RGPD - Les durées de conservation - Les ressources humaines (RH)
La gestion des ressources humaines implique le traitement d'une grande quantité de données personnelles. Le Règlement général sur la protection des données (RGPD) impose des règles strictes sur la durée pendant laquelle ces données peuvent être conservées. Cet article de blog a pour objectif d'éclairer les professionnels des RH sur ces obligations.
Mis à jour le 2 avril 2026 conformément au référentiel CNIL
Télécharger le tableau complet des durées de conservation
Principes clés de la conservation des données
Finalité et durée : La durée de conservation des données doit être strictement liée à la finalité du traitement. Les données ne doivent être conservées que le temps nécessaire pour atteindre l'objectif pour lequel elles ont été collectées.
Sécurité des données : La sécurité des données doit être assurée pendant toute leur durée de vie, y compris en archivage. Les accès doivent être contrôlés et les données doivent être protégées contre toute perte, altération ou accès non autorisé.
Archivage intermédiaire : De nombreuses durées de conservation incluent une phase d'archivage intermédiaire après la période d'utilisation active des données. Ceci est notamment le cas pour répondre à des obligations légales ou en cas de contentieux. Cette phase doit faire l'objet d'une séparation physique ou logique avec la base active, avec des accès restreints aux seules personnes spécifiquement habilitées.
Durées de conservation spécifiques aux ressources humaines
Les durées de conservation varient en fonction du type de données collectées et de leur finalité. Un code de couleur permet, dans le référentiel CNIL, de distinguer les durées obligatoires (imposées par la réglementation) des durées recommandées par la CNIL (non obligatoires mais constituant des points de repère).
Recrutement
Traitement des candidatures — candidat retenu : Durée de la procédure de recrutement jusqu'au résultat de la candidature en base active. Les données sont ensuite réutilisées dans le cadre de la gestion du personnel (voir durées associées). Recommandation — Guide recrutement CNIL.
Traitement des candidatures — candidat non retenu : Conservation en archivage intermédiaire pendant 5 ans à compter de la date à laquelle le poste a été pourvu, à des fins probatoires pour d'éventuelles actions en discrimination, tant pour les intermédiaires que les employeurs. Obligation — Art. L 1134-5 du code du travail.
Constitution d'une CV-thèque : Pour les seuls candidats dont le profil intéresse l'employeur et sauf opposition de leur part (ou pour ceux qui y ont consenti) : jusqu'à 2 ans à compter du dernier contact avec le candidat non retenu en base active. En archivage intermédiaire à des fins probatoires : 5 ans à compter de la date à laquelle le poste a été pourvu. Recommandation — Guide recrutement CNIL.
Vérification des antécédents judiciaires (si un texte le prévoit — attestation d'honorabilité) : 3 ans en base active. En archivage intermédiaire : jusqu'à l'expiration des délais et voies de recours en cas de contentieux. Recommandation — Guide recrutement CNIL.
Gestion administrative du personnel
Gestion du dossier professionnel des employés : Les données peuvent être conservées pendant la durée de la relation de travail, sauf disposition légale contraire. Une conservation en archivage intermédiaire est possible à l'issue de l'exécution du contrat, dans la limite du délai de prescription ou de forclusion applicable. Recommandation — Référentiel GRH CNIL.
Registre unique du personnel : La durée pendant laquelle le salarié fait partie des effectifs en base active. 5 ans à compter du départ du salarié de l'organisme en archivage intermédiaire. Obligation — Art. R 1221-26 du code du travail.
Suivi du temps de travail : Document récapitulant les heures accomplies chaque mois : jusqu'à l'émission du bulletin de paie pour la période concernée en base active. En archivage intermédiaire pour les actions en contestation du temps de travail : 1 an (ou durée équivalente à la période de référence en cas d'aménagement du temps de travail sur une période supérieure à l'année) ; 3 ans pour les salariés intéressés par des conventions au forfait. Obligation — Art. D 3171-16 et L 3245-1 du code du travail.
Gestion des rémunérations
Éléments d'identification du travailleur (paie) : La durée pendant laquelle le travailleur fait partie des effectifs en base active. En archivage intermédiaire : 6 ans glissants après avoir rempli la déclaration sociale nominative (DSN), sous réserve de contraintes spécifiques justifiant une conservation plus longue. Obligation — Art. L 102 B du CGI et Art. L 243-16 du code de la sécurité sociale.
Bulletin de salaire — mise à disposition : 1 mois à compter de sa transmission au travailleur en base active. En archivage intermédiaire : 5 ans pour les bulletins papier ou ceux émis sous forme électronique. Dans l'hypothèse où l'employeur produit des bulletins sous forme électronique, il doit également garantir leur disponibilité : soit pendant 50 ans, soit jusqu'à ce que le travailleur ait atteint l'âge de la retraite augmenté de 6 ans. Pour les actions en paiement des salaires : 3 ans. Obligation — Art. L 3243-4 et D 3243-8 du code du travail.
