Accueil » Données des candidats : combien de temps l’employeur peut-il conserver un CV ?

Données des candidats : combien de temps l’employeur peut-il conserver un CV ?

Cecile Vicini

Temps de lecture estimé : 7 minutes

Une image abstraite présentant un cube lumineux au centre, entouré de points bleus scintillants formant des vagues ondulantes sur un fond sombre.
©Just_Super / Getty Images Signature / Illustration

CV, lettres de motivation, échanges par e-mail ou notes d’entretien constituent autant d’informations encadrées par le RGPD et la loi Informatique et Libertés. Leur conservation ne peut ni être illimitée, ni approximative.

Chaque année, le 28 janvier marque la Journée mondiale de la protection des données. Pour les services de ressources humaines, cette date est l’occasion de revenir sur une question très concrète : combien de temps une entreprise est-elle autorisée à conserver les données personnelles d’un candidat à l’embauche ?

Des données personnelles au cœur du processus de recrutement

Dès qu’un candidat postule, l’employeur collecte des données personnelles au sens du Règlement général sur la protection des données (RGPD) : identité, coordonnées, parcours professionnel, diplômes, parfois photographie ou appréciations issues des entretiens.

Ces informations sont traitées dans un cadre précis : évaluer une candidature et pourvoir un poste. Cette finalité conditionne directement la durée de conservation des données.

Le RGPD impose en effet un principe fondamental : les données doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités du traitement ».

Autrement dit, une fois le recrutement terminé, la conservation des dossiers candidats doit être réinterrogée.

Candidats non retenus : une durée de conservation encadrée

Pour les candidats qui ne sont pas recrutés, la référence en matière de durée de conservation est clairement établie par la CNIL.

L’autorité recommande une conservation maximale de deux ans après le dernier contact avec le candidat, à condition que celui-ci en ait été informé.

Ce délai permet à l’employeur de disposer d’un vivier de candidatures pour de futures opportunités, sans conserver indéfiniment des informations devenues inutiles.

Au-delà de ce délai, plusieurs options s’imposent :

  • la suppression définitive des données personnelles ;
  • ou, dans certains cas, leur anonymisation, lorsque cela est compatible avec les besoins internes (statistiques, bilans RH).

Toute conservation plus longue doit reposer sur un consentement explicite du candidat, libre et éclairé, que celui-ci peut retirer à tout moment.

CV spontanés et consentement du candidat

Les candidatures spontanées obéissent aux mêmes règles. Lorsqu’un CV est reçu en dehors d’un recrutement précis, l’entreprise ne peut pas le conserver sans limite. Elle doit informer le candidat :

  • de la finalité du traitement,
  • de la durée de conservation envisagée,
  • et de ses droits.

En pratique, la CNIL admet une conservation de un à deux ans, sous réserve que le candidat soit clairement informé et puisse demander la suppression de ses données à tout moment.

Sans information préalable ni consentement valable, la conservation prolongée d’un CV expose l’employeur à un risque de non-conformité.

Et pour les candidats recrutés ?

Lorsque le candidat est embauché, ses données basculent dans le dossier du salarié. Elles sont alors soumises à d’autres durées de conservation, fixées par le Code du travail, le droit social et les obligations comptables ou fiscales.

Ces règles spécifiques dépassent toutefois le cadre strict du recrutement et obéissent à des finalités différentes.

Transparence et information : une obligation pour les RH

Le respect des durées de conservation ne suffit pas. Le RGPD impose également une obligation d’information à la charge de l’employeur.

Dès la collecte des données, le candidat doit savoir :

  • quelles données sont collectées,
  • pour quelle finalité,
  • combien de temps elles seront conservées,
  • et comment exercer ses droits.

Cette information figure généralement dans une mention RGPD intégrée aux offres d’emploi, aux formulaires de candidature ou aux accusés de réception.

Le candidat dispose en effet de droits étendus : droit d’accès, de rectification, d’opposition et de suppression de ses données. L’entreprise doit être en mesure d’y répondre dans les délais légaux.

Mettre en place une politique de conservation des données RH

À l’occasion de la Journée mondiale de la protection des données, les employeurs sont invités à vérifier leurs pratiques internes.

