Bonjour Pierre,
Aucune durée de conservation minimale ou maximale concernant les e-mails n’est précisée dans le RGPD. Il faut donc se tourner vers les grands principes posés par ce texte.
Ainsi, le principe le plus important ici à respecter sera celui de conservation limitée des données. Dès lors que la finalité pour laquelle elles ont été collectées est atteinte, les données doivent être archivées, supprimées ou anonymisées. Elles doivent quitter la base active de l’entreprise.
Un exemple de données devant être supprimées pourrait être la boîte mail de l’employé quittant l’entreprise. L’employeur aura l’obligation de supprimer son adresse électronique nominative dès son départ, après l’avoir averti de la date de fermeture de la messagerie afin qu’il puisse transférer ses messages privés vers une autre messagerie.
Les données peuvent également être déplacées vers un espace qui permettra de les traiter à des fins d'archivage. Il faudra alors prendre des mesures de sécurité spécifiques pour garantir leur protection. Ces mesures peuvent se trouver dans la mise en place d’un environnement sécurisé et cloisonné par rapport à la base active.
Il faudra toutefois toujours vérifier pour quelle(s) finalité(s) les mails ont été archivés plutôt que supprimés. Ces obligations peuvent être de nature légale ou règlementaire, ou la conservation être nécessaire pour l’exercice d’une action en justice par exemple.
L’archivage sera alors limité à la réalisation de ces objectifs, et les seules données utiles au respect de l’obligation ou à l’exercice du droit devront être archivées.
En espérant vous avoir aidé, bonne journée.
