Durées de conservation : la CNIL publie un référentiel structurant

Le 2 avril 2026, la CNIL a publié un référentiel de durées de conservation consacré aux traitements de données personnelles mis en œuvre dans le cadre de la gestion des ressources humaines (« RH »).

L’objectif est clair : aider les organismes à identifier, pour leurs principaux traitements RH, une durée de conservation pertinente, en distinguant ce qui relève d’une obligation légale et ce qui relève d’une recommandation.

Cette publication s’inscrit dans le programme de travail annoncé par la CNIL, qui prévoyait l’adoption de référentiels « durées de conservation » pour les activités commerciales/marketing et les ressources humaines. Elle offre aux employeurs un cadre concret pour revoir leurs politiques d’archivage et de purge, dans une logique de mise en conformité et de maîtrise du risque contentieux.

Un référentiel opérationnel pour encadrer les durées de conservation des données RH

Ce référentiel se veut être un outil opérationnel destiné aux acteurs qui traitent des données personnelles de travailleurs. L’objectif est de guider les organismes dans l’identification et la détermination des durées de conservation pertinentes pour les traitements mis en œuvre dans le cadre de la gestion de leurs personnels.

Le document a été élaboré avec l’appui de réseaux et d’association professionnelles issus des secteurs publics et privé.

Le référentiel couvre les traitements RH les plus fréquents notamment :

  • le recrutement,
  • la gestion administrative du personnel,
  • la gestion des rémunérations,
  • la sécurisation des biens et des personnes,
  • la gestion des véhicules professionnels,
  • l’écoute et l’enregistrement des conversations téléphoniques sur le lieu de travail,
  • la gestion des relations collective de travail,
  • la gestion des accidents du travail,
  • la gestion du contentieux et du précontentieux ainsi que
  • la gestion des alertes professionnelles.

Un texte de référence pour les employeurs soumis au droit du travail français

Ce référentiel s’adresse à tous les organismes-employeurs, publics ou privés, quelle que doit leur forme juridique, dès lors que les personnels concernés sont soumis au droit du travail français.

Il ne couvre pas en revanche, les durées applicables aux pièces du dossier individuel des agents publics, qui relève d’un cadre distinct.

Le référentiel présente un intérêt particulier pour les délégués à la protection des données (DPO), les référents RGPD, les services RH et les directions des systèmes d’information confirmant le caractère transversal des enjeux liés à la maîtrise des durées de conservation.

Un instrument de droit souple, mais à forte portée pratique

Le référentiel relève du droit souple : son respect n’a donc pas, en lui-même, de caractère obligatoire. Il constitue un outil d’aide à la décision destiné à orienter les responsables de traitements vers les durées pertinentes. 

Cette souplesse ne doit toutefois pas être surestimée. Le référentiel recense également de nombreuses durées de conservation obligatoires, définies par des textes législatifs ou réglementaires, auxquelles le responsable de traitement ne peut déroger.

En outre, la CNIL rappelle que le document n’est pas exhaustif et que d’autres règles sectorielles peuvent s’appliquer selon l’activité concernée. Elle invite donc à vérifier systématiquement le fondement juridique mentionné afin de s’assurer de son adéquation à la situation concrète.

Base active et archivage intermédiaire : une distinction structurante

Le référentiel apporte une clarification utile sur la distinction entre base active et archivage intermédiaire.

La base active correspond à la durée nécessaire à la finalité initiale du traitement, pendant laquelle les données restent facilement accessibles aux services opérationnels.

L’archivage intermédiaire concerne les données qui ne sont plus nécessaires à l’objectif principal mais qui doivent être conservées en raison d’une obligation légale ou d’un intérêt administratif – notamment en cas de contentieux.

Dans ce cas, une séparation – physique et logique – doit être mise en place, avec un accès limité aux seules personnes habilitées.

