Le principe de limitation de la conservation (article 5.1.e du RGPD) impose à l’employeur de ne conserver les données personnelles que pendant la durée nécessaire aux finalités pour lesquelles elles sont collectées. Au-delà, les données doivent être supprimées ou anonymisées.
Le principe RGPD
L’article 5.1.e du RGPD dispose que les données personnelles doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
La CNIL distingue trois phases :
- Conservation en base active : les données sont utilisées couramment
- Archivage intermédiaire : les données ne sont plus utilisées mais conservées pour des obligations légales ou des contentieux potentiels
- Archivage définitif ou suppression : à l’expiration de toute obligation de conservation
Tableau récapitulatif des durées de conservation RH
- Bulletins de paie (employeur) : 5 ans minimum (article L.3243-4 du Code du travail)
- Contrat de travail : 5 ans après la fin du contrat (prescription civile)
- Dossier du personnel : 5 ans après le départ du salarié
- Registre unique du personnel : 5 ans après le départ du dernier salarié inscrit
- Documents relatifs aux charges sociales : 3 ans (article L.244-3 du CSS) + 2 ans en archivage intermédiaire
- Entretiens d’évaluation : durée du contrat + 3 ans (contentieux discrimination)
- Données de recrutement (CV non retenus) : 2 ans maximum après le dernier contact
- Vidéosurveillance : 30 jours maximum (sauf procédure en cours)
- Géolocalisation : 2 mois maximum
- Données de connexion internet : 1 an (obligation légale)
- Documents comptables : 10 ans (article L.123-22 du Code de commerce)
- Médecine du travail : dossier médical conservé 40 ans par le SPST
La politique de purge
L’employeur doit mettre en place une politique de purge automatisée des données :
- Paramétrer les SIRH et logiciels de paie pour supprimer automatiquement les données à l’expiration des délais
- Prévoir une procédure de départ incluant la purge des données du salarié sortant (après archivage le cas échéant)
- Auditer régulièrement les bases de données RH pour identifier les données périmées
- Former les équipes RH à la destruction sécurisée des documents papier
Le cabinet DAIRIA Avocats accompagne les employeurs sur ces problématiques. Notre plateforme DAIRIA IA permet d’automatiser votre veille juridique en droit social.
FAQ — Questions fréquentes
Peut-on conserver les bulletins de paie indéfiniment ?
L’obligation minimale est de 5 ans (article L.3243-4). Au-delà, la conservation n’est justifiée que pour répondre à un contentieux potentiel. En pratique, beaucoup d’entreprises les conservent 50 ans (durée de la vie professionnelle).
Que faire des CV des candidats non retenus ?
Les supprimer dans un délai de 2 ans maximum après le dernier contact. Le candidat doit être informé de la durée de conservation et peut demander la suppression à tout moment.
Comment supprimer les données de manière sécurisée ?
Utiliser un logiciel d’effacement sécurisé pour les données numériques et un destructeur de documents pour les papiers. La simple mise à la corbeille ne constitue pas une suppression conforme.
