Beaucoup de PME conservent leurs justificatifs « par sécurité » sans connaître la règle exacte. Résultat : du stockage inutile, ou pire, des destructions trop précoces qui exposent à des sanctions. Voici le tableau clair par texte de loi.
La règle courte (TL;DR)
Conservez 10 ans par défaut. C'est la durée la plus longue, et un stockage objet coûte aujourd'hui une fraction de centime par mois et par giga-octet.
Le détail par texte de loi
- Code de commerce — 10 ans (art. L.123-22) : pièces comptables et livres comptables.
- Livre des procédures fiscales — 6 ans (art. L.102 B) : durée minimale pour les justificatifs en cas de contrôle fiscal.
- URSSAF — 3 ans (5 en cas de fraude) : prescription des cotisations sociales.
- RGPD — durée nécessaire à la finalité : les données personnelles ne doivent pas être conservées au-delà du strict nécessaire.
Tension RGPD vs comptabilité
Le RGPD impose de purger ce qui n'est plus utile, mais la comptabilité oblige à conserver. La résolution se trouve dans la finalité : les données financières (montant, date, fournisseur, TVA) doivent rester 10 ans ; les données personnelles non strictement nécessaires (commentaires, identité fine du déclarant après son départ de l'entreprise) peuvent être pseudonymisées plus tôt.
NDFraisy applique la règle automatiquement
Conservation 10 ans par défaut, anonymisation des comptes archivés à la demande.
Quel format pour archiver ?
Les bonnes pratiques (et exigences URSSAF) imposent un format ouvert et pérenne :
- PDF/A pour les documents finalisés (norme ISO 19005)
- JPEG ou PNG pour les images de tickets, à 200 dpi minimum
- Métadonnées de traçabilité (hash SHA-256, horodatage qualifié)
- Stockage redondé (au moins 2 zones de disponibilité)
Quand détruire ?
Une fois la durée légale dépassée, vous pouvez détruire — à condition que la destruction soit traçable. Conservez un journal des purges (date, périmètre, opérateur) pendant 1 an.
Check-list
- Définir une politique de conservation écrite (10 ans recommandé).
- Vérifier que votre solution stocke en France ou UE pour le RGPD.
- S'assurer que l'export sortant est possible (format CSV ou ZIP) en cas de changement d'outil.
- Documenter les destructions dans un journal d'audit.