Claeys & Engels
Rechercher

Combien de temps conserver les données RH lorsque la loi est silencieuse ? Le référentiel de la CNIL comme repère utile pour les employeurs.

Newsflash
Protection des données et de la vie privée

Le RGPD impose aux employeurs de ne conserver les données à caractère personnel que pendant une durée limitée et proportionnée à la finalité poursuivie. En pratique, si certaines durées de conservation sont expressément prévues par la loi (notamment en matière fiscale ou de sécurité sociale), de nombreuses données RH ne font l’objet d’aucun délai légal défini. Dans ce contexte, la Commission nationale de l’informatique et des libertés (CNIL), l’autorité de protection des données française, a publié un référentiel relatif aux durées de conservation des données à caractère personnel en matière de gestion des ressources humaines. Bien qu’il repose sur le droit français, ce document contient des recommandations de bonne pratique qui peuvent constituer des repères utiles pour les employeurs belges, en particulier en l’absence de délais légaux applicables.

Un cadre opérationnel fondé sur le principe de limitation de la conservation

Le référentiel de la CNIL couvre les principales activités RH et propose, pour chaque catégorie de données, des durées de conservation indicatives. Il distingue généralement deux phases :

  • une phase de conservation en base active, strictement limitée à la durée nécessaire à la finalité du traitement. Durant cette période, les données sont directement accessibles aux services RH pour les besoins de la gestion courante ;
  • le cas échéant, une phase d’archivage intermédiaire, avec un accès restreint à des personnes spécifiquement habilitées, pour les données qui conservent un intérêt administratif ou probatoire (notamment en vue de la défense de l’employeur dans le cadre d’un éventuel litige) ou qui doivent être conservées afin de répondre à une obligation légale.

Ce cadre se veut avant tout opérationnel et vise à faciliter la mise en œuvre concrète du principe de limitation de la conservation prévu par le RGPD.

En Belgique, lorsqu’une durée de conservation est expressément fixée par la loi, celle-ci reste bien entendu déterminante. Tel est notamment le cas pour :

  • les documents fiscaux (par exemple les fiches fiscales : 10 ans depuis la récente extension de la durée de conservation, contre 7 ans auparavant) ;
  • les documents relatifs à la sécurité sociale (par ex. : DMFA : 5 ans ; Dimona : 6 mois à compter de la réception) ;
  • les fiches d’accidents du travail (10 ans) ;
  • les images de vidéosurveillance (maximum 30 jours) ;
  • etc.

En revanche, en l’absence de délais légaux applicables, les recommandations de la CNIL, fondées sur les exigences du RGPD et l’expérience des autorités de contrôle, offrent des indications utiles pour apprécier des durées de conservation proportionnées.

C’est dans ce contexte que le référentiel présente un intérêt pratique particulier pour les employeurs en Belgique.

Exemples de recommandations issues du réferentiel 

  1. Données de recrutement – candidats non retenus

Pour les CV et lettres de motivation des candidats non retenus, la CNIL recommande une conservation limitée après la clôture du processus de recrutement, notamment en vue d’éventuelles opportunités futures. Lorsque ces données sont conservées dans une CV-thèque, le référentiel préconise :

  • une conservation en base active jusqu’à deux ans à compter du dernier contact avec le candidat non retenu ;
  • à condition que le profil présente un intérêt pour l’employeur et en l’absence d’opposition du candidat.

À des fins probatoires, notamment en cas de contentieux en matière de discrimination, une conservation en archivage intermédiaire est recommandée par la CNIL pour une durée de cinq ans à compter de la date à laquelle le poste a été pourvu, avec un accès strictement limité. 

En Belgique, compte tenu de l’allongement des délais de prescription à dix ans pour les infractions pénales, une conservation en archivage intermédiaire pouvant aller jusqu’à dix ans à compter de la date à laquelle la candidature n’a pas été retenue ou à laquelle le poste a été pourvu pourrait donc se justifier à des fins probatoires.

Cette approche illustre le principe selon lequel une utilité potentielle future pour l’employeur ne justifie pas, à elle seule, une conservation prolongée des données sans base appropriée.

  1. Données figurant dans le dossier professionnel du travailleur 

Les évaluations, avertissements, avenants et autres données peuvent, en principe, être conservées pendant la durée de la relation de travail, c’est-à-dire tant que le travailleur fait partie des effectifs.

Après la fin du contrat de travail, la conservation peut se poursuivre en archivage intermédiaire lorsque l’employeur y est légalement tenu ou souhaite se constituer une preuve en cas de contentieux. Cette conservation doit être limitée au délai de prescription applicable, avec un accès restreint, sans maintien des données dans les bases RH actives. 

En principe, les actions nées du contrat de travail se prescrivent un an après la fin de celui‑ci. Toutefois, certaines demandes peuvent également se fonder sur une infraction pénale (par exemple en cas de non‑paiement de la rémunération ou de discrimination), auquel cas le délai de prescription peut est porté à dix ans. Une conservation des données concernées en archivage intermédiaire pendant cette durée peut dès lors être justifiée. 

Là encore, la logique retenue est celle de la proportionnalité, et non d’une conservation indéfinie.

Point d’action 

Une approche prudente consiste, pour les employeurs, à :

  • vérifier en priorité si une durée de conservation minimale ou maximale est expressément prévue par le droit belge pour les données concernées ;
  • en l’absence de durée de conservation légalement prévue, determiner la durée de conservation applicable en tenant compte des besoins opérationnels, du délai de prescription, et des possibilités techniques. Ici, les recommandations issues du référentiel de la CNIL peuvent être utiles ;
  • formaliser les durées de conservations retenues dans une politique de conservation des données, le cas échéant en distinguant clairement conservation active, archivage intermédiaire et suppression.

Une telle approche contribue à renforcer la conformité RGPD et la sécurité juridique des pratiques RH.