Mis à jour le 29 mars 2026

Fermer son entreprise : que faire des donnees informatiques et obligations RGPD

Chaque annee, pres de 55 000 entreprises sont liquidees en France. Si les aspects juridiques et comptables de la fermeture sont generalement bien encadres, la gestion des donnees informatiques reste un angle mort pour la majorite des dirigeants. Pourtant, le RGPD impose des obligations strictes en matiere de conservation et de destruction des donnees personnelles, meme apres la cessation d’activite. Ignorer ces obligations peut entrainer des sanctions pouvant atteindre 20 millions d’euros.

Sommaire

Les obligations legales liees aux donnees lors d’une fermeture

La fermeture d’une entreprise ne met pas fin aux obligations en matiere de protection des donnees personnelles. Le RGPD continue de s’appliquer tant que des donnees personnelles existent, quel que soit le statut juridique de l’entreprise.

Ce que dit le RGPD

Le reglement europeen impose au responsable de traitement de garantir la securite des donnees personnelles jusqu’a leur suppression definitive. Cela signifie que meme pendant la periode de liquidation, vous devez maintenir les mesures de protection appropriees.

  • Les donnees personnelles doivent etre conservees uniquement le temps necessaire aux finalites pour lesquelles elles ont ete collectees
  • Les personnes concernees conservent leurs droits (acces, rectification, suppression) jusqu’a la destruction effective des donnees
  • Le responsable de traitement doit pouvoir justifier de la destruction securisee des donnees

Les obligations fiscales et comptables

Attention : certaines donnees doivent etre conservees bien au-dela de la fermeture. Les documents comptables doivent etre archives pendant 10 ans. Les factures et pieces justificatives pendant 6 ans. Ces obligations prevalent sur le droit a l’effacement du RGPD.

Point cle : La CNIL recommande de designer un referent donnees personnelles pendant toute la duree de la liquidation. Ce referent sera charge de repondre aux demandes d’exercice de droits et de superviser la destruction des donnees.

Realiser l’inventaire de toutes vos donnees

Avant toute operation de suppression, il est indispensable de dresser un inventaire exhaustif de toutes les donnees detenues par l’entreprise. Cette cartographie permettra d’identifier ce qui doit etre conserve, ce qui peut etre supprime et ce qui doit etre transfere.

Les categories de donnees a recenser

  • Donnees clients : fichiers clients, historiques de commandes, correspondances
  • Donnees salaries : dossiers du personnel, bulletins de paie, contrats de travail
  • Donnees fournisseurs : contrats, factures, coordonnees
  • Donnees comptables : ecritures, bilans, declarations fiscales
  • Donnees marketing : bases de prospection, newsletters, consentements
  • Donnees techniques : logs, sauvegardes, configurations

Les supports a ne pas oublier

Les donnees ne se trouvent pas uniquement sur les serveurs. Pensez a inventorier tous les supports :

  • Serveurs physiques et virtuels
  • Postes de travail et ordinateurs portables
  • Services cloud et SaaS (messagerie, CRM, stockage en ligne)
  • Telephones mobiles et tablettes
  • Cles USB et disques durs externes
  • Sauvegardes sur bande ou sur disque
  • Documents papier contenant des donnees personnelles

Durees de conservation et archivage obligatoire

Toutes les donnees ne peuvent pas etre supprimees immediatement. Certaines obligations legales imposent des durees de conservation minimales qu’il faut respecter, meme apres la fermeture.

10 ansConservation des documents comptables (Code de commerce)
6 ansConservation des factures et pieces fiscales
5 ansConservation des bulletins de paie et contrats de travail
3 ansPrescription pour les litiges commerciaux courants

Comment organiser l’archivage

Pour les donnees soumises a obligation de conservation, mettez en place un archivage securise. Les donnees archivees doivent etre stockees dans un environnement protege, avec un acces restreint aux seules personnes habilitees.

Privilegiez un archivage numerique certifie aupres d’un tiers de confiance. Ce type de service garantit l’integrite des documents et leur valeur probante pendant toute la duree de conservation requise.

Detruire les donnees de maniere securisee

La suppression simple d’un fichier ne suffit pas. Les donnees effacees de maniere classique peuvent etre recuperees avec des outils specialises. Pour garantir une destruction irrecuperable, il faut utiliser des methodes appropriees.

