Fin de contrat de travail : comment archiver et supprimer les données des collaborateurs pour se conformer au RGPD

Publié le par BigD1strict
données des collaborateurs RGPD

données des collaborateurs RGPD

 

 

Un salarié quitte l’entreprise. Que faire de ses données personnelles ?
C’est une question que trop peu de PME se posent. Et pourtant, conserver trop longtemps les dossiers RH d’anciens employés est une erreur fréquente ; parfois lourde de conséquences.

Le Règlement Général sur la Protection des Données (RGPD) impose une règle simple : ne conserver que ce qui est nécessaire à la poursuite des finalités pour lesquelles les données ont été collectées, le temps nécessaire. Passé ce délai, les données doivent être archivées de manière sécurisée ou supprimées.

En 2025, la CNIL a d’ailleurs sanctionné plusieurs organisations pour conservation excessive de données RH. Le message est clair : le “au cas où” n’a plus sa place dans la gestion des données et en particulier les données liées aux ressources humaines.

Cet article vous guide pas à pas :

  • Quelles données RH doivent être archivées ou supprimées ?
  • Quelles durées de conservation respecter ?
  • Comment sécuriser la destruction ?
  • Quel rôle joue le DPO dans cette démarche ?

Et surtout : comment Nouvel Horizon Conseil, expert en protection des données, aide les entreprises à se mettre en conformité et à documenter l’ensemble de leurs traitements RH ?

L’erreur fréquente : conserver trop longtemps les données des ex-salariés

Dans de nombreuses PME, les dossiers RH s’accumulent au fil des années. Dossiers du personnel, notes d’évaluation, copies de cartes d’identité, échanges par courriel. Bien souvent, tout reste conservé “au cas où” sans véritable justification. Cette pratique contrevient directement à l’un des principes fondamentaux du Règlement Général sur la Protection des Données (RGPD) : le principe de conservation limitée de la donnée posé à l’article 5 paragraphe 1 du RGPD.

Garder des données sans raison valable présente à plusieurs risques :

  • Non-conformité réglementaire : l’absence de politique de conservation ou la conservation indue des dossiers RH constitue une violation du principe de limitation et peut entraîner un manquement à l’obligation de responsabilité (article 5-2 du RGPD).
  • Sanctions possibles : la CNIL peut infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial (article 83 du RGPD). Elle a déjà sanctionné plusieurs entreprises pour avoir conservé sans justification les dossiers d’anciens salariés plusieurs années après leur départ.
  • Atteinte aux droits des personnes : les ex-salariés disposent d’un droit à l’effacement de leurs données, s’ils remplient l’une des conditions posées à l’article 17 du RGPD. En cas de refus injustifié ou d’absence de réponse, ils peuvent saisir la CNIL.

Surcharge et risques accrus : Plus il y a de données conservées, plus le risque de fuite de données dû un évènement malveillant ou accidentel augmente. Conserver des données sans justification ne protège en rien l’entreprise sur le plan juridique. À l’inverse, une politique de conservation claire, formalisée et appliquée avec rigueur permet de renforcer la conformité, de préserver la confiance des collaborateurs et d’optimiser l’efficacité opérationnelle des équipes RH.

Les principes RGPD : minimisation et limitation de la conservation

principes RGPD : minimisation et limitation de la conservationLe RGPD repose sur des principes fondamentaux visant à protéger les données personnelles dès leur collecte et tout au long de leur traitement. Parmi eux, la minimisation des données impose de ne collecter et traiter que les informations strictement nécessaires à la finalité poursuivie. De même, le principe de limitation de la conservation exige de ne conserver ces données que pendant la durée nécessaire à leur utilisation. Ensemble, ces principes assurent un traitement proportionné, sécurisé et respectueux des droits des personnes concernées, tout en renforçant la responsabilité et la conformité des organisations.

1. La minimisation des données

En matière de ressources humaines, le principe de minimisation impose de conserver uniquement les données strictement nécessaires aux finalités définies, y compris après la fin du contrat. Dans le cas d’un ancien salarié, à titre d’exemple, il est nécessaire de supprimer les données relatives aux contacts d’urgence, son RIB après versement de tous les salaires et primes dues, etc.

 2. La limitation de la conservation

Le principe de limitation de la conservation implique que les données personnelles ne peuvent être conservées que pour une durée justifiée par l’objectif poursuivi. Dans le cas d’un ancien salarié, il est suffisant de conserver les informations nécessaires à la paie, aux déclarations fiscales et aux obligations légales (bulletins de salaire, certificats de travail) pendant la durée requise par la loi. Il n’est cependant pas nécessaire de conserver indéfiniment ses échanges internes personnels, qui n’ont plus de finalité légitime. Dans la grande majorité des cas, les durées de conservation sont déterminées par des textes légaux ou réglementaires. Toutefois, lorsqu’aucune durée n’est expressément prévue, il appartient au responsable de traitement de fixer une durée proportionnée et justifiée au regard des objectifs qu’il poursuit et le cas échéant au regard de potentiels contentieux.

