Le RGPD stipule que les données personnelles ne doivent jamais être conservées plus longtemps que strictement nécessaire pour atteindre l’objectif commercial défini. C’est bien sûr une bonne chose pour garantir la confidentialité de chacun, car les données supprimées ne peuvent plus être (mal) utilisées, exposées, piratées, etc.
Ainsi, dans votre politique de confidentialité, vous devez spécifier une période de conservation des données pour chacune des activités de traitement, en tenant compte de la nature du traitement, de son objectif commercial et de vos obligations légales, y compris toute action en justice. Quelques exemples:
- La législation de la plupart des pays membres de l’UE stipule que les documents comptables (par exemple les factures) doivent être conservés pendant une période de 7 ans. La période de conservation est donc de 7 ans ou plus si une action en justice est en cours.
- Après avoir interrogé les candidats à un poste, il convient de supprimer les données personnelles de ces candidats qui ne sont pas conservées, à moins que vous n’obteniez le consentement du candidat pour rester dans le dossier pendant une période spécifique afin d’être considéré pour un futur poste.
- Lors de la résiliation d’un contrat avec un employé, les données ne doivent être conservées que pendant la durée prescrite par le droit du travail local et toute action en justice potentielle est en cours.
Notez également que le RGPD exige qu’un contrôle d’accès approprié soit en place à tout moment. Lorsqu’un fichier de données personnelles ne serait plus pertinent pour le quotidien, par ex. un salarié a quitté l’entreprise, le dossier doit être archivé et le contrôle d’accès doit changer pour que moins de personnes y aient accès, car cela est approprié avec sa nouvelle pertinence pour l’entreprise.
