Combien de temps une entreprise ou une administration peut garder les données et doivent-elles être mises à jour?

Les données doivent être conservées pendant le plus court délai possible.

Le site de la commission Européenne a publié un article très intéressant sur le temps qu'une entreprise ou une administration peut garder les données personnelles que je vous fais découvrir ci-dessous.

Pour ceux voulant aller lire directement l'article sur leur site internet, voici le lien : https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/principles-gdpr_fr

Les données doivent être conservées pendant le plus court délai possible.

Cette période devrait bien sûr tenir compte des raisons pour lesquelles votre entreprise/organisation doit traiter les données ainsi que des obligations juridiques qui vous imposent de garder les données pendant une période déterminée (par exemple lois nationales relatives au travail, à la fiscalité ou à la lutte contre la fraude qui exigent que vous conserviez les données à caractère personnel concernant vos employés pendant une durée déterminée, la durée de garantie d’un produit, etc.).

Votre entreprise/organisation devrait fixer des délais pour effacer ou examiner les données conservées.

Exceptionnellement, les données à caractère personnel peuvent être conservées plus longtemps à des fins archivistiques dans l’intérêt public ou à des fins de recherche scientifique ou historique, à condition que des mesures techniques et organisationnelles appropriées soient mises en place (telles que l’anonymisation, le chiffrement, etc.).

Votre entreprise/organisation doit également s'assurer que les données qu'elle détient sont exactes et tenues à jour.

Voici un exemple portant sur la conservation des données personnelle

Données conservées trop longtemps sans mise à jour

Votre entreprise/organisation gère un bureau de recrutement et, à cette fin, elle collecte les CV de personnes à la recherche d’un emploi qui, en échange de ses services intermédiaires, lui versent une commission. Vous prévoyez de conserver les données pendant 20 ans et vous ne prenez aucune mesure pour mettre à jour les CV. La période de conservation ne semble pas adaptée à la finalité de trouver un emploi pour une personne à court et moyen terme. De plus, le fait que vous ne demandiez pas de mises à jour des CV à intervalles réguliers rend, après un certain temps, certaines recherches inutiles pour la personne à la recherche d’un emploi (par exemple parce que cette personne a acquis de nouvelles qualifications).

Références

  • Article 5, paragraphe 1, point e) et considérant 39) du RGPD

Divers articles sur la RGPD qui pourrait vous intéresser...


La protection des données : son réglement en Europe (RGPD) et son délégué (DPO)


Divers articles sur la RGPD qui pourrait vous intéresser...