Recrutement, paie, sécurité, contentieux : des repères clarifiés

Recrutement

Le référentiel distingue utilement plusieurs situations :

  • pour un candidat retenu : conservation pendant le temps de la procédure de recrutement, puis réutilisation dans le cadre de la gestion du personnel ;
  • pour un candidat non retenu : conservation possible pendant 5 ans à des fins probatoires pour les éventuelles actions en discrimination, à compter de la date de pourvoi du poste ;
  • pour les CV-thèques : conservation recommandée jusqu’à 2 ans à compter du dernier contact avec le candidat non retenu.

Rémunération et paie

Les éléments nécessaires à la gestion et à l’édition des bulletins de paie sont conservés pendant la présence du salarié dans les effectifs, puis pendant 6 ans glissants après la déclaration sociale nominative.

Pour la mise à disposition des bulletins de salaire :

  • Ils doivent être mis à disposition pendant 1 mois après leur transmission ;
  • Ils doivent être conservés pendant 5 ans pour les bulletins papier ou électroniques
  • En cas de dématérialisation, l’employeur doit garantir leur disponibilité pendant 50 ans ou jusqu’à l’âge de la retraite du salarié augmenté de 6 ans.

Sécurité des biens et des personnes

Les images de vidéosurveillance sont conservées pendant 1 mois. En pratique, la CNIL rappelle que quelques jours suffisent souvent. En cas de procédure disciplinaire ou pénale, les images doivent alors être extraites et conservées dans un traitement distinct pour la durée de la procédure.

Contentieux et accidents du travail

Les déclarations d’accident du travail doivent être conservées pendant 5 ans. Les dossiers disciplinaires et prud’homaux peuvent être conservés jusqu’à épuisement des voies de recours.

Un outil structurant pour la mise en conformité des pratiques RH

En pratique, ce référentiel implique une cartographie plus fine des traitements RH et une révision des pratiques existantes.  

La parution de ce référentiel est particulièrement utile pour :

  • mettre à jour les registres de traitements ;
  • revoir les politiques d’archivages et de purge ;
  • sécuriser les durées de conservation en cas de contrôle ou de contentieux ;
  • ajuster les habilitations et les accès aux données.

En structurant son approche par activités de traitement, la CNIL met à disposition des employeurs un outil directement exploitable, qui devrait rapidement s’imposer comme un standard de référence.

FAQ

Faut-il mettre à jour son registre des traitements après la publication du référentiel ?

Oui, dans la plupart des cas. Le référentiel constitue une base de travail pour vérifier que les durées de conservation mentionnées dans le registre sont conformes aux exigences légales et cohérentes avec les recommandations de la CNIL. Une mise à jour est fortement recommandée, en particulier pour les traitements RH les plus sensibles.

Faut-il mettre à jour son registre des traitements après la publication du référentiel ?

La durée légale s’impose. En l’absence d’obligation légale, les durées recommandées par la CNIL constituent un standard de référence. S’en écarter est possible, mais doit être justifié et documenté.

Peut-on harmoniser les durées de conservation pour simplifier la gestion ?

Une harmonisation est possible, mais elle doit rester compatible avec les obligations légales et les finalités des traitements. Une approche trop uniforme peut conduire à conserver certaines données trop longtemps ou, à l’inverse, à les supprimer trop tôt.

Peut-on conserver les données RH plus longtemps « par précaution » ?

Non, en principe. Le référentiel s’inscrit dans le principe de limitation de la conservation :les données ne doivent être conservées que pendant la durée nécessaire à la finalité du traitement, puis, le cas échéant en archivage intermédiaire si une obligation légale ou un besoin probatoire le justifie.

Comment mettre en œuvre concrètement la distinction entre base active et archivage intermédiaire ?

Cette distinction suppose généralement une adaptation des outils (SIRH…) afin d’isoler les données archivées, soit physiquement, soit via des restrictions d’accès. Elle implique également de définir des habilitations spécifiques et des règles de consultation encadrées.

Faut-il mettre en place des procédures de purge automatisée ?

Oui, c’est fortement recommandé. L’automatisation des suppressions permet de garantir le respect des durées de conservation et de limiter les risques liés à une conservation excessive des données.

