La CNIL vient de publier un référentiel attendu sur la durée de conservation des données RH. Pour les DRH, ce texte arrive au moment où chaque décision de conservation peut être discutée
Archives de paie, dossiers disciplinaires, CV, badges, images ou notes d’évaluation, tout est concerné par cette mise au clair. Sous la pression des contrôles de la CNIL, les pratiques RH gagnent un cadre plus net pour appuyer la conformité des employeurs et limiter les durées gardées par habitude, sans base claire d’un service à l’autre
Pourquoi la CNIL publie ce cadre maintenant
Entre 2025 et 2026, la CNIL resserre son discours sur les données RH, alors que les contrôles liés au travail gagnent en visibilité. Ses décisions récentes ont rappelé que les sanctions contre employeurs peuvent naître de dispositifs de surveillance déployés sans cadre clair.
Pour les DRH, la durée de conservation devient un point de vigilance quotidien, bien au-delà d’un simple tableau d’archives. Le référentiel arrive donc pour réduire les risques de non-conformité et replacer la protection des salariés au cœur des arbitrages internes.
Quels traitements RH entrent dans le périmètre du référentiel
Le périmètre couvre en premier lieu les opérations les plus courantes du service RH, du recrutement à la paie, avec des repères pensés pour des cas très concrets. Vous y retrouvez la gestion des candidatures et le suivi du temps de travail, deux usages présents dans presque toute organisation.
- recrutement et viviers de candidats
- gestion administrative du personnel et paie
- contrôle d’accès, sécurité et vidéosurveillance
- alertes professionnelles et gestion des contentieux
Le texte isole aussi des traitements plus sensibles, afin de mieux distinguer usage courant, preuve et conservation prolongée. Cette lecture facilite le passage vers l’archivage intermédiaire et encadre la géolocalisation des véhicules lorsque l’outil est lié à l’activité professionnelle.
L’AFCDP a fait remonter les besoins du terrain
Du côté des praticiens, l’AFCDP a servi de relais entre la CNIL et les équipes chargées de la conformité au quotidien. Dans la consultation menée en 2025, l’association a structuré un groupe de travail dédié pour signaler les zones grises rencontrées par les DRH et les DPO.
Les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
Règlement général sur la protection des données, article 5
Ces échanges n’ont pas changé la logique du texte, mais ils ont aidé à clarifier son découpage et son vocabulaire. Les retours terrain portaient sur la lisibilité, la distinction entre usages courants et archives, ainsi que la justification des durées quand la pratique diffère selon les organismes.
Pour les DRH, un appui concret dans la gestion du cycle de vie des données
Pour les DRH, le référentiel sert d’outil de rangement plus que de simple rappel juridique. Il aide à séparer ce qui relève de la base active de ce qui doit basculer vers l’archive, avec une logique d’harmonisation des pratiques entre métiers, sites et outils.
Le texte fournit aussi une trame utile pour consigner les choix retenus lors d’un audit interne ou d’un contrôle. Si une organisation s’écarte des repères proposés, la justification des écarts gagne à figurer dans la documentation interne qui accompagne les traitements RH.
