Aller au contenu principal
EvoklyEvokly

Durée de conservation des photos RGPD : guide 2026

L'équipe Evokly··11 min de lecture

Combien de temps a-t-on le droit de conserver les photos d'un mariage, d'un séminaire d'entreprise ou d'une conférence ? La question revient à chaque événement, et la réponse n'est ni "à vie" ni "le moins longtemps possible". Le RGPD impose un principe clair — la durée doit être proportionnée à la finalité — mais laisse à chaque responsable de traitement le soin de la fixer. Ce guide donne des repères concrets, par type d'événement, sans jargon juridique inutile.

Le principe RGPD de minimisation de la conservation

L'article 5.1.e du RGPD pose la règle dite de "limitation de la conservation" : les données personnelles ne peuvent être conservées que pendant la durée nécessaire à la finalité pour laquelle elles ont été collectées. Une photo est une donnée personnelle dès lors qu'une personne identifiable y figure — visage reconnaissable, plaque d'immatriculation, badge nominatif lisible.

Concrètement, cela signifie deux choses. D'abord, il faut définir explicitement la finalité avant la collecte : "souvenir personnel des mariés", "communication interne de l'entreprise", "promotion de l'édition suivante de la conférence". Ensuite, il faut fixer une durée cohérente avec cette finalité, et s'y tenir. Conserver indéfiniment "au cas où" est une infraction.

La CNIL distingue trois phases dans le cycle de vie d'une donnée : la durée d'utilisation active (la donnée sert à la finalité au quotidien), la durée d'archivage intermédiaire (la donnée est conservée pour répondre à une obligation légale ou contractuelle, mais n'est plus consultée librement), et la suppression définitive. Pour les photos d'événement, l'archivage intermédiaire est rarement justifié — on est généralement soit en utilisation active, soit en suppression.

Le bon réflexe : se poser la question "pourquoi je garde ces photos encore six mois ?" tous les six mois, et accepter de supprimer dès qu'il n'y a plus de raison documentée.

Les durées recommandées par cas d'usage

Il n'existe pas de durée légale unique pour les photos d'événement. Mais la pratique, croisée avec les recommandations de la CNIL, fait émerger des fourchettes raisonnables selon le contexte.

Photos de mariage (long terme — base juridique adaptée au couple)

Pour un mariage, la finalité est éminemment personnelle : conserver le souvenir d'un moment unique. La base juridique la plus solide est généralement le contrat (entre le couple et le prestataire photographe) ou l'intérêt légitime du couple quand ils gèrent eux-mêmes la galerie.

En pratique, les durées suivantes sont défendables :

  • Galerie partagée avec les invités : 6 à 18 mois après le mariage, le temps que chacun récupère ses photos. Au-delà, la finalité de partage est éteinte.
  • Archive personnelle des mariés : sans limite explicite, tant que les époux le souhaitent. Ce sont leurs propres données et leur propre finalité.
  • Sauvegarde chez le photographe pro : généralement 1 à 5 ans selon le contrat, pour permettre des retirages ou compléments d'album.

Le point d'attention concerne les invités qui apparaissent sur les photos. S'ils demandent le retrait d'une image les concernant (droit à l'effacement, voir plus bas), le responsable de la galerie doit l'exécuter dans un délai raisonnable, même si le couple n'est pas d'accord. Le droit individuel prime ici sur le souvenir collectif.

Photos de séminaire et team building (court à moyen — 1 à 3 ans)

En contexte professionnel interne, la finalité est généralement la communication interne ou la valorisation RH : newsletters, intranet, livret d'accueil des nouveaux arrivants, présentation aux clients. La CNIL considère qu'une durée de 1 à 3 ans est cohérente avec ce type d'usage.

Au-delà de 3 ans, les photos perdent leur pertinence opérationnelle : les visages ont changé, les locaux aussi, le message ne porte plus. Continuer à les conserver expose à un risque sans contrepartie. Pour un séminaire annuel, une règle simple : on conserve les photos jusqu'à l'édition N+2, puis on supprime celles de l'édition N.

Centraliser les photos d'un séminaire au même endroit, avec une date de collecte tracée et un mécanisme de suppression groupée, simplifie énormément l'application de cette règle. Les pratiques de partage par WhatsApp ou clés USB rendent la conformité quasi impossible — chaque participant détient sa propre copie, hors de tout contrôle. L'article Centraliser les photos d'un séminaire sans équipe IT détaille les options pour organiser cette centralisation simplement.

Un cas particulier : les salariés qui quittent l'entreprise gardent leur droit à l'effacement sur les photos où ils apparaissent. Une procédure de suppression doit rester accessible même après leur départ.

Photos de conférence publique (variable — selon cession de droits)

Pour une conférence ouverte au public, la situation se complique. Plusieurs catégories cohabitent : intervenants (souvent avec cession de droit à l'image signée), participants identifiables (généralement sur la base de l'intérêt légitime de l'organisateur ou du consentement), VIP et invités sensibles (cas par cas).

