Le RGPD ne précise pas de durée légale, la durée de conservation doit être adaptée à l'objectif du traitement (la finalité).
Pour vous aider, il existe des usages et des obligations légales (liées au Code du Commerce ou du Travail), comme :
5 ans pour les données liées aux ressources humaines
3 ans pour les données liées aux prospects et clients
Comment calculer une durée de conservation
Il faut distinguer trois étapes dans la vie de la donnée :
La base active
Pour les données liées aux clients, elles sont exploitées dans cette base à partir du moment où la relation commerciale commence (un clic sur une newsletter, une commande, un appel). C'est le fait générateur
Du moment que le client est actif, le délai de conservation ne court pas. Mais dès que la relation commerciale entre vous et le client cesse, le début du délai de conservation démarre.
C'est à partir de cette date que la durée de conservation s'applique. Le compte à rebours démarre ...
La base archivée
A partir d'une certaine durée d'inactivité, vos services doivent sortir les données de la base active, le dossier est "clos", mais vous avez encore un intérêt à conserver les données pour des objectifs administratifs, pour une obligation légale ou en prévision d'un éventuel contentieux.
Toutefois, les données archivées doivent répondre à quelques exigences :
- Sécurité : Un niveau de sécurité approprié au regard des risques et de la nature des données.
- Disponibilité : Pour répondre aux demandes de droit d'accès des personnes concernées.
- Confidentialité : Les données ne sont plus facilement accessibles dans l’environnement de travail immédiat pour les services opérationnels qui sont en charge du traitement (ex : le service commercial).
La fin de vie de la donnée personnelle
A l'issue de la période en base archivée, vous devrez soit détruire les données soit les anonymiser (on conserve une fiche client anonyme mais on ne peut plus identifier la personne).
Pour plus d’informations je vous conseille de lire le dossier réalisé par la Cnil sur les durées de conservation des données
https://www.cnil.fr/fr/les-durees-de-conservation-des-donnees