Réponse
Les données doivent être conservées pendant le plus court délai possible. Cette période devrait bien sûr tenir compte des raisons pour lesquelles votre entreprise/organisation doit traiter les données ainsi que des obligations juridiques qui vous imposent de garder les données pendant une période déterminée (par exemple lois nationales relatives au travail, à la fiscalité ou à la lutte contre la fraude qui exigent que vous conserviez les données à caractère personnel concernant vos employés pendant une durée déterminée, la durée de garantie d’un produit, etc.).
Votre entreprise/organisation devrait fixer des délais pour effacer ou examiner les données conservées.
Exceptionnellement, les données à caractère personnel peuvent être conservées plus longtemps à des fins archivistiques dans l’intérêt public ou à des fins de recherche scientifique ou historique, à condition que des mesures techniques et organisationnelles appropriées soient mises en place (telles que l’anonymisation, le chiffrement, etc.).
Votre entreprise/organisation doit également s'assurer que les données qu'elle détient sont exactes et tenues à jour.
Exemple
Données conservées trop longtemps sans mise à jour
Votre entreprise/organisation gère un bureau de recrutement et, à cette fin, elle collecte les CV de personnes à la recherche d’un emploi qui, en échange de ses services intermédiaires, lui versent une commission. Vous prévoyez de conserver les données pendant 20 ans et vous ne prenez aucune mesure pour mettre à jour les CV. La période de conservation ne semble pas adaptée à la finalité de trouver un emploi pour une personne à court et moyen terme. De plus, le fait que vous ne demandiez pas de mises à jour des CV à intervalles réguliers rend, après un certain temps, certaines recherches inutiles pour la personne à la recherche d’un emploi (par exemple parce que cette personne a acquis de nouvelles qualifications).
Références
Example
Data kept for too long without an update
Your company/organisation runs a recruitment office and for that purpose it collects CVs of persons seeking employment and who, in exchange for your intermediary services, pay you a fee. You plan to keep the data for 20 years and you take no measures for updating the CVs. The storage period doesn’t seem proportionate to the purpose of finding employment for a person in the short to medium term. Moreover, the fact you don’t request updates to CVs at regular intervals renders some of the searches useless for the person seeking employment after a certain amount of time (for instance because that person has gained new qualifications).