Données RH : la CNIL publie son référentiel des durées de conservation
Le 2 avril 2026, la CNIL a publié son premier référentiel sectoriel consacré aux durées de conservation des données à caractère personnel en matière de gestion des ressources humaines (CNIL, Référentiel — Les durées de conservation des données à caractère personnel applicables à la gestion des ressources humaines, 2 avril 2026). Le document couvre dix domaines de traitement et fixe deux clés de lecture : ce qui s’impose à l’employeur, ce que l’autorité recommande. Aucune obligation nouvelle n’est créée, mais plusieurs durées de référence sont actualisées et plus aucun écart ne pourra être improvisé.
Un référentiel d’autorité, pas un nouveau texte
Le référentiel n’a pas de portée normative directe. C’est un instrument de droit souple par lequel la CNIL consolide sa doctrine et l’oppose, en pratique, lors de ses contrôles. Il prolonge l’article 5, 1°, e) du RGPD (principe de limitation de la conservation), l’article 88 RGPD (traitements en contexte d’emploi) et la loi Informatique et Libertés du 6 janvier 1978.
Sa structure est lisible à l’œil. Le document affiche en bleu les durées rendues obligatoires par un texte — code du travail, code de la sécurité sociale, livre des procédures fiscales, code de commerce — et en gris les durées recommandées par la CNIL pour les situations non couvertes par la loi. L’employeur conserve la possibilité de s’écarter d’une durée recommandée, à condition de le justifier au titre du principe de responsabilité (art. 5, 2° RGPD).
Son périmètre est large : tous les organismes-employeurs, privés comme publics, dès lors que les personnels concernés relèvent du droit du travail. Les agents publics statutaires en sont exclus.
Dix domaines, dix horloges différentes
Le référentiel traite dix activités RH : recrutement, gestion administrative du personnel, gestion des rémunérations, sécurisation des biens et des personnes, gestion des véhicules professionnels, écoute et enregistrement des conversations téléphoniques, gestion des relations collectives de travail, gestion des accidents du travail, gestion du contentieux et gestion des alertes professionnelles. Pour chaque activité, plusieurs traitements sont distingués, et chacun se voit attribuer une durée propre selon la finalité poursuivie.
Quelques durées emblématiques structurent l’audit prioritaire.
À retenir — Candidatures non retenues : 5 ans en archivage intermédiaire à des fins probatoires, durée alignée sur la prescription de l’action en discrimination (art. L1134-5 CT). Bulletin de paie : 5 ans pour l’employeur (art. L3243-4 CT) ; en cas de remise sous forme électronique, mise à disposition pendant cinquante ans au moins ou jusqu’à la liquidation des droits à la retraite du salarié (art. D3243-8 CT). Registre unique du personnel : 5 ans à compter du départ du salarié (art. R1221-26 CT). Images de vidéosurveillance : un mois maximum. Données de contrôle d’accès et badges : trois mois maximum (recommandation CNIL).
Aucune de ces durées n’est inédite, mais leur juxtaposition rend visibles les SIRH mal paramétrés. Le contraste, fréquent, entre la durée configurée dans l’outil et la durée attendue par la CNIL est la première source de non-conformité. Le référentiel ne crée pas d’obligation nouvelle, mais il déplace la charge probatoire : à partir d’un texte public, opposable et structuré par activité, l’employeur qui s’écarte d’une durée doit désormais documenter sa décision avant que le contrôle ne la lui demande.
Base active, archivage intermédiaire, suppression
Le référentiel insiste sur un mécanisme que la plupart des PME ignorent : il n’existe pas une, mais trois temporalités successives pour une donnée RH. La donnée vit d’abord en base active tant qu’elle sert un usage opérationnel courant. Elle bascule ensuite en archivage intermédiaire, à accès restreint, lorsqu’elle ne sert plus qu’à des fins probatoires — contentieux possible, contrôle URSSAF, action en discrimination, vérification fiscale. Elle est enfin détruite à l’issue du délai de prescription applicable, ou versée en archives définitives lorsqu’un texte le prévoit.
L’erreur classique est de conserver l’ensemble des dossiers RH au même endroit, avec les mêmes droits d’accès, jusqu’à un effacement forfaitaire et tardif. Le référentiel attend une cascade documentée : chaque traitement, chaque finalité, chaque durée, et un cloisonnement réel des accès dès le passage en archivage.
Ce que l’employeur doit faire maintenant
Le référentiel est d’abord un outil d’audit. Nous recommandons de mobiliser quatre chantiers en parallèle dans les prochaines semaines.
Rouvrir d’abord le registre des activités de traitement prévu à l’article 30 du RGPD. Chaque fiche de traitement RH doit être confrontée à la durée du référentiel, et l’écart éventuel justifié par écrit dans la fiche. Sans cette traçabilité, l’employeur expose sa responsabilité au moindre contrôle.
Purger ensuite les outils. Le SIRH, la boîte mail RH partagée, les drives de candidatures et les serveurs de paie sont les premiers gisements de surconservation. Les CV stockés depuis cinq ans sans avoir été reconsultés, les logs d’accès des anciens salariés, les enregistrements de vidéosurveillance accumulés au-delà du mois sont les cibles évidentes d’une première campagne.
Formaliser ensuite une politique de conservation interne. Une note datée, signée par le responsable de traitement, qui reprend la grille CNIL et l’adapte au contexte de l’entreprise. C’est la pièce qui sera demandée en premier en cas de plainte d’un salarié ou de contrôle.
Former enfin la chaîne RH. Le manager qui valide une embauche, le gestionnaire de paie, le référent vidéo et le DPO doivent partager une même grille de lecture. Le référentiel CNIL est désormais le langage commun de cette grille.
Le 2 avril a fait basculer la conservation des données RH d’un sujet de DPO à un sujet de gouvernance. Une PME de trente salariés est concernée au même titre qu’un groupe de mille : la disproportion alléguée n’est pas un argument recevable lorsque les durées en cause sont fixées par le code du travail. La pièce maîtresse à pouvoir produire dans les trente jours d’un contrôle est une note de politique de conservation, datée et signée par le responsable de traitement, qui décline le référentiel par activité et justifie chaque écart.