- in European Union
L'accumulation compulsive d'informations personnelles est un mal silencieux qui ronge les serveurs et les esprits des DRH.
Dans un univers numérique où l’on oublie d’oublier, les services de ressources humaines se sont mués, au fil des ans, en d‘immenses entrepôts de mémoire sédimentée. Combien de temps garder le CV d’un candidat malheureux ? Qu’en est-il du relevé d’heures d’un salarié ayant quitté les effectifs il y a sept ans ? Jusqu’ici, la réponse flottait dans les limbes d’un droit byzantin, entre Code du travail, Code de la sécurité sociale et obligations fiscales.
Par délibération n° 2026-031 du 29 janvier 2026, publiée au Journal officiel le 3 avril 2026 et mise en ligne sur cnil.fr le 2 avril 2026, la CNIL a adopté un nouveau référentiel dédié aux durées de conservation des activités « ressources humaines ». Plus qu’une simple liste de délais, le texte agit comme un décongestionnant pour des directions RH en quête de repères : il recalibre les aiguilles d’une horloge trop longtemps déréglée et rappelle, avec fermeté, que la conservation n’est pas un cycle perpétuel mais un espace qui doit se fermer.
La méthode CNIL : une ingénierie de terrain
Pour dissiper le brouillard des durées de conservation, le régulateur n’a pas opté pour une approche doctrinale hors sol. Sa méthode repose sur une alliance entre la rigueur des codes Travail, Sécurité sociale, Fiscal et la réalité des services RH. Les données sont segmentées en deux blocs : d’une part les durées obligatoires, imposées par un texte législatif ou réglementaire ; d’autre part les durées recommandées, qui constituent des points de repère issus de la doctrine de la CNIL, là où le droit se tait et où le principe de proportionnalité documenté prend le relais.
Le référentiel apporte surtout une clarification décisive en distinguant, pour chaque traitement, deux phases de vie de la donnée : la base active, pendant laquelle les données sont directement utilisées par les services opérationnels pour atteindre la finalité du traitement, et l’archivage intermédiaire, pendant lequel les données ne sont plus utilisées pour cet objectif mais présentent encore un intérêt administratif ou répondent à une obligation légale de conservation. Cette grammaire à deux temps est le cœur de la méthode : elle interdit la confusion très répandue entre « donnée encore utile » et « donnée encore accessible ».
Pour le DPO, l’exercice ne consiste plus à deviner. On ne conserve pas « au cas où » : on conserve le temps strictement nécessaire à l’objectif visé, et l’on justifie ce temps.
Élaboré en concertation avec les réseaux professionnels et les DSI, le référentiel balaie avec une précision d’entomologiste dix domaines couvrant les activités les plus triviales comme les plus sensibles : recrutement, gestion administrative du personnel, paie, temps de travail, vidéosurveillance, écoute téléphonique, alertes professionnelles, accidents du travail, contentieux, et gestion des carrières. Que l’on soit une PME de province ou un fleuron du CAC 40, la durée pertinente devient enfin intelligible. Observons que ce texte ne se substitue pas aux outils existants : il complète le guide CNIL du recrutement et le référentiel « gestion des ressources humaines » déjà en vigueur. Détail non négligeable, la CNIL autorise la conversion des délais juridiques exprimés en mois en unités informatiques exprimées en jours : une passerelle technique qui permet d’automatiser la purge au sein des logiciels métiers et transforme une contrainte légale floue en un paramétrage binaire.
Le réveil de l’accountability
Le référentiel n’est pas exhaustif : il laisse de côté le dossier individuel des agents publics, qui bénéficie d’un encadrement propre issu de l’arrêté du 21 décembre 2012. Son respect n’est pas davantage strictement obligatoire, sauf pour les délais légaux eux-mêmes, les responsables de traitement conservent la faculté de s’en écarter, à condition de pouvoir justifier leur choix sous leur responsabilité. Mais là réside précisément sa force : en publiant une doctrine officielle, l’autorité de contrôle crée un standard de conformité dont l’écart devra être démontré.
Le responsable de traitement qui s’en éloigne sans motif opérationnel documenté ne viole pas le référentiel lui-même ,il s’expose à une difficulté plus sérieuse : démontrer, lors d’un contrôle, qu’il respecte le principe de limitation de la conservation posé par l’article 5, 1, e) du RGPD. La CNIL a simplement rendu cette démonstration plus exigeante en publiant ce à quoi elle-même se réfèrera.
