Les normes de protection des données RH définissent précisément comment les entreprises doivent gérer, conserver et sécuriser les données personnelles des employés en 2026. Le référentiel CNIL 2026 constitue le cadre de référence pour les services RH, les DPO et les responsables de traitement. Ce guide détaille les durées légales, les bases juridiques valides, les exigences de sécurité et les sanctions applicables. Chaque professionnel RH ou juridique doit maîtriser ces règles pour protéger les collaborateurs et éviter des amendes pouvant atteindre 250 000 €.
1. Quelles sont les durées de conservation des données RH selon le référentiel CNIL 2026 ?
Depuis avril 2026, la CNIL distingue deux catégories de durées : les durées obligatoires, fixées par la loi, et les durées recommandées, qui constituent des repères de bonne pratique. Cette distinction est fondamentale. Une durée obligatoire s’impose sans marge d’appréciation, tandis qu’une durée recommandée peut être adaptée selon le contexte de l’entreprise.
Voici les principales durées à retenir :
| Type de données | Durée de conservation | Nature |
|---|---|---|
| Dossier salarié après départ | 5 ans | Recommandée |
| Bulletin de paie | 50 ans | Obligatoire |
| Logs de badge | 3 mois | Recommandée |
| Vidéosurveillance | 1 mois | Obligatoire |
| Candidatures non retenues | 2 ans (5 ans à des fins probatoires) | Mixte |
Les dossiers de candidatures non retenues méritent une attention particulière. Ils doivent être supprimés en fin de processus, mais peuvent être archivés 5 ans à des fins probatoires contre une éventuelle discrimination, conformément à l’article L. 1134-5 du Code du travail. Cette règle surprend souvent les équipes RH qui pensent pouvoir tout effacer immédiatement.
Conseil de pro: Paramétrez des alertes automatiques dans votre SIRH pour chaque catégorie de données. Une durée de conservation n’a de valeur juridique que si elle est techniquement appliquée, pas seulement documentée.
La purge automatique et la séparation logique ou physique en archivage intermédiaire sont indispensables pour que la conformité soit réelle. Un tableau Excel de suivi ne suffit pas.
2. Quelles bases juridiques gouvernent le traitement des données RH ?
Le RGPD impose d’identifier une base légale précise pour chaque traitement de données. En matière RH, trois bases légales dominent :
- L’exécution du contrat de travail : couvre la gestion de la paie, des congés, des évaluations et de la formation.
- L’obligation légale : s’applique aux déclarations sociales, à la tenue des registres obligatoires et aux contrôles médicaux réglementaires.
- L’intérêt légitime : utilisé pour la sécurité des locaux, la prévention de la fraude interne ou la gestion des contentieux.
Le consentement des salariés est quasi inopérant en matière RH. La raison est simple : le déséquilibre contractuel entre employeur et salarié rend ce consentement non libre, donc juridiquement invalide. Un salarié qui refuse de signer ne peut pas être sanctionné, ce qui vide le consentement de sa substance.
Il existe cependant des exceptions. L’utilisation d’une photo pour un annuaire interne ou un badge peut reposer sur le consentement, à condition que le refus n’entraîne aucune conséquence professionnelle. Cette nuance doit être documentée dans le registre des traitements.
Conseil de pro: Pour chaque traitement RH, posez-vous la question : “Si le salarié refuse, peut-il être pénalisé ?” Si la réponse est oui, le consentement n’est pas la bonne base légale. Choisissez l’exécution du contrat ou l’obligation légale.
Le consentement n’est jamais la base privilégiée pour le traitement des données RH. Les entreprises doivent identifier précisément la base légale la plus adaptée par type de données.
3. Comment renforcer la sécurité des systèmes de gestion des données RH ?
La sécurité des systèmes RH repose sur trois piliers techniques : le chiffrement, la gestion des habilitations et la traçabilité des accès. Ces trois éléments sont indissociables.
Les bonnes pratiques à mettre en place :
- Chiffrement des données au repos et en transit : toutes les données stockées dans le SIRH et échangées par messagerie doivent être chiffrées selon des standards reconnus (AES-256 pour le stockage, TLS 1.3 pour les échanges).
- Gestion fine des habilitations : chaque collaborateur n’accède qu’aux données strictement nécessaires à sa fonction. Un gestionnaire de paie n’a pas à consulter les dossiers disciplinaires.
