La gestion des données personnelles des candidats lors des processus de recrutement représente un enjeu majeur pour les entreprises françaises. Avec l'entrée en vigueur du RGPD et les recommandations spécifiques de la CNIL, les employeurs doivent respecter des règles strictes concernant la collecte, le traitement et la conservation des informations des candidats. Cette réglementation vise à protéger la vie privée des candidats tout en permettant aux entreprises de mener leurs activités de recrutement de manière efficace. Les sanctions en cas de non-respect peuvent atteindre 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial, rendant la conformité absolument essentielle pour toute organisation.
Les Fondements Légaux de la Conservation des Données de Recrutement
Le Principe de Limitation de la Conservation selon le RGPD
Le principe de limitation de la durée de conservation constitue l'un des six principes fondamentaux du RGPD énoncés à l'article 55. Selon ce principe, les données personnelles doivent être "conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées"5. Pour les entreprises, cela signifie qu'il n'est pas possible de conserver des informations sur des candidats de manière indéfinie9. Une durée de conservation précise doit être fixée en fonction du type d'information enregistrée et de la finalité du traitement9.
Le Cadre Réglementaire Français
La CNIL, autorité française de protection des données, a publié en 2025 un guide complet du recrutement comprenant 19 fiches pratiques pour accompagner les professionnels2. Ce guide précise que "toutes les opérations portant sur des données concernant les candidats (collecte, organisation, consultation, conservation, communication, suppression, etc.) sont des traitements de données personnelles au sens du RGPD". Les recruteurs doivent donc respecter l'ensemble des obligations légales relatives à la protection des données personnelles, notamment en matière de durées de conservation.
Une Durée de Conservation Limitée à 2 Ans
Les Types de Données Concernées
Les données pouvant être conservées pendant cette période de deux ans incluent l'ensemble du dossier de candidature : CV, lettre de motivation, formulaires de candidature, références professionnelles, diplômes et attestations de formation, résultats d'évaluations ou de tests, ainsi que les échanges de courriels et notes d'entretiens. Toutefois, seules les données "adéquates, pertinentes et strictement nécessaires à la sélection du candidat à un poste donné et au déroulement de l'entretien d'embauche peuvent être collectées".
La Recommandation Officielle de la CNIL
Les CV et autres données personnelles (par exemple, lettre de motivation ou autres éléments de candidature...) des candidats non retenus peuvent être conservés jusqu'à 2 ans après le dernier contact avec le candidat, conformément aux recommandations de la CNIL et en application du RGPD. Cette durée permet notamment de recontacter le candidat pour d'éventuelles opportunités futures ou d'alimenter un vivier de candidats. La CNIL précise que cette conservation doit s'effectuer "à la condition de vous en informer et d'avoir obtenu votre accord".
Le Calcul du Délai de Conservation
Le délai de deux ans se calcule à partir du dernier contact avec le candidat. Cela signifie que si un recruteur échange avec un candidat le 15 juin 2025, les données pourront être conservées jusqu'au 15 juin 2027, sauf accord contraire du candidat. Cette règle s'applique que le candidat ait été reçu en entretien ou non, dès lors qu'il y a eu un contact dans le cadre du processus de recrutement.
Un Consentement Obligatoire pour une Conservation Prolongée
L'Accord Explicite du Candidat
Consentement nécessaire pour une conservation plus longue : pour conserver les données au-delà de cette période de deux ans, il est nécessaire d'obtenir l'accord explicite du candidat, en précisant les objectifs de cette conservation (par exemple, inclusion dans une CVthèque pour des recrutements futurs...). Cet accord doit être "formel" selon les termes de la CNIL, ce qui implique une démarche active et documentée de la part du candidat.
Les Finalités Légitimes de Conservation Prolongée
Lorsqu'un candidat consent à une conservation prolongée, les finalités doivent être clairement définies et communiquées. Les données peuvent être conservées dans le but de "recontacter le candidat refusé afin de lui soumettre d'autres offres d'emploi". Cette conservation doit respecter le principe de finalité prévu par l'article 5 du RGPD : "les données ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes".
Le Cycle de Vie des Données de Recrutement
La Conservation en Base Active
La première phase du cycle de vie des données correspond à la "conservation en base active". Il s'agit de la durée nécessaire à la réalisation de l'objectif ayant justifié la collecte des données. Durant cette phase, "les données seront alors facilement accessibles dans l'environnement de travail immédiat pour les services opérationnels qui sont en charge de ce traitement (ex : le service des ressources humaines pour les opérations de recrutement)".