Quels sont les risques en cas de durées de conservation inadaptées ?

Des durées excessives ou insuffisantes peuvent exposer l’organisme à des risques juridiques (sanctions, contentieux) et opérationnels (difficulté à produire des preuves, non-conformité RGPD). La durée de conservation est un point fréquemment contrôlé par la CNIL.

Le référentiel est-il opposable en cas de contrôle de la CNIL ?

Non directement, mais il constitue un référentiel de référence. S’y conformer permet de démontrer une démarche de conformité. À l’inverse, s’en écarter nécessite d’être en mesure de justifier ses choix.

Qu’est-ce que le droit souple ?

Le droit souple désigne des instruments non contraignants, comme les référentiels, recommandations ou lignes directrices, qui n’imposent pas d’obligations juridiques par eux-mêmes, mais visent à orienter les pratiques.

En matière de protection des données, ces outils — notamment ceux de la CNIL — constituent des repères opérationnels importants. S’y conformer permet généralement de démontrer une démarche de conformité, tandis que s’en écarter suppose d’être en mesure de justifier ses choix.

referentiel_durees_de_conservation_gestion_des_ressources_humaines

Hébergement des données de santé : le décret du 24 mars 2026 serre l’étau sur les transferts et l’extraterritorialité

Le décret n°2026‑209 du 24 mars 2026, publié au Journal officiel du 26 mars 2026, vient modifier plusieurs dispositions du Code de la santé publique (CSP) relatives à l’hébergement de données de santé à caractère personnel (« HDS »). Ce décret consolide le cadre existant et renforce de manière notable les garanties liées à la localisation du stockage, aux accès distants depuis des États tiers et à la transparence contractuelle sur les risques extra‑européens. Il a été pris en application de l’article 32 de la loi n°2024-449 du 21mai 2024 visant à sécuriser et à réguler l’espace numérique (« SREN »).

L’objectif est explicite : mieux maîtriser les risques d’accès ou de transfert de données de santé vers des pays tiers, notamment du fait des législations extraterritoriales. Ce texte reprend et consolide une partie des exigences déjà présentes dans le référentiel HDS.

Contexte juridique : la SREN et la montée en puissance des exigences de souveraineté

La loi SREN de mai 2024 est venue ajouter des obligations spécifiques orientées vers la souveraineté numérique, en renforçant :

  • les exigences de territorialité (Union européenne (« UE ») /Espace économique européen (« EEE »), et,
  •  la transparence contractuelle en cas de risques de transferts ou d’accès par des pays tiers.

Le décret du 24 mars 2026 met en œuvre ces évolutions et vient préciser leurs contours opérationnels.

Les apports clés du décret

L’archivage électronique pleinement intégré au périmètre HDS

L’article R. 1111‑9 du CSP est modifié : l’activité de sauvegarde inclut explicitement l’archivage électronique.

Cette clarification prolonge la logique de la SREN : tout archivage électronique de données de santé doit répondre aux mêmes exigences de certification, sécurité et conformité que les autres activités d’hébergement numérique.

Un stockage exclusivement localisé dans l’UE ou l’EEE

Le nouvel article R. 1111‑9‑1 du CSP impose que tout stockage réalisé dans le cadre d’une activité HDS soit effectué exclusivement dans l’Union européenne ou dans l’Espace économique européen.

Selon la CNIL, cette mesure vise avant tout à réduire les risques d’accès extra‑européens plutôt qu’à imposer un fournisseur européen : il s’agit d’orienter les responsables vers des solutions moins exposées aux législations extraterritoriales.

Accès distants depuis un pays tiers : un régime aligné sur le RGPD

Le décret n’interdit pas toute interaction avec un pays tiers. Il prévoit toutefois que tout accès à distance depuis un État hors UE/EEE – même sans transfert de stockage – doit respecter le chapitre V du RGPD, c’est‑à‑dire :

  • une décision d’adéquation (art. 45), ou
  • des garanties appropriées (art. 46), assorties de droits opposables et de voies de recours effectives.

