La Commission nationale de l’informatique et des libertés (CNIL) a publié le 2 avril 2026 un référentiel dédié aux durées de conservation des données personnelles traitées dans le cadre de la gestion des ressources humaines (RH). Cet outil opérationnel vise à guider les employeurs publics et privés soumis au droit du travail français dans l’application du principe de limitation des conservations prévu par l’article 5-1-e) du RGPD. Élaboré en concertation avec des réseaux professionnels et associations sectorielles, ce document distingue durées obligatoires (issues du Code du travail ou de la sécurité sociale) et durées recommandées par la CNIL, facilitant ainsi la conformité des traitements RH.

Contenu et portée du référentiel

Le référentiel couvre les traitements RH les plus courants : recrutement, gestion administrative du personnel, paie et rémunérations, sécurisation des biens et personnes, gestion des véhicules professionnels, enregistrement des conversations téléphoniques, relations collectives de travail, accidents du travail, contentieux et alertes professionnelles. Il ne s’applique pas aux dossiers individuels des agents publics, régis par l’arrêté du 21 décembre 2012. Les durées sont exprimées en mois pour coller aux textes légaux, mais convertibles en jours pour les logiciels SIRH. L’objectif est de simplifier l’identification de durées pertinentes, tout en rappelant l’obligation de vérifier les textes de référence pour chaque situation spécifique. Certaines durées coexistent selon le contexte, comme pour les bulletins de paie.

Durées clés par domaine RH

Recrutement

Pour les candidats retenus, conservation pendant la procédure puis transfert vers la gestion du personnel. Candidats non retenus : jusqu’à 5 ans à titre probatoire contre les discriminations (à compter du pourvoi au poste). CV-thèques : recommandation CNIL de 2 ans maximum après le dernier contact, sous réserve d’information et accord du candidat.

Paie et gestion administrative

Bulletins de paie obligatoirement conservés 5 ans (papier ou électronique) ; en dématérialisation, disponibilité 50 ans ou jusqu’à l’âge de la retraite + 6 ans. Justificatifs de cotisations sociales : 3 ans pour contrôles URSSAF. Contrôle du temps de travail : 1 an (période de référence inspection du travail) ; suivi forfait-jours : 3 ans (art. D.3171-16 Code du travail). Sanctions disciplinaires : 3 ans maximum (art. L.1332-5).

Sécurité et accès

Logs de connexion : 6 mois à 1 an (délibération CNIL 2021-122). Données de vidéosurveillance : 30 jours maximum, sauf incident. Gestion des alertes (whistleblowing) et accidents du travail suit des durées probatoires spécifiques (5 ans souvent).

Caractère non obligatoire et bonnes pratiques

Droit souple, ce référentiel n’impose pas ses recommandations, mais ses durées obligatoires s’imposent (ex. : Code du travail). Il interdit les conservations « par précaution » excessives, au nom de la limitation aux finalités du traitement et de l’archivage intermédiaire justifié (probatoire ou légal). Les DPO, services RH et DSI y voient un appui précieux pour réviser politiques d’archivage, purges automatisées, habilitations d’accès et traçabilité. Il sécurise en cas de contrôle CNIL ou contentieux, en alignant pratiques sur RGPD et droit social. Mise à jour régulière prévue pour intégrer évolutions réglementaires.

Enjeux pour les employeurs

À l’heure d’avril 2026, ce référentiel répond à un besoin criant en LegalTech RH : uniformiser les durées dans les SIRH, éviter surconservations sanctionnables (amendes RGPD jusqu’à 20 M€ ou 4% CA) et optimiser coûts de stockage. Pour les PME et startups comme celles du secteur LegalTech, il simplifie la conformité RGPD lors de déploiements SaaS RH. Il s’inscrit dans la lignée des référentiels CNIL précédents (vidéosurveillance, cookies) et complète les guides pratiques sur la sécurité des données. Une adoption rapide est recommandée pour auditer existants et paramétrer outils numériques.

Source: CNIL