Pour les intervenants ayant signé une cession explicite, la durée peut être longue — 5 à 10 ans est fréquent pour des replays vidéo et galeries d'archives. Le contrat fait foi.

Pour les participants capturés dans des plans larges, la fourchette habituelle est de 2 à 5 ans, le temps de promouvoir les éditions suivantes. Au-delà, l'intérêt légitime devient ténu et la suppression s'impose.

Pour les invités sensibles (mineurs, personnalités politiques, personnes ayant explicitement demandé à ne pas être photographiées), il faut pouvoir identifier et retirer leurs images rapidement. C'est l'un des cas où la reconnaissance faciale, utilisée à des fins de gestion du droit à l'effacement, peut paradoxalement faciliter la conformité — en permettant de localiser toutes les photos d'une même personne en quelques secondes.

Galeries client de photographes professionnels (1 à 5 ans après livraison)

Pour un photographe professionnel, la galerie client est un livrable contractuel. La durée de conservation est généralement fixée par le contrat lui-même, et la fourchette classique est 1 à 5 ans après la livraison finale, pour permettre des retirages, des albums complémentaires ou des cessions de droits ponctuelles.

Au-delà de cette période, le photographe doit soit demander un renouvellement explicite du consentement, soit supprimer les originaux. La pratique consistant à conserver "ad vitam" les RAW de tous les anciens clients n'est plus défendable depuis l'entrée en vigueur du RGPD en 2018.

L'article Reconnaissance faciale et photographes : conformité RGPD détaille les obligations spécifiques aux photographes pros, notamment quand ils utilisent un outil de tri par visage pour livrer les galeries.

Un bon contrat client mentionne explicitement : la durée de conservation, la procédure de suppression à la fin de cette durée, et la possibilité pour le client de demander une copie d'archive avant suppression.

Le droit à l'effacement et son traitement opérationnel

L'article 17 du RGPD donne à toute personne identifiable sur une photo le droit de demander sa suppression — sans avoir à motiver sa demande dans la plupart des cas. C'est l'obligation la plus opérationnelle du règlement, et celle qui pose le plus de difficultés en pratique.

La demande peut prendre plusieurs formes : un email, un courrier, un message sur les réseaux sociaux, voire une demande orale lors de l'événement. Le responsable de traitement dispose d'un mois pour y répondre (article 12.3 du RGPD), prolongeable de deux mois en cas de demande complexe.

Trois questions opérationnelles se posent immédiatement :

Qui reçoit les demandes ? Une adresse email dédiée (par exemple rgpd@votredomaine.fr) doit être publiée sur la galerie, l'invitation, ou la page de l'événement. Sans point de contact identifiable, les demandes se perdent et le délai d'un mois explose.

Qui supprime techniquement ? L'organisateur de l'événement, le photographe, l'hébergeur de la galerie ? Le rôle doit être attribué avant l'événement, pas le jour où une demande arrive. Si l'outil de partage permet une suppression unitaire (par photo) ou par personne (via reconnaissance faciale), le traitement devient beaucoup plus rapide.

Comment vérifier que la suppression est complète ? Les photos peuvent avoir été téléchargées, partagées sur d'autres canaux, intégrées à des supports imprimés. Le responsable n'est pas tenu de chasser les copies hors de son périmètre de contrôle, mais doit pouvoir prouver qu'il a supprimé toutes les copies sous son contrôle. Conserver un log de suppression (date, demandeur, photos concernées) est une bonne pratique.

Pour les organisations qui traitent beaucoup d'événements, mettre en place un workflow de conformité documenté — incluant le droit à l'effacement — fait gagner un temps considérable. La page Conformité Evokly détaille les fonctionnalités intégrées qui automatisent une partie de ces obligations.

Documentation à produire

Le RGPD ne se résume pas à des durées : il impose aussi de documenter ses pratiques. Trois documents minimum sont à produire et à tenir à jour.

Le registre de traitement (article 30 du RGPD). Obligatoire pour les organisations de plus de 250 salariés et fortement recommandé en dessous, il liste tous les traitements de données personnelles avec leur finalité, leur base juridique, les catégories de personnes concernées et la durée de conservation. Pour un événement, une ligne suffit : "Photos du séminaire 2026 — finalité : communication interne — durée : 24 mois — base : intérêt légitime — responsable : DRH".

Les mentions au moment du consentement ou de la collecte. Quand les participants scannent un QR code pour accéder à la galerie partagée, une mention courte doit leur indiquer : qui collecte les photos, dans quel but, combien de temps elles seront conservées, comment exercer leurs droits. Une phrase de 2 lignes en bas de la page de la galerie suffit dans la plupart des cas.

La durée explicite dans le contrat client (pour les photographes et agences). Le contrat doit mentionner la durée de conservation des fichiers source, la durée de mise à disposition de la galerie de livraison, et la procédure de suppression à l'échéance. C'est aussi une protection pour le prestataire : sans clause explicite, c'est lui qui porte la charge de prouver le respect du RGPD.