Éléments nécessaires au calcul de l'assiette des cotisations et contributions sociales : 1 mois maximum (temps de calculer l'assiette) en base active. 6 ans à compter de la date à laquelle les éléments ont été établis ou reçus en archivage intermédiaire. Obligation — Art. L 243-16 du code de la sécurité sociale.
Déclaration sociale nominative (DSN) : Le temps nécessaire à l'accomplissement de la déclaration jusqu'à réception du certificat de conformité en base active. 6 ans à compter de la date à laquelle les éléments ont été établis ou reçus en archivage intermédiaire. Obligation — Art. L 243-16 du code de la sécurité sociale.
Ordre de virement pour paiement : Cette durée (10 ans à compter de la clôture de l'exercice comptable) ne relève pas du référentiel CNIL RH mais du code de commerce (Art. L 123-22). Elle doit être traitée dans le cadre de la politique d'archivage comptable de l'organisme, distinctement des durées RGPD.
Sécurisation des personnes et des biens
Contrôle des accès (hors biométrie) : Données d'identification : durée de l'habilitation de la personne concernée en base active (et non toute la durée de la relation de travail). Données de journalisation des accès produites par le dispositif : 3 mois après leur enregistrement. Si ces données sont utilisées pour le suivi du temps de travail, elles peuvent être conservées 5 ans. Recommandation — Fiche CNIL accès aux locaux et contrôle des horaires.
Contrôle des accès par authentification biométrique : Données d'identification (hors gabarits) : durée de l'habilitation en base active ; 6 mois après retrait des habilitations ou cessation des fonctions en archivage intermédiaire. Données de journalisation : 6 mois glissants à compter de leur date d'enregistrement. Les gabarits biométriques et les enregistrements bruts de la caractéristique biométrique ne peuvent être conservés au-delà du temps strictement nécessaire à leur traitement ; ils sont supprimés dès le retrait des habilitations. Obligation — Règlement type Biométrie CNIL.
Vidéosurveillance : Images de vidéosurveillance : 1 mois à compter de la captation des images en base active. En règle générale, quelques jours suffisent à effectuer les vérifications nécessaires en cas d'incident. En cas de procédure disciplinaire ou pénale, les images sont extraites et conservées pour la durée de la procédure dans un traitement distinct. Obligation — Art. L 252-5 du code de la sécurité intérieure.
Gestion des logs de connexion (détection des intrusions et audits de sécurité) : De 6 mois à 1 an à compter de la connexion en archivage intermédiaire, sous réserve des exceptions prévues par le guide pratique CNIL sur la sécurité des données personnelles et des textes légaux spécifiques. Recommandation — Délibération CNIL 2021-122 du 14 octobre 2021.
Gestion des contrôles d'accès à internet : 6 mois pour les logs, 1 an pour une connexion Wi-Fi publique, sauf obligation légale de conservation plus longue.
Gestion des contrôles de l'utilisation de la messagerie professionnelle : 6 mois à compter de l'utilisation de la messagerie.
Gestion des véhicules professionnels
Contrôle via tachygraphes : À compter de la collecte et pour le temps de la gestion de la paie en base active. En archivage intermédiaire : 1 an après leur utilisation. En cas d'aménagement du temps de travail sur une période supérieure à l'année : 1 an ou durée équivalente à la période de référence. Pour les salariés intéressés par des conventions au forfait : 3 ans. Obligation — Règlement (UE) n° 165/2014 et Art. D 3171-16 du code du travail.
Géolocalisation des véhicules — optimisation des tournées : 2 mois à compter de la collecte en base active. 1 an en archivage intermédiaire. Recommandation — Fiche CNIL la géolocalisation des véhicules.
Géolocalisation des véhicules — facturation : Jusqu'à facturation en base active. 1 an à des fins de preuve d'intervention en archivage intermédiaire, cette durée ne faisant pas obstacle à une conservation supérieure en cas de contestation survenant pendant cette période. Recommandation — Fiche CNIL la géolocalisation des véhicules.
Recouvrement des contraventions — désignation auprès de l'ANTAI : 45 jours maximum à compter de la réception de la contravention en base active. En archivage intermédiaire : 12 mois maximum en matière contraventionnelle. En cas de désignation automatique par convention avec l'ANTAI, les traces des requêtes sont détruites après retour d'information ; l'employeur ne peut en aucun cas les consolider ou les archiver. Obligation — Art. L 121-6 du code de la route.
Écoute et enregistrement des conversations téléphoniques sur le lieu de travail
Enregistrements à des fins de formation et d'amélioration de la qualité de service : 6 mois maximum à compter de l'enregistrement en base active. Seuls les documents d'analyse peuvent être conservés en archivage intermédiaire pendant 1 an maximum. Recommandation — Fiche CNIL l'écoute et l'enregistrement des appels sur le lieu de travail.
