Les données à caractère personnel doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées« .
Article 5-1, e) du RGPD
Mauvaises pratiques en matière de durées de conservation
❌ Conservation excessive des données
❌ Absence de politique de durée de conservation des données
❌ Conservation systématique et sans distinction de toutes les données des comptes clients dix ans
❌ Absence de définition des durées de conservation pertinentes, proportionnée à la finalité du traitement
❌ Absence de suppression des données lorsque la durée de conservation est atteinte
❌ Absence de mention de durée de conservation sur le registre des activités de traitements
❌ Absence de suppression des comptes inactifs au bout de deux ans (sauf si l’utilisateur exprime le souhait de maintenir son compte actif)
Références
CNIL, Délibération SAN-2024-002 du 31 janvier 2024
CNIL, Délibération SAN-2022-020 du 10 novembre 2022
Contact: Me Marine de la Clergerie (contact@mdc-avocat.fr, www.mdc-avocat, Consultation, LinkedIn), Avocat au Barreau de Toulouse, spécialiste en Droit du numérique et des communications, avec la qualification spécifique Droit des données à caractère personnel et DPO certifié (VERITAS), accompagne régulièrement ses clients pour des audit RGPD, lors des contrôles de la CNIL, en tant que DPO externe.