Methodes de destruction des donnees numeriques

  • Effacement securise : utilisation de logiciels certifies qui ecrasent les donnees plusieurs fois (norme DoD 5220.22-M)
  • Degaussage : demagnetisation des supports magnetiques (disques durs HDD)
  • Destruction physique : broyage des disques durs, SSD et supports amovibles
  • Suppression des comptes cloud : fermeture definitive des comptes SaaS apres export des donnees a conserver

Obtenir un certificat de destruction

Faites appel a un prestataire certifie pour la destruction des supports de donnees. Celui-ci doit vous remettre un certificat de destruction mentionnant la date, la methode utilisee et l’identification des supports detruits. Ce document constitue votre preuve de conformite en cas de controle.

Que faire du materiel informatique

Le materiel informatique de l’entreprise doit etre traite avec soin, tant pour des raisons de securite que pour des raisons environnementales. La reglementation DEEE (Dechets d’Equipements Electriques et Electroniques) encadre strictement la fin de vie du materiel.

Options pour le materiel

  • Revente : apres effacement securise certifie des donnees, le materiel en bon etat peut etre revendu
  • Don : a des associations ou ecoles, toujours apres effacement securise
  • Recyclage : via un eco-organisme agree pour les equipements en fin de vie
  • Destruction : pour les supports contenant des donnees sensibles impossibles a effacer

Dans tous les cas, ne jetez jamais du materiel informatique dans les ordures classiques. Outre l’obligation legale, cela represente un risque de fuite de donnees si les supports n’ont pas ete correctement effaces.

Les etapes chronologiques a suivre

La gestion des donnees informatiques lors d’une fermeture doit suivre un processus structure. Voici les etapes a respecter dans l’ordre :

  1. J-90 : Realiser l’inventaire complet des donnees et des supports
  2. J-60 : Identifier les obligations de conservation par categorie de donnees
  3. J-45 : Mettre en place l’archivage securise des donnees a conserver
  4. J-30 : Informer les personnes concernees (clients, salaries) de la suppression de leurs donnees
  5. J-15 : Repondre aux eventuelles demandes d’exercice de droits
  6. J-7 : Proceder a la destruction securisee des donnees non soumises a obligation de conservation
  7. Jour J : Fermer les comptes cloud et services en ligne
  8. J+7 : Traiter le materiel informatique (effacement, revente, recyclage)
  9. J+30 : Collecter et archiver les certificats de destruction

Point cle : Informez vos sous-traitants (hebergeur, prestataire IT, editeurs SaaS) de la fermeture de votre entreprise par courrier recommande. Demandez-leur par ecrit la confirmation de la suppression de vos donnees dans leurs systemes.

Questions frequentes
3 questions
Non. Certaines donnees sont soumises a des obligations legales de conservation : 10 ans pour les documents comptables, 5 ans pour les dossiers du personnel, 6 ans pour les factures. Seules les donnees non soumises a ces obligations peuvent etre supprimees immediatement, a condition de respecter les delais de reponse aux demandes d’exercice de droits des personnes concernees.
Le liquidateur designe par le tribunal ou les associes assume la responsabilite du traitement des donnees pendant la periode de liquidation. Apres la cloture de la liquidation, les donnees archivees doivent etre confiees a un tiers de confiance avec un mandat precis sur leur conservation et destruction a echeance.
Il n’existe pas d’obligation specifique d’informer la CNIL de la fermeture. Cependant, si vous aviez designe un DPO, il convient de mettre a jour cette information. De plus, si une violation de donnees survient pendant la liquidation, l’obligation de notification a la CNIL dans les 72 heures reste applicable.

Besoin d’accompagnement ?

Vous fermez votre entreprise et souhaitez gerer vos donnees informatiques en toute conformite ? Nos experts vous accompagnent dans l’inventaire, l’archivage et la destruction securisee de vos donnees.

Contactez nos experts

Services associés

Odyssix peut vous accompagner

Odyssix

Rédigé par l'équipe Odyssix

Experts IT, Cybersécurité & Digital depuis 2018

Odyssix accompagne les PME dans leur transformation numérique et la sécurisation de leur système d'information. Nos experts certifiés (CEH, OSCP, ISO 27001) partagent leur expérience terrain à travers nos articles de blog.

Besoin d'en savoir plus ?

Contactez nos experts pour une démonstration personnalisée.

Nous contacter