Le texte affirme ainsi une distinction fondamentale :

  •  le stockage doit rester dans l’UE/EEE,
  •  les accès distants restent possibles, mais dans un cadre RGPD strict et documenté.

Un contrat HDS enrichi pour renforcer la transparence

L’article R.1111‑11 du CSP est remanié pour faire du contrat un véritable levier de maîtrise des risques :

  • La clause sur les droits des personnes couvre désormais l’ensemble des articles 15 à 21 du RGPD (et non plus la simple portabilité).
  • Tout transfert ou accès à distance depuis un pays tiers doit être clairement documenté.
  • Le nouveau 15° impose d’indiquer :
  1. les législations extra‑européennes susceptibles d’imposer un accès ou un transfert (au sens de l’art. 48 RGPD),
  2. l’existence ou non d’une décision d’adéquation,
  3. les mesures d’atténuation mises en place,
  4. ainsi que les risques résiduels.

Point notable : l’absence de soumission à une législation étrangère doit également être explicitement mentionnée.

Une cartographie publique obligatoire des transferts et accès distants

Grande nouveauté : l’hébergeur devra désormais rendre publique une cartographie comprenant : les transferts éventuels vers des pays tiers ; les accès distants, et les risques d’accès non autorisés.

Cette cartographie devra être mise à jour régulièrement. Les modalités précises seront intégrées au référentiel de certification HDS, ce qui devrait entrainer une nouvelle mise à jour dudit référentiel.

Cette obligation marque une évolution majeure : la gestion des transferts devient visible, traçable et opposable publiquement.

Entrée en vigueur 

Le décret entre en vigueur le 27 mars 2026, à l’exception des dispositions relatives au nouvel article R.1111-9-1 du CSP et à une partie des modifications qui n’entreront en vigueur qu’à l’issu d’un délai de six mois à compter de la publication au JO, soit le 27 septembre prochain.

Ce texte affirme l’objectif de souveraineté numérique renforcée. Le décret verrouille la localisation du stockage dans l’UE/EEE, encadre de manière stricte les accès distants depuis des pays tiers, impose une transparence contractuelle renforcée, et introduit une cartographie publique des risques extra‑européens.

Il transforme ainsi la manière dont les hébergeurs et leurs clients doivent appréhender les risques de transferts ou d’accès non autorisés  le décret place la transparence au cœur de la gouvernance des données de santé.

FAQ 

Qu’est un hébergeur HDS ?

Un hébergeur HDS est un prestataire qui héberge, pour le compte d’un tiers ou du patient lui-même, des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social. Pour l’hébergement numérique, il doit être titulaire d’un certificat de conformité.

Les données de santé doivent-elles désormais être stockées en Europe ?

Oui. Lorsque l’activité d’hébergement donne lieu à un stockage, celui-ci doit être mis en œuvre exclusivement sur le territoire d’un Etat membre de l’UE ou partie à l’EEE.

L’accès à distance depuis un Etat tiers reste-t-il possible ?

Oui, mais pas librement. Le décret prévoit qu’un transfert, y compris un accès à distance, vers un pays hors UE/EEE ne peut avoir lieu que dans les conditions du chapitre V du RGPD, c’est-à-dire notamment sur la base d’une décision d’adéquation ou de garanties appropriées.

Qu’entend-on par « garanties appropriées » ?

Il s’agit des mécanismes prévus par l’article 46 du RGPD permettant d’encadrer un transfert en l’absence de décision d’adéquation. Ces garanties sont la mise en place de clauses types de protection des données adoptées par la commission européenne, , clauses types de protection des données adoptées par une autorité de contrôle et approuvé par la commission, des règles d’entreprises contraignantes, un code de conduite approuvé, un mécanisme de certification  Le décret exige alors que le contrat mentionne l’absence de décision d’adéquation et décrive précisément les garanties mises en place, ainsi que le cas échéant, les mesures complémentaires assurant un niveau de protection équivalent à celui du droit de l’Union.