Enregistrements à des fins probatoires (formation d'un contrat) : La conservation en base active n'est pas systématique ; l'enregistrement doit être nécessaire pour prouver la formation du contrat souscrit à l'oral. En archivage intermédiaire : 5 ans à compter de la connaissance de l'existence du contrat. Obligation — Art. 2224 du code civil.
Gestion des relations collectives de travail
Nature du mandat et syndicat d'appartenance : Durée du mandat + 6 mois en base active (ou durée prévue par le règlement intérieur si plus favorable au travailleur). En archivage intermédiaire en cas de contentieux : 6 ans (durée de la prescription pénale). Obligation — Art. L 2411-5 du code du travail.
Affichage de la composition du Comité Social et Économique (CSE) : Pendant toute la durée des mandats correspondants. Obligation — Art. R 2314-22 du code du travail.
Congés spéciaux et heures de délégation des représentants du personnel : Pendant la durée des mandats correspondants en base active. 6 ans à compter de la date à laquelle les éléments ont été établis ou reçus en archivage intermédiaire. Obligation — Art. 5 du RGPD.
Élections professionnelles — vote électronique : Fichiers supports (programmes sources, exécutables, résultats, sauvegardes) conservés le temps des opérations de vote en base active. Conservés sous scellés jusqu'à l'épuisement des voies et délais de recours contentieux, puis détruits sous le contrôle de la commission électorale. Recommandation — Recommandation CNIL vote électronique.
Vote par correspondance : Enveloppes et liste d'émargement conservées 4 mois après l'expiration des délais fixés pour la formation des recours contre l'élection. Obligation — Art. R 2122-90 du code du travail.
Données relatives aux sujétions particulières : Le temps de la période de sujétion de l'employé concerné en base active. 6 ans en archivage intermédiaire.
Autres données RH
Suivi administratif des visites médicales : La durée nécessaire à la finalité.
Données relatives aux activités sociales et culturelles : La durée nécessaire à la finalité.
Convocations, documents préparatoires, comptes rendus, etc. : La durée nécessaire à la finalité.
Gestion des comptes informatiques : Toute la durée de la relation de travail.
Gestion des accidents du travail
Déclarations d'accidents du travail : Le temps de la gestion de l'accident en vue de sa transmission aux organismes compétents en base active. 5 ans à compter de la déclaration par l'employeur en archivage intermédiaire. Obligation — Art. D 4711-3 du code du travail.
Vérifications et contrôles (suites aux mises en demeure de l'inspection du travail) : Le temps de procéder à la vérification ou au contrôle en base active. 5 ans à compter de la vérification ou du contrôle en archivage intermédiaire. En tout état de cause, les informations relatives aux deux derniers contrôles doivent être conservées. Obligation — Art. D 4711-3 du code du travail.
Gestion du contentieux et du précontentieux
Dossiers juridiques — domaines disciplinaire et prudhommal : À compter du début du contentieux et pendant la durée du litige en base active. Jusqu'à épuisement des voies de recours en archivage intermédiaire. Obligation — Art. 6 de la CEDH.
Gestion des alertes professionnelles
Signalements émis par un membre du personnel ou un collaborateur extérieur : Conservation le temps nécessaire pour effectuer les vérifications liées au signalement et jusqu'à la prise de décision définitive sur les suites à réserver à celui-ci, dans un délai raisonnable à compter de la réception du signalement. Des données peuvent être conservées au-delà uniquement si elles sont documentées par le responsable de traitement et que les personnes concernées ne sont ni identifiées ni identifiables. Obligation — Loi n° 2022-401 du 21 mars 2022 visant à améliorer la protection des lanceurs d'alerte.
Importance de l'adaptation et de l'expertise
Les durées de conservation mentionnées ci-dessus sont des indications générales issues du référentiel CNIL. Il est essentiel d'adapter ces durées en fonction des besoins spécifiques de votre activité, de votre convention collective et de vos accords d'entreprise. Certains secteurs disposent de règles supplémentaires (code général des impôts, code de la route, code de la sécurité intérieure, etc.) qui peuvent se cumuler avec celles présentées ici. Il est recommandé de consulter un expert juridique ou un DPO (Délégué à la Protection des Données) pour des conseils précis.
Conclusion
Le respect des règles de conservation des données est crucial pour la conformité au RGPD. Mis à jour conformément au référentiel CNIL du 2 avril 2026, cet article intègre désormais de nouvelles thématiques (véhicules professionnels, conversations téléphoniques, accidents du travail, contentieux, alertes professionnelles) et plusieurs corrections importantes (recrutement, contrôle des accès, suivi du temps de travail). En tant que professionnel des RH, il est de votre responsabilité de comprendre ces règles et de les appliquer rigoureusement afin de garantir la protection des données de vos collaborateurs et d'éviter des sanctions potentielles.
Si cet article vous a été utile, voici un autre article qui pourrait sûrement vous intéresser :
Le logiciel RGPD du DPO
Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.
Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.
