Réponse

Les données doivent être conservées pendant le plus court délai possible. Cette période devrait bien sûr tenir compte des raisons pour lesquelles votre entreprise/organisation doit traiter les données ainsi que des obligations juridiques qui vous imposent de garder les données pendant une période déterminée (par exemple lois nationales relatives au travail, à la fiscalité ou à la lutte contre la fraude qui exigent que vous conserviez les données à caractère personnel concernant vos employés pendant une durée déterminée, la durée de garantie d’un produit, etc.).

Votre entreprise/organisation devrait fixer des délais pour effacer ou examiner les données conservées.

Exceptionnellement, les données à caractère personnel peuvent être conservées plus longtemps à des fins archivistiques dans l’intérêt public ou à des fins de recherche scientifique ou historique, à condition que des mesures techniques et organisationnelles appropriées soient mises en place (telles que l’anonymisation, le chiffrement, etc.).

Votre entreprise/organisation doit également s'assurer que les données qu'elle détient sont exactes et tenues à jour.

Exemple

Données conservées trop longtemps sans mise à jour

Votre entreprise/organisation gère un bureau de recrutement et, à cette fin, elle collecte les CV de personnes à la recherche d’un emploi qui, en échange de ses services intermédiaires, lui versent une commission. Vous prévoyez de conserver les données pendant 20 ans et vous ne prenez aucune mesure pour mettre à jour les CV. La période de conservation ne semble pas adaptée à la finalité de trouver un emploi pour une personne à court et moyen terme. De plus, le fait que vous ne demandiez pas de mises à jour des CV à intervalles réguliers rend, après un certain temps, certaines recherches inutiles pour la personne à la recherche d’un emploi (par exemple parce que cette personne a acquis de nouvelles qualifications).

Références

  • Article 5, paragraphe 1, point e) et considérant 39) du RGPD