Que doit désormais contenir le contrat d’hébergement ?

Le contrat doit notamment rappeler les droits des personnes RGPD applicables, les informations relatives à un éventuel transfert et/ou accès à distance depuis un pays tiers, et, si l’hébergeur ou un sous-traitant est soumis à une loi extra-européenne, la liste des réglementations concernées, l’éventuelle décision d’adéquation, les mesures d’atténuation et les risques résiduels.

Décret n°2026-209Télécharger

Captation sonore et vidéoprotection : la CNIL précise la ligne rouge et encadre strictement les exceptions

Le 20 mars 2026, la CNIL a publié une prise de position attendue sur les dispositifs de captation sonore dans des environnements placés sous vidéoprotection.

Le message est clair : le son ne peut pas être enregistré par un système de vidéoprotection. Toutefois, un dispositif sonore distinct, installé dans un lieu déjà placé sous vidéoprotection, peut dans certains cas être admis, à condition de respecter un cadre particulièrement strict.

Cette publication apporte ainsi une clarification importante pour les acteurs publics et privés, notamment en matière de sécurité des personnes et de conformité RGPD.

Le principe : l’interdiction du son en vidéoprotection

La CNIL rappelle que le traitement d’images et de sons sur la voie publique et dans les établissements ouverts au public relève d’un cadre juridique spécifique, principalement issu du Code de la sécurité intérieure (« CSI »). Dans ce cadre, les systèmes de vidéoprotection autorisés peuvent enregistrer des images, mais pas les sons. L’article R. 253-1du CSI vise expressément « les images, à l’exclusion des sons 

Autrement dit, une caméra de vidéoprotection ne peut pas légalement être utilisée pour capter ou enregistrer le son. La CNIL précise que cette interdiction vise aussi bien les caméras, intégrant elles-mêmes un micro que les systèmes opérant un couplage automatique entre la vidéo et un autre enregistrement sonore.

Cette exclusion est justifiée, selon la CNIL, par les risques élevés d’atteinte à la vie privée et à la liberté d’expression.

L’ouverture encadrée : un dispositif sonore distinct, sous conditions strictes

La publication du 20 mars n’assouplit pas l’interdiction de principe applicable aux systèmes de vidéoprotection. En revanche, elle admet qu’un dispositif, installé dans un lieu accessible au public déjà équipé de vidéoprotection, puisse être envisagé si

  • il n’est pas interconnecté au système vidéo,
  • il ne fait l’objet d’aucun couplage automatisé entre le son et l’image,
  • son activation est ponctuelle, déclenchée manuellement en cas d’agression,
  • il est réservé au personnel directement confronté à une menace pour sa sécurité.

La CNIL précise que cette possibilité concerne uniquement des établissements publics ou privés dans des lieux accessibles au public, tels qu’un accueil, un guichet ou un commerce, mais pas la voie publique.

Le raisonnement est donc le suivant : ce n’est pas la présence d’un dispositif sonore dans un lieu vidéoprotégé qui est, en soi, exclue : c’est son intégration fonctionnelle au système de vidéoprotection qui ferait basculer le dispositif dans un régime prohibé.

Une exigence centrale : nécessité et proportionnalité

La CNIL insiste sur le fait que ces dispositifs doivent rester exceptionnels, leur mise en place suppose de démontrer qu’ils sont nécessaires et proportionnés à l’objectif poursuivi, en principe la sécurité des personnes et des biens. Le responsable de traitement doit donc être en mesure de justifier précisément le besoin opérationnel, le périmètre ouvert, les risques identifiés, l’absence de solution moins intrusive et l’équilibre recherché entre la sécurité de l’organisme et les droits des personnes concernées.

En pratique, la CNIL vise surtout l’hypothèse d’un agent ou salarié particulièrement exposé à une agression notamment lorsqu’il travaille de manière isolée. Dans cette hypothèse, la captation sonore et sa transmission directe à des tiers peuvent être justifiées. A l’inverse, la surveillance permanente du personnel est exclue.