L'Archivage Intermédiaire
Selon le guide de la CNIL, une deuxième phase peut intervenir : l'archivage intermédiaire11. Durant cette phase, "les données personnelles ne sont plus utilisées pour atteindre l'objectif fixé ('dossiers clos') mais présentent encore un intérêt administratif pour l'organisme (ex : gestion d'un éventuel contentieux, etc.) ou doivent être conservées pour répondre à une obligation légale"11. Dans le contexte du recrutement, cette phase peut s'appliquer lorsque des données doivent être conservées pour des raisons légales spécifiques.
L'Archivage Définitif
En raison de leur "valeur" et intérêt, certaines informations peuvent être archivées de manière définitive et pérenne. Toutefois, pour les données de recrutement, cette phase reste exceptionnelle et doit répondre à des critères stricts d'intérêt historique, statistique ou scientifique.
Les Données Interdites lors du Recrutement
Les Informations Prohibées
La CNIL dresse une liste précise des informations qu'il est interdit de demander à un candidat. Il est notamment interdit de collecter "son numéro de sécurité sociale et ses coordonnées bancaires (sauf dans le cas spécifique des entreprises de travail temporaire en leur qualité d'employeur)", "des informations relatives aux membres de sa famille", "s'il souhaite avoir des enfants", ou encore "ses mensurations, poids, couleur des cheveux, etc., sauf pour certains types de postes particuliers (mannequins, pilotes de course, jockeys, etc.)".
Le Principe de Proportionnalité
Les informations demandées doivent permettre "d'évaluer la capacité des candidats à occuper le poste proposé ou à mesurer leurs aptitudes professionnelles". Ce principe de proportionnalité et de pertinence impose que "les informations enregistrées doivent être pertinentes et strictement nécessaires au regard de la finalité du fichier". La collecte d'informations qui n'auraient pas de lien direct et nécessaire avec l'emploi proposé est donc interdite.
Suppression ou Anonymisation des Données après Expiration du Délai
L'Obligation de Suppression
À l'expiration du délai légal ou consenti, les données doivent être supprimées ou anonymisées. Cela garantit la protection des données personnelles et respecte les droits des candidats à l'effacement. La CNIL rappelle que "les données anonymisées peuvent être conservées sans limitation de durée, car elles ne sont plus soumises au RGPD". Cette anonymisation doit être irréversible et empêcher toute réidentification de la personne concernée.
Les Mécanismes de Purge Automatique
Parmi les manquements les plus fréquemment constatés par la CNIL figurent "l'absence de mécanisme de purge (par exemple : les données sont effacées manuellement selon une périodicité variable)". Les entreprises doivent donc mettre en place des systèmes automatisés de suppression des données pour garantir le respect des délais de conservation. Ces mécanismes doivent être documentés et régulièrement vérifiés.
Les Sanctions en cas de Non-Respect
Le non-respect du principe de limitation de la durée peut entraîner des sanctions significatives. L'article 83.5 du RGPD prévoit "une amende administrative pouvant s'élever jusqu'à 20 000 000 euros ou, dans le cas d'une entreprise, jusqu'à 4% du chiffre d'affaires annuel mondial total de l'exercice précédent". La CNIL illustre ces risques avec la sanction de 250 000 euros infligée au GIE Infogreffe pour manquement aux obligations de conservation des données.
Les Droits des Candidats et Obligations des Recruteurs
Le Droit d'Accès et d'Information
En vertu du RGPD, "toute personne a le droit d'accéder à ses données personnelles". Un candidat peut donc "demander à consulter son dossier de candidature". En réponse à une telle demande, "l'employeur doit fournir une copie des informations personnelles qu'il détient sur le demandeur" ainsi que "des informations sur l'objectif du traitement, la durée de conservation des données et, le cas échéant, les destinataires des données".
L'Obligation de Transparence
Les recruteurs doivent "garantir que les informations personnelles fournies par les candidats soient traitées de manière licite, loyale et transparente". Cette obligation implique d'informer les candidats dès la collecte des données sur les finalités du traitement, les durées de conservation envisagées, et leurs droits en matière de protection des données.
Une Question sur la Conservation des CV ?
Notre équipe chez Inkivari est à votre disposition pour toute interrogation concernant la gestion des données personnelles.
Par mail
En soumettant ce formulaire, j’accepte que les informations saisies soient exploitées par Inkivari SARL aux fins de gestion de réponse à votre demande. Pour en savoir plus sur la gestion de vos données à caractère personnel et sur vos droits, consultez notre politique de confidentialité