La première étape consiste à identifier toutes les données personnelles que vous traitez. Vous devez savoir quelles données vous collectez, comment vous les utilisez, qui y a accès et combien de temps vous les conservez. Pour cette étape, vous pouvez utiliser le registre des traitements de données personnelles que vous avez établi pour être en conformité avec le RGPD.

La deuxième étape consiste à déterminer les finalités pour lesquelles vous collectez et traitez les données. Il est important de définir les objectifs spécifiques de chaque traitement de données pour savoir combien de temps vous avez besoin de les conserver. Par exemple, si vous collectez des données pour une campagne marketing, vous devrez les conserver pendant une période déterminée, après quoi elles ne seront plus utiles.

La troisième étape consiste à vérifier si vous avez des obligations légales qui vous obligent à conserver certaines données pendant une période déterminée. Par exemple, certaines lois fiscales ou comptables imposent des obligations de conservation des documents pendant plusieurs années. Il est important de prendre en compte ces obligations légales dans votre plan de conservation des données.

La quatrième étape consiste à évaluer les risques liés à la conservation des données. Les risques peuvent inclure la violation de la vie privée, la perte de données, le vol de données ou encore le non-respect des obligations légales. En évaluant les risques, vous pourrez déterminer la durée de conservation appropriée pour minimiser ces risques.