Ces documents n'ont pas besoin d'être longs. Ils doivent être à jour et cohérents avec ce qui se passe réellement. Une politique qui annonce "12 mois de conservation" mais dont les photos sont encore en ligne 3 ans plus tard est plus dangereuse que pas de politique du tout.

Sanctions encourues en cas de non-respect

Les sanctions RGPD font régulièrement la une, mais la réalité opérationnelle est plus nuancée. La CNIL privilégie largement la mise en demeure et l'accompagnement avant la sanction financière, surtout pour les organisations de bonne foi.

Le plafond théorique des sanctions est élevé : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel, selon le montant le plus élevé (article 83 du RGPD). En pratique, les sanctions effectives prononcées par la CNIL en matière de photos d'événement et de conservation sont plus modestes, mais publiques — ce qui crée un effet réputationnel souvent plus douloureux que l'amende.

Dans une décision publique de 2023, la CNIL a sanctionné une entreprise du secteur du recrutement pour avoir conservé pendant plus de 5 ans des photos de candidats sans base juridique actualisée, et sans procédure d'effacement opérationnelle. Le montant — plusieurs dizaines de milliers d'euros — était proportionné, mais la communication associée a eu un impact RH durable.

En 2024, une décision similaire a visé une plateforme événementielle qui ne répondait pas aux demandes d'effacement dans les délais légaux. Le manquement était procédural autant que conservatoire : pas d'adresse de contact dédiée, pas de log des demandes, pas de preuve d'exécution. Le message de la CNIL est constant — ce ne sont pas les durées en soi qui posent problème, c'est l'absence de processus documenté autour.

Pour la grande majorité des organisateurs, le risque réel n'est pas une amende massive mais une plainte d'un participant mécontent, traitée publiquement par la CNIL. C'est suffisant pour justifier l'investissement dans une politique claire.

FAQ

Combien de temps peut-on garder les photos d'un événement professionnel ?

La durée habituelle est de 1 à 3 ans pour un séminaire ou un événement interne, et de 2 à 5 ans pour une conférence publique. Au-delà, la finalité de communication s'éteint et la conservation devient difficilement justifiable. Le critère légal n'est pas une durée fixe mais la proportionnalité à la finalité documentée.

Faut-il le consentement écrit de chaque personne photographiée ?

Pas systématiquement. Le consentement est l'une des bases juridiques possibles, mais l'intérêt légitime de l'organisateur peut aussi suffire pour des photos d'ambiance en événement professionnel. En revanche, une mention d'information visible (panneau à l'entrée, mention sur l'invitation) est obligatoire, ainsi qu'une procédure pour exercer le droit d'opposition ou d'effacement.

Que faire si quelqu'un demande la suppression de sa photo ?

Vous avez un mois pour traiter la demande (article 12 du RGPD), prolongeable à trois mois en cas de complexité. Identifiez les photos concernées, supprimez-les de tous les supports sous votre contrôle, et confirmez par écrit l'exécution au demandeur. Conservez un log de la suppression pour pouvoir prouver le traitement en cas de contrôle.

Le droit à l'image et le RGPD, c'est la même chose ?

Non, ce sont deux régimes juridiques distincts qui s'appliquent en parallèle. Le droit à l'image relève du droit civil français (article 9 du Code civil) et protège l'usage de l'image d'une personne identifiable. Le RGPD est un règlement européen sur les données personnelles. Une photo peut être conforme au droit à l'image (cession signée) tout en violant le RGPD (durée non documentée), et inversement.

Faut-il déclarer la collecte de photos à la CNIL ?

Non, la déclaration préalable n'existe plus depuis l'entrée en vigueur du RGPD en 2018. Vous devez en revanche tenir un registre de traitement en interne, accessible sur demande en cas de contrôle. Pour les traitements à risque élevé (reconnaissance faciale à grande échelle, par exemple), une analyse d'impact sur la protection des données (AIPD) peut être requise.

Les photos prises lors d'un événement privé sont-elles concernées par le RGPD ?

Pour un usage strictement personnel et familial (l'exception domestique de l'article 2.2.c du RGPD), non. Un parent qui photographie un anniversaire et garde les photos pour lui n'est pas soumis au RGPD. Dès qu'il y a partage organisé avec des tiers (galerie en ligne, diffusion sur les réseaux sociaux, transmission à un prestataire), le RGPD s'applique pleinement.

La conformité RGPD sur les photos d'événement n'est ni mystique ni impossible. Elle repose sur trois actions concrètes : définir une durée cohérente avec la finalité, documenter cette durée dans un registre simple, et organiser le droit à l'effacement avec un point de contact identifiable. La plupart des outils modernes d'événementiel intègrent désormais ces obligations par défaut.

Consultez les tarifs pour voir les plans Evokly qui incluent la galerie partagée, la suppression unitaire et le workflow de droit à l'effacement.

Prêt à essayer Evokly ?

Tous les plans, sans engagement, à partir du forfait gratuit.

Articles du même thème

Guides généraux
·11 min de lecture

QR code événement 2026 : le guide complet

Lire l'article →

Prêt à essayer Evokly ?

Tous les plans, sans engagement, à partir du forfait gratuit.