Retention policies dans M365 : conserver ou supprimer, qui décide ?

Certaines données doivent être conservées (obligations fiscales), d'autres doivent être supprimées (GDPR). Les retention policies s'en chargent automatiquement — à condition de les configurer correctement.

Les retention policies dans Microsoft Purview déterminent combien de temps le contenu reste dans M365. Sans policies, tout est conservé indéfiniment — ce qui est généralement contraire au GDPR et coûteux en stockage.

Catégories de policies

• Retain : le contenu ne peut pas être supprimé, conservation pendant au moins X ans.
• Delete : le contenu est automatiquement supprimé après X ans.
• Retain then delete : conserver X ans, puis supprimer. La plus utilisée.

Exemples pour les PME

• E-mail : 7 ans retain then delete (conforme à l'obligation de conservation fiscale).
• Chat Teams : 2 ans retain then delete (conforme aux recommandations ISO/GDPR).
• Sites SharePoint pour les projets clients : 5 ans après la fin du projet.
• OneDrive d'un ex-collaborateur : 90 jours après l'offboarding (conforme à la règle des 30 jours + archivage).

Licence

La retention de base est incluse dans Business Premium. La version avancée (appliquée automatiquement via machine learning) nécessite E5. Pour les PME, la version de base est largement suffisante.

Risques

• Des policies de suppression trop agressives peuvent empêcher une mise en conservation légale (legal hold) en cas de litige.
• Des policies de conservation trop larges peuvent devenir un problème GDPR (conservation trop longue de données personnelles).
• Les policies nécessitent 1 à 7 jours pour s'activer à l'échelle du tenant — testez d'abord sur un périmètre restreint.

Voir aussi : durées de conservation du dossier du personnel, pilier conformité GDPR.