- Traçabilité exhaustive des accès : chaque consultation, modification ou export de données doit être horodaté et journalisé.
- Certifications des prestataires : les outils RH externalisés doivent présenter des certifications ISO 27001, SOC 2 ou un hébergement HDS pour les données de santé.
Un fort accent est mis en 2026 sur la traçabilité des accès et des actions comme moyen de preuve en cas de contrôle ou d’incident. Garder des traces précises des accès aux données sensibles dans le SIRH, avec horodatage et justification, est crucial pour sécuriser la preuve en cas d’inspection ou de litige.
La traçabilité des accès n’est plus une option. C’est une exigence probatoire que la CNIL vérifie lors de ses contrôles. Un SIRH sans journalisation des accès expose directement l’entreprise à une mise en demeure.
4. Quels sont les risques et sanctions liés à la non-conformité ?
La CNIL intensifie ses contrôles sur les services RH en 2026. Les sanctions peuvent atteindre 250 000 € pour les manquements constatés. Ce montant s’applique aux entreprises de taille intermédiaire. Pour les grandes entreprises, les amendes RGPD peuvent aller jusqu’à 4 % du chiffre d’affaires mondial.
Les principaux risques identifiés sont :
- Registre des traitements incomplet ou obsolète : plus de 20 à 30 traitements RH doivent être cartographiés et justifiés juridiquement. Un registre non mis à jour est une infraction constatée lors de tout contrôle.
- Durées de conservation non respectées : conserver des données au-delà des durées légales constitue un manquement direct au RGPD.
- Absence de base légale documentée : chaque traitement doit mentionner sa base légale. L’absence de documentation est sanctionnable, même si le traitement est en lui-même légitime.
- Failles de sécurité non notifiées : toute violation de données doit être notifiée à la CNIL dans les 72 heures.
L’impact dépasse la sanction financière. Une violation de données RH détruit la confiance des collaborateurs. Elle génère un risque social réel : augmentation des départs, dégradation du climat interne, couverture médiatique négative. La conformité est un levier de confiance auprès des salariés, pas seulement une obligation réglementaire.
5. Comment appliquer le référentiel CNIL 2026 dans vos pratiques RH ?
La mise en conformité suit une logique en quatre étapes. Chaque étape conditionne la suivante.
-
Cartographier tous les traitements RH : listez chaque traitement (recrutement, paie, formation, évaluation, contrôle d’accès, vidéosurveillance) et associez-lui une base légale et une durée de conservation. Les professionnels doivent cartographier les traitements RH et renseigner les bases juridiques dans le registre.
-
Paramétrer les automatisations de suppression dans le SIRH : une durée de conservation documentée mais non appliquée techniquement n’a pas de valeur juridique. Configurez des règles de purge automatique pour chaque catégorie de données.
-
Mettre en place l’archivage intermédiaire : certaines données ne peuvent pas être supprimées immédiatement pour des raisons probatoires. Créez une séparation logique ou physique entre la base active et l’archive intermédiaire, avec des accès restreints.
-
Former les équipes RH : les gestionnaires RH doivent connaître les durées applicables à leur périmètre. Une formation annuelle sur les procédures de suppression et de traitement des demandes d’exercice de droits est indispensable.
Conseil de pro: Le référentiel CNIL est un outil de droit souple. Il facilite la conformité mais n’exonère pas d’une analyse contextuelle spécifique à chaque entreprise. Une durée recommandée peut être adaptée si vous documentez le raisonnement.
La démonstration de la conformité passe par des politiques écrites, des registres à jour, une formation documentée et une traçabilité technique. Ces quatre éléments constituent le dossier de preuve que la CNIL demande lors d’un contrôle.
Points clés
La conformité aux normes de protection des données RH en 2026 exige une cartographie complète des traitements, des durées de conservation automatisées, des bases légales documentées et une traçabilité technique des accès.
| Point | Détails |
|---|---|
| Référentiel CNIL 2026 | Distingue durées obligatoires et recommandées pour chaque type de données RH. |
| Bases légales en RH | Le consentement est invalide en RH. Privilégiez l’exécution du contrat ou l’obligation légale. |
| Sécurité technique | Chiffrement, habilitations et journalisation des accès sont des exigences probatoires vérifiées par la CNIL. |
| Sanctions financières | Les manquements peuvent entraîner des amendes jusqu’à 250 000 € pour les entreprises de taille intermédiaire. |
| Mise en conformité | Cartographiez, automatisez les suppressions, archivez séparément et formez vos équipes chaque année. |
Ce que la conformité RH m’a appris sur la vraie gestion des risques
Après des années à accompagner des équipes RH sur des projets de mise en conformité RGPD, j’ai constaté une erreur récurrente : traiter la protection des données comme un projet ponctuel plutôt que comme une discipline permanente. Les entreprises mobilisent des ressources importantes lors d’un audit ou d’une mise en demeure, puis relâchent leur vigilance dès que la pression retombe.