Un référentiel qui est aussi un filtre de contrôle
Là réside l’élément que les DRH devraient lire avec le plus d’attention. Dès le 3 avril 2026 ,soit vingt-quatre heures après la publication du référentiel, la CNIL a annoncé que le recrutement figure parmi les thématiques prioritaires de contrôle pour 2026, aux côtés du répertoire électoral unique et des fédérations sportives. Les contrôles, précise l’autorité, viseront prioritairement les grandes entreprises et les cabinets de recrutement, et porteront notamment sur les systèmes de prise de décision automatisée, l’information des candidats et les durées de conservation.
Ce référentiel n’est donc pas seulement un guide pédagogique : c’est le filtre opérationnel à travers lequel les contrôleurs apprécieront la conformité des entreprises visitées en 2026. Pour les cabinets de recrutement et les grandes directions RH, la question n’est plus de savoir si le référentiel s’applique elle est de savoir si leurs durées actuelles tiendront l’épreuve du rapprochement avec la doctrine publiée.
Cette thématique, ajoute la CNIL, préfigure également l’exercice par l’autorité de ses futures attributions de surveillance de marché dans le champ « travail » au titre du règlement sur l’intelligence artificielle. Les algorithmes de tri de CV, les outils de scoring comportemental, les dispositifs de vidéoentretien analysé par IA : tous ces traitements entreront progressivement dans le périmètre d’un contrôle croisé RGPD + AI Act dont le référentiel est la première pierre.
Pour les DPO, le bénéfice est immédiat : le référentiel permet de sortir de la spéculation doctrinale et d’entrer dans l’efficacité opérationnelle. Car derrière chaque kilooctet conservé au-delà du raisonnable se cache une vulnérabilité juridique et, en 2026, une probabilité de contrôle significativement accrue.
Vers une architecture de conservation maîtrisée
La force de ce référentiel réside dans sa méthode systémique : chaque processus RH, tel que recrutement, paie, contentieux, alertes est isolé pour se voir attribuer une durée cohérente avec sa finalité réelle, déclinée entre base active et archivage intermédiaire. Le maillage législatif complexe devient un calendrier de purge opérationnel. Le piège du dépassement est désormais clairement signalé.
Ce texte constitue une étape, non un aboutissement. D’autres secteurs, santé, services financiers, éducation restent en attente de cadres équivalents. Par ailleurs, la question de la conservation des données traitées par les systèmes d’intelligence artificielle demeure ouverte : si l’AI Act en organise l’articulation avec le RGPD, il n’en épuise pas les implications.
La CNIL a ainsi posé un point d’ancrage méthodologique. Elle n’a pas clos le débat ; elle en a fixé les termes et structuré les perspectives.
Pour les directions RH, le message est sans ambiguïté : la gestion intuitive appartient désormais au passé. S’ouvre un nouveau cycle, celui d’une conservation documentée, auditée et automatisée. Pour les acteurs du recrutement, ce basculement n’est pas à venir — il est déjà à l’œuvre. En fin de compte, la conformité n’est plus un horizon ; elle devient une infrastructure.
Vous êtes DRH, DPO, dirigeant ou responsable d’un cabinet de recrutement et vous souhaitez aligner vos processus RH sur le nouveau référentiel CNIL avant la campagne de contrôles 2026 ? Le Cabinet HAAS Avocats accompagne les entreprises dans la cartographie de leurs traitements RH, l’audit de leurs durées de conservation en base active et en archivage intermédiaire, et le paramétrage contractuel et technique de leurs purges automatisées. De l’analyse de conformité préalable au contrôle à la rédaction des politiques internes, en passant par la préparation aux demandes de la CNIL et la sécurisation des algorithmes de recrutement au regard de l’AI Act, nous transformons la contrainte réglementaire en levier de sécurité juridique et de performance opérationnelle.
Pour nous contacter : contact@haas-avcoats.com
Sources
Délibération CNIL n° 2026-031 du 29 janvier 2026 https://www.cnil.fr/fr/referentiel-durees-conservation-donnees-rh
Légifrance : CNILTEXT000053750789 https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000053750789
CNIL, « Gestion des ressources humaines : la CNIL publie un référentiel de durées de conservation », 2 avril 2026 — cnil.fr/fr/referentiel-durees-conservation-donnees-rh
CNIL, « Les contrôles en 2026 : recrutement, répertoire électoral unique et fédérations sportives », 3 avril 2026 — cnil.fr/fr/controles-prioritaires-2026
Arrêté du 21 décembre 2012 relatif à la composition du dossier individuel des agents publics géré sur support électronique (cité pour exclusion du champ)
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
[View Source]