Ces durées doivent être documentées dans un référentiel dédié aux durées de conservation et dans le registre des traitements, tenus à jour par le DPO.

À retenir : les délais incluent la conservation en base active et l’archivage intermédiaire. Passés ces délais, les données doivent être supprimées ou anonymisées.

 

L’archivage et la destruction sécurisés : les bonnes pratiques

La gestion des données RH ne s’arrête pas au moment où le salarié quitte l’entreprise. Assurer un archivage sécurisé des données devant être conservées et une destruction sécurisée des informations devenues inutiles est essentiel pour respecter certains principes du RGPD et protéger la vie privée des collaborateurs. Supprimer des données ne consiste pas à “vider un dossier”. Le RGPD impose une destruction sécurisée et irréversible, garantissant que les informations ne puissent être restaurées.

A titre d’exemple, quelques étapes essentielles :

  1. Désactiver les accès du salarié : messagerie, outils internes, etc.
  2. Archiver les données : conserver uniquement les documents pour lesquels l’entreprise à une obligation légale et/ou nécessaires dans le cadre d’un potentiel contentieux, sur un support distinct et sécurisé avec un accès limité.
  3. Détruire les documents papier : recours à une déchiqueteuse ou à un prestataire spécialisé et demander un certificat de destruction.

Une politique interne de destruction documentée, appliquée régulièrement et contrôlée par différents acteurs y compris par le DPO, permet à l’entreprise de définir clairement quand, comment et par qui les données personnelles doivent être supprimées. Elle contribue à assurer la conformité de l’entreprise au RGPD. En centralisant les règles d’archivage et de destruction, elle renforce à la fois la sécurité et l’efficacité des services.

Le rôle du DPO dans la gestion des données RH

Le Délégué à la Protection des Données (DPO) est le garant de la conformité au RGPD. Son rôle dans la gestion des données RH est central :

  • Définir les durées de conservation, en collaboration avec la direction des ressources humaines, et formaliser les procédures internes.
  • Mettre à jour le registre des traitements.
  • Former et sensibiliser les équipes RH aux bonnes pratiques de minimisation, de conservation et de destruction.
  • Gérer les demandes d’effacement des anciens salariés dans les délais légaux.
  • Documenter les différentes actions entreprises afin de prouver la conformité en cas de contrôle CNIL.

Le DPO, qu’il soit interne ou externalisé, permet d’anticiper les risques et d’assurer une gestion structurée et conforme des données RH tout au long de leur cycle de vie.

Pourquoi faire appel à Nouvel Horizon Conseil ?

Nouvel Horizon Conseil (NHC) accompagne les PME dans la mise en conformité RGPD de leurs traitements RH. En qualité de DPO externalisé, nous intervenons sur trois axes :

  1. Diagnostic et mise à jour du registre RH : identification des traitements, des durées de conservation et des écarts de conformité.
  2. Procédures internes et automatisation des processus : définition des durées de conservation et de la politique de gestion des archives et suppression des données.
  3. Formation et suivi continu : sensibilisation des équipes RH et pilotage des contrôles périodiques.

Avec NHC, vous bénéficiez :

  • D’un accompagnement sur mesure, adapté à vos contraintes et attentes.
  • D’une documentation complète en fonction des traitement mis en place.
  • D’une valeur ajoutée RH, en renforçant la confiance de vos collaborateurs et partenaires.

 

Contactez-nous

Pour une évaluation personnalisée de vos pratiques de conservation des données RH.

Nos experts DPO vous aideront à mettre en place une conformité efficace, pérenne et documentée.

 

Combien de temps garder les données d’un ex-salarié ?

La durée de conservation des données d’un ex-salarié ne peut pas être uniforme et dépend principalement de deux facteurs : le type de données et les obligations légales ou réglementaires qui s’y rattachent. Chaque catégorie de données a une finalité spécifique et une durée maximale de conservation définie par la loi ou selon les recommandations de la CNIL (source CNIL).

Quelles sont les obligations RGPD à la fin d’un contrat ?

Sécuriser les données de l’entreprise en révoquant par exemple les accès d’un collaborateur sortant, archiver les documents légaux conformément aux obligations réglementaires et aux besoins de l’entreprise (ex : contentieux), supprimer les données inutiles afin de limiter les risques…etc.

Comment supprimer les données de manière sécurisée ?

Mettre en place des méthodes de purge adaptées au support (broyage pour le papier, effacement ou destruction physique pour le numérique) et documenter chaque opération pour garantir la conformité de l’entreprise au RGPD.

Peut-on garder les CV des candidats non retenus ?

Oui, à condition de les en avoir préalablement informé et de leur permettre d’exercer leur droit d’opposition et de suppression. La durée de conservation ne doit en aucun cas excéder les deux ans.