Ce que le référentiel CNIL 2026 change concrètement, c’est l’exigence de preuve continue. La CNIL ne demande plus seulement “avez-vous une politique ?” mais “pouvez-vous démontrer que vous l’appliquez techniquement, aujourd’hui ?” Cette évolution est saine. Elle force les organisations à intégrer la conformité dans leurs outils, pas seulement dans leurs documents.
La protection des données RH est devenue un enjeu stratégique qui dépasse le juridique. Elle impacte la confiance interne et la continuité opérationnelle. Un salarié qui sait que ses données sont mal gérées ne fait plus confiance à son employeur. Ce lien entre conformité et climat social est sous-estimé par la plupart des directions.
Le risque que je vois monter en 2026 concerne l’usage des outils d’IA par les équipes RH. Les collaborateurs utilisent des outils d’IA générative pour traiter des dossiers salariés, rédiger des évaluations ou analyser des candidatures. Ces usages non encadrés constituent du Shadow AI. Ils exposent des données personnelles sensibles à des traitements non conformes, sans que le DPO en soit informé. C’est le prochain angle d’attaque des contrôles CNIL.
— Jacques
Safe-doc : pseudonymiser les données RH avant de les confier à l’IA
Les équipes RH utilisent quotidiennement des outils d’IA pour analyser des CV, rédiger des comptes rendus d’entretien ou préparer des plans de formation. Ces usages exposent des données personnelles sensibles si aucune protection n’est mise en place.
Safe-doc résout ce problème en pseudonymisant automatiquement les documents RH avant qu’ils soient traités par un outil d’IA. Les noms, numéros de sécurité sociale, adresses et autres données identifiantes sont remplacés par des pseudonymes. L’IA travaille sur un document sécurisé. Safe-doc ne stocke jamais les documents originaux, ce qui garantit une conformité RGPD par conception. Pour les équipes RH qui veulent utiliser l’IA sans exposer leurs données, la solution Safe-doc pour les RH est conçue pour s’intégrer dans les flux de travail existants. Les DPO peuvent également consulter la page conformité et audit pour évaluer l’adéquation avec le référentiel CNIL 2026.
Questions fréquentes
Qu’est-ce que le référentiel CNIL 2026 pour les données RH ?
Le référentiel CNIL 2026 est un document de droit souple publié en avril 2026 qui fixe les durées de conservation des données RH, en distinguant durées obligatoires et durées recommandées. Il couvre les dossiers salariés, bulletins de paie, logs de badge et vidéosurveillance.
Quelle est la durée de conservation d’un bulletin de paie ?
La durée de conservation d’un bulletin de paie est de 50 ans. Cette durée est obligatoire et s’impose à tous les employeurs sans possibilité d’adaptation.
Pourquoi le consentement du salarié est-il invalide comme base légale RH ?
Le consentement est invalide en RH car le déséquilibre contractuel entre employeur et salarié le rend non libre au sens du RGPD. Les bases légales à privilégier sont l’exécution du contrat de travail et l’obligation légale.
Quelles sanctions risque-t-on en cas de non-conformité aux normes RH 2026 ?
La CNIL peut prononcer des amendes jusqu’à 250 000 € pour les entreprises de taille intermédiaire. Les grandes entreprises s’exposent à des sanctions pouvant atteindre 4 % de leur chiffre d’affaires mondial annuel.
Comment le Shadow AI menace-t-il la conformité des données RH ?
Le Shadow AI désigne l’usage non encadré d’outils d’IA par les collaborateurs pour traiter des données personnelles. Ces usages exposent des données RH sensibles sans base légale ni mesure de sécurité, ce qui constitue une violation du RGPD susceptible d’être sanctionnée lors d’un contrôle CNIL.