une politique de suppression ne soit aussi active.
Nettoyage actif
Chaque trimestre ou année, le segment le plus ancien est examiné puis (selon la règle de politique) supprimé ou conservé. Cela demande une intervention humaine et offre une meilleure conformité RGPD.
La plupart des organisations combinent. Archivage automatique pour la capacité, revue annuelle pour la conformité.
Points d'attention spécifiques
- Pièces jointes avec données personnelles. Fichiers Excel avec listes de clients, contrats PDF avec numéro de sécurité sociale, CV de candidats. Inventoriez ce flux à part.
- Dossiers et règles personnels. Le personnel crée ses propres structures de boîte mail qui ont parfois 10 ans.
- Éléments envoyés. Des données personnelles ici aussi. Pas seulement la boîte de réception.
- Boîtes mail partagées. info@, support@, hr@. Leur propre politique de conservation.
- Liens OneDrive/SharePoint. Les pièces jointes dans les e-mails renvoient souvent vers des fichiers partagés. Pour la suppression cloud, voyez vraiment supprimer des données cloud.
Documentation
Pour la preuve RGPD, il vous faut :
- La politique de conservation consignée par écrit.
- Des preuves de mise en œuvre (captures d'écran du Compliance Center / Vault).
- Un journal des suppressions exécutées (automatiques ou manuelles).
- Une mise à jour du registre des traitements.
Messagerie cloud nettoyée, sauvegardes sur site détruites.
Nous détruisons les copies physiques que la suppression cloud n'emporte pas. Clés USB, bandes, anciens disques durs avec archive e-mail.
En savoir plus pour les MSP informatiquesVotre organisation travaille sur sa politique de conservation des e-mails ? Écrivez-nous via desnipperaar.nl au sujet du volet physique du nettoyage.