La CNIL recommande notamment de formaliser une politique de conservation des données, précisant pour chaque catégorie d’informations :

  • la finalité,
  • la durée de conservation,
  • et les modalités de suppression.

Dans les services RH, cela passe souvent par :

  • des alertes automatiques dans les logiciels de recrutement,
  • des procédures de purge régulières,
  • et une sensibilisation des équipes aux enjeux de protection des données.

Quels risques en cas de non-respect ?

Une conservation excessive ou non justifiée des données candidats peut entraîner :

  • des réclamations individuelles auprès de la CNIL,
  • des contrôles,
  • voire des sanctions financières, prévues par le RGPD.

En cas de non-respect du RGPD, notamment si une entreprise conserve des données personnelles au-delà de la durée nécessaire ou sans base légale, elle s’expose à des amendes très importantes prévues par le règlement européen :

  • Jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel de l’entreprise pour les violations moins graves (principe de minimisation, information insuffisante, etc.).
  • Jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel pour les violations les plus graves (non respect des conditions de licéité, absence de base juridique, non-respect des droits fondamentaux) — le montant le plus élevé étant retenu.

Ces plafonds s’appliquent au niveau européen, donc aussi à la CNIL lorsqu’elle sanctionne des entreprises en France.

Dans la pratique, les amendes prononcées par la CNIL varient fortement selon la gravité du manquement, la taille de l’entreprise, le nombre de personnes concernées et la volonté de se conformer.

On observe des sanctions allant de quelques dizaines de milliers d’euros pour des manquements isolés jusqu’à plusieurs dizaines de millions d’euros pour des violations importantes.

Au-delà de l’aspect juridique, ces manquements peuvent également affecter la marque employeur, dans un contexte où les candidats sont de plus en plus attentifs à l’usage de leurs données personnelles.

L’entreprise est-elle tenue d’assurer la sécurité de leur conservation ?

Le RGPD impose à toute entreprise qui traite des données personnelles — donc aussi les données des candidats — de garantir leur sécurité.

Concrètement, l’employeur est tenu de mettre en place des mesures techniques et organisationnelles appropriées pour protéger les données contre :

  • l’accès non autorisé,
  • la perte,
  • l’altération,
  • la divulgation accidentelle ou illicite.

Cette obligation est prévue par l’article 32 du RGPD, qui impose un niveau de sécurité adapté aux risques.

Ce que cela implique pour les services RH

Pour les données de recrutement (CV, échanges, évaluations), cela signifie notamment :

  • accès limité aux seules personnes habilitées (RH, managers concernés) ;
  • mots de passe robustes, authentification, gestion des droits ;
  • hébergement sécurisé des outils de recrutement ;
  • chiffrement ou protection des fichiers sensibles ;
  • procédures internes en cas de violation de données.

Même un simple CV stocké sur un poste de travail non protégé ou dans une messagerie partagée peut poser problème en cas de fuite.

Une responsabilité qui pèse sur l’employeur

L’entreprise est responsable du traitement des données candidats.

À ce titre, elle doit être en mesure de démontrer qu’elle a pris des mesures adaptées (principe d’« accountability »).

En cas de contrôle, la CNIL ne se limite pas à vérifier les durées de conservation : elle examine aussi les conditions de sécurité dans lesquelles les données sont stockées et accessibles.

Quelles conséquences en cas de manquement ?

Un défaut de sécurité peut entraîner :

  • une mise en demeure,
  • une obligation de mise en conformité rapide,
  • ou une sanction financière, indépendamment même de la durée de conservation.

Autrement dit, conserver peu mais mal sécurisé reste une infraction.

Agenda Appel à candidature Apprentissage Arrêt maladie Artisanat Cour de cassation Cybersécurité Dares Entreprises du BTP Formation France Travail Gestion d'entreprise IA Influence politique Législation Micro entreprise Métiers d'art Numérique Organisations professionnelles Salaires Santé Santé mentale Tendances économiques Télétravail Urssaf

En savoir plus sur TPE ACTU

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Poursuivre la lecture

Recevez directement nos articles dans votre boîte mail !

Poursuivre la lecture