Le 2 avril 2026, la CNIL a publié un nouveau référentiel destiné à accompagner les responsables de traitement dans la détermination des durées de conservation des données personnelles dans le cadre de la gestion du personnel.
Cette publication s’inscrit dans une logique de sécurisation des pratiques et de clarification des obligations issues du RGPD, sur un sujet particulièrement sensible pour les entreprises.
Ce référentiel a vocation à fournir un cadre opérationnel permettant d’identifier, pour chaque catégorie de traitement, une durée de conservation adaptée, proportionnée et juridiquement sécurisée.
Il ne crée pas de nouvelles obligations en tant que telles, mais constitue un outil de référence particulièrement utile pour documenter les choix opérés et démontrer leur conformité en cas de contrôle.
Le périmètre couvert est large et correspond aux principaux traitements RH rencontrés en entreprise.
Sont notamment concernés les processus liés au recrutement, à la gestion administrative du personnel ou encore à la gestion des rémunérations.
Le référentiel intègre également des domaines plus sensibles, tels que la sécurisation des biens et des personnes, la gestion des véhicules professionnels ou encore l’écoute et l’enregistrement des conversations téléphoniques sur le lieu de travail.
Au-delà de ces aspects, la CNIL inclut également des traitements à forte dimension juridique et contentieuse, tels que la gestion des relations collectives de travail, la gestion des accidents du travail, le suivi des contentieux et précontentieux, ainsi que la gestion des dispositifs d’alerte professionnelle.
Ce point est particulièrement notable, dans la mesure où ces traitements impliquent des durées de conservation souvent plus longues et des arbitrages délicats entre obligations légales et principe de minimisation.
L’objectif affiché de la CNIL est clair : fournir un document de référence permettant de « faciliter et accélérer la recherche de la durée pertinente » pour les différents traitements.
En pratique, ce référentiel constitue un véritable outil d’aide à la décision pour les entreprises, en leur permettant d’harmoniser leurs pratiques et de sécuriser leur politique de conservation des données.
Il convient toutefois de rappeler que ce référentiel n’a pas de valeur contraignante au sens strict.
Il ne dispense pas les responsables de traitement de procéder à une analyse spécifique de leurs propres traitements, en fonction de leur activité, de leurs obligations légales et des risques identifiés. Il constitue néanmoins une base solide sur laquelle s’appuyer pour structurer une politique interne cohérente.
D’un point de vue opérationnel, cette publication invite les entreprises à revoir, le cas échéant, leurs durées de conservation, à mettre à jour leurs registres de traitement et à s’assurer de la cohérence entre leurs pratiques internes et les recommandations de la CNIL.
Elle renforce également l’importance de la traçabilité des choix opérés, qui constitue un élément central en cas de contrôle.
En définitive, ce référentiel s’inscrit dans une tendance de fond, celle d’une exigence accrue de rigueur dans la gestion des données RH.
Il offre aux entreprises un cadre de référence utile, mais impose en contrepartie une démarche active de mise en conformité.
La question de la durée de conservation ne peut plus être traitée de manière empirique.
Elle devient un véritable sujet de gouvernance des données, au croisement des enjeux juridiques, organisationnels et de gestion du risque.