La conservation des enregistrements : uniquement en cas d’incident avéré 

La CNIL considère que, si l’activation du dispositif peut relever du salarié ou de l’agent confronté à une menace, la conservation de l’enregistrement au-delà de l’alerte ne doit être possible qu’en cas d’incident avéré, à des fins probatoires. En dehors de cette hypothèse, l’enregistrement devrait être immédiatement supprimé.

La CNIL recommande à cet égard la mise en place, avant tout enregistrement, d’une procédure interne documentée précisant notamment les modalités d’accès aux enregistrements, les conditions de conservation, les durées de stockage, les modalités de suppression, et les sanctions en cas d’usage abusif.

Information des personnes, droits RGPD et dialogue social

La CNIL rappelle également que les membres du personnel doivent être informés du dispositif avant sa mise en place. Cette information vaut aussi bien pour les personnes susceptibles de l’actionner que pour les collègues travaillant dans le même environnement. Les usagers doivent eux aussi être informés notamment par affichage et si possible, oralement ainsi que par un signal lumineux avant le déclenchement de l’enregistrement.

S’agissant des droits des personnes, la CNIL souligne qu’une procédure interne doit être prévue pour permettre l’exercice des droits garanties par le RGPD. Elle précise que ces droits, et en particulier, le droit d’opposition, ne peuvent être écartés que par un acte réglementaire pris dans les conditions de l’article 23 RGPD, autrement dit, si une législation le prévoit.

Enfin, deux prérequis sont mis en avant par la CNIL : la formation des personnels à l’usage du dispositif et, lorsque cela est requis, l’information et/ou la consultation des instances représentatives du personnel, notamment le Comité social et économique (« CSE »).

Une position claire : sécurité oui, surveillance généralisée non

La publication de la CNIL apporte un cadre de lecture clair : pas de captation sonore par vidéoprotection, mais une possibilité résiduelle pour des dispositifs sonores autonomes dans des hypothèses limitées, à condition d’éviter tout couplage automatisé, de réserver le déclenchement à des situations de menace et d’entourer le dispositif de garanties fortes.

La CNIL admet donc, sous conditions strictes, des mécanismes d’alertes sonores ciblées, conçus comme des outils de protection et non comme des instruments de surveillance généralisée.

FAQ – Captation sonore et vidéoprotection

Un système de vidéoprotection peut-il enregistrer le son ?

Non. Le Code de la sécurité intérieure n’autorise, pour la vidéoprotection, que les images à l’exclusion du son. La CNIL rappelle clairement qu’une caméra de vidéoprotection ne peut pas capter ou enregistrer l’audio.

La CNIL interdit-elle tout dispositif sonore dans un lieu déjà vidéoprotégé ?

Non. Elle admet qu’un dispositif de captation sonore distinct puisse exister dans un lieu déjà placé sous vidéoprotection, à condition qu’il ne soit pas interconnecté aux caméras et qu’il n’y ait pas de couplage automatisé entre son et image.

Dans quels lieux un tel dispositif peut-il être envisagé ?

Dans des établissements publics, ou privés, ouvert au public, par exemple, un accueil, un guichet ou un commerce, mais pas sur la voie publique.

Quelles précautions pratiques faut-il prévoir avant déploiement ?

Il faut au minimum : informer les personnes concernées, encadrer les accès et la conservation par une procédure interne, et, lorsque cela est nécessaire, informer / consulter le CSE ou les instances équivalentes.

Qu’est-ce qu’un couplage automatisé ?

Il s’agit d’un lien technique ou fonctionnel entre un dispositif sonore et un système de vidéoprotection, de sorte que le son est associé automatiquement à l’image. La CNIL vise dans sa publication précisément les systèmes qui enregistrent eux-mêmes le son ou qui effectuent un tel couplage automatique avec d’autres enregistrements sonores.

Les-dispositifs-de-captation-sonore-couples-a-la-videoprotection-_-CNIL