Durée maximale recommandée pour la conservation des données
Selon les recommandations de la CNIL, les données des clients inactifs doivent être supprimées ou anonymisées après une période d’inactivité définie. Généralement, cette période est fixée à 3 ans après le dernier contact ou la dernière interaction avec le client (exemple : achat, connexion au compte, réponse à une sollicitation).
Principe de limitation de la conservation des données personnelles
Le RGPD impose que les données personnelles soient conservées uniquement pour une durée nécessaire à la finalité pour laquelle elles ont été collectées (article 5(1)(e) du RGPD). Une conservation indéfinie est contraire à ce principe.
Exceptions possibles à la durée de conservation
Certaines données peuvent être conservées plus longtemps si cela est justifié par une obligation légale (par exemple, conservation des factures pendant 10 ans à des fins fiscales) ou pour l’exercice ou la défense de droits en justice.
Obligations de l’entreprise concernant les données inactives
- Mettre en place une politique de gestion des données définissant les durées de conservation.
- Informer les clients sur ces durées via une politique de confidentialité claire.
- Supprimer ou anonymiser les données des clients inactifs au-delà de la période définie.