Combien de temps pouvez-vous conserver le CV d’un candidat non retenu ? Cette question revient systématiquement dans les services RH, et pour cause : une erreur peut coûter cher, cela peut aller jusqu’à 4% du chiffre d’affaires mondial ou 20 millions d’euros en cas de sanction CNIL.
Depuis l’entrée en vigueur du RGPD, la gestion des candidats non retenus est strictement encadrée. Entre la règle des 2 ans, l’obligation d’information, le droit d’opposition et les méthodes de destruction sécurisée, les professionnels RH doivent naviguer dans un cadre juridique précis.
Ce guide pratique vous apporte toutes les réponses : durées de conservation, mentions obligatoires, procédures conformes et bonnes pratiques pour sécuriser votre processus de recrutement sans risque.
La règle d’or du RGPD : le délai des 2 ans
Le RGPD impose le principe de « limitation de la conservation » des données personnelles, c’est-à-dire que les informations collectées ne doivent être conservées que pour une durée justifiée par la finalité du traitement. En matière de recrutement, la Commission Nationale de l’Informatique et des Libertés (CNIL) recommande de ne pas conserver le CV d’un candidat non retenu au-delà de 2 ans après le dernier contact avec ce dernier. Ce délai est devenu la référence pour l’ensemble des professionnels du secteur, d’ailleurs la CNIL pose cette durée dans son référentiel.
Pourquoi 2 ans est la durée de référence ?
La durée de 2 ans n’est pas arbitraire : elle est issue d’une recommandation officielle de la CNIL comme énoncé plus tôt, qui considère que ce laps de temps est suffisant pour permettre à un recruteur de recontacter un candidat pour une nouvelle opportunité, tout en évitant une conservation excessive des données. Cette durée est reconnue comme « pertinente » au regard de la finalité du traitement (gestion d’une réserve de candidatures). Au-delà de ce délai, la conservation du CV n’a plus de justification légitime et expose l’employeur à des sanctions.
Exemple pratique : Un candidat postule en janvier 2024. S’il n’est pas retenu, son CV peut être conservé jusqu’en janvier 2026, à condition de respecter les autres obligations du RGPD (le droit d’information, droit d’opposition, etc.).
Le point de départ du délai : à partir de quand commence-t-on à compter ?
Le délai de 2 ans commence à courir à partir du dernier contact avec le candidat. Il peut s’agir, par exemple, de la date d’envoi d’un mail de refus, d’une prise de contact téléphonique ou de la dernière mise à jour du CV par le candidat. Il est donc important de tracer ces échanges afin de pouvoir justifier la durée de conservation en cas de contrôle.
Conseil : Intégrez dans votre logiciel de gestion des candidatures, un suivi précis des dates de dernier contact, pour automatiser la suppression des dossiers arrivés à échéance.
L’obligation d’information dès la réception du CV
Dès la collecte du CV, le recruteur doit informer le candidat de la manière dont ses données seront traitées, du délai de conservation, de ses droits (accès, rectification, opposition, suppression), et des modalités pour les exercer. Cette information doit être claire, accessible et complète, idéalement dans un encadré ou un lien vers la politique de confidentialité sur le formulaire de candidature.
La mention doit comporter : l’identité du responsable de traitement, les coordonnées du DPO si vous en avez désigné un, l’objectif poursuivi, la base légale, le caractère obligatoire des réponses ainsi que des conséquences en cas de défaut de réponse, le destinataire des informations, la durée de conservation des données, les conditions d’exercice des droits, la possibilité de porter plainte auprès de la CNIL, précisé si il y a eu une utilisation d’une solution algorithmique de tri des candidatures.
Le droit d’opposition : Le candidat reste maître de ses données
Le RGPD confère au candidat un droit d’opposition à la conservation de son CV. Cela signifie que, même si le recruteur souhaite constituer un vivier de talents, il doit respecter la volonté du candidat qui s’oppose à la conservation de ses données. Ce droit doit être mentionné explicitement dans l’information fournie au candidat, et sa demande doit être traitée sans délai.
Obtenir l’accord du candidat pour la conservation
Pour conserver un CV au-delà du processus de recrutement initial, il est recommandé d’obtenir le consentement explicite du candidat. Ce consentement peut être recueilli via une case à cocher sur le formulaire de candidature, ou par mail, en précisant la finalité (« intégration dans notre vivier de talents ») et la durée de conservation.
Exemple de formulation : « Acceptez-vous que votre CV soit conservé pendant 2 ans afin de vous recontacter pour de futures opportunités ? Oui / Non ».
Que faire si le candidat demande la suppression immédiate ?
Si un candidat exerce son droit à la suppression, le recruteur doit supprimer sans délai toutes les données le concernant (CV, notes d’entretien, échanges). Il est conseillé d’accuser réception de la demande et de confirmer la suppression effective, afin de sécuriser le process et de rassurer le candidat.
Bonnes pratiques : Prévoir un canal de contact dédié (adresse mail RGPD, formulaire en ligne) et former les équipes RH à la gestion rapide de ces demandes.
Le cas des CV “non sollicités” (Candidatures spontanées)
Les candidatures spontanées sont également soumises aux règles du RGPD. Il convient d’informer le candidat, dès la réception de son CV, de la manière dont ses données seront traitées et conservées. Si le CV n’est pas retenu, appliquez le même délai de conservation de 2 ans, sauf opposition du candidat.
Conseil : répondez systématiquement aux candidatures spontanées pour formaliser le début du délai de conservation et rappeler les droits du candidat.
Comment gérer la fin de vie des données de recrutement ?
À l’issue du délai de conservation, les données des candidats doivent être supprimées ou, dans certains cas, archivées de manière sécurisée si une obligation légale le justifie (litige en cours, contrôle administratif). L’entreprise doit s’assurer que les CV et documents associés ne sont plus accessibles aux personnes non habilitées.
L’archivage intermédiaire vs la suppression définitive
L’archivage intermédiaire consiste à conserver certaines données, de façon sécurisée et limitée, uniquement en cas de besoin légal (contentieux, contrôle URSSAF, etc.). La suppression définitive, quant à elle, implique l’effacement complet de toutes les copies du CV, y compris dans les sauvegardes.
Exemple : Si un candidat conteste un recrutement, il peut être pertinent de conserver temporairement les échanges liés à son dossier, mais uniquement pour la durée strictement nécessaire.
Les méthodes de destruction sécurisée : Du fichier PDF au CV papier
La destruction sécurisée est essentielle pour éviter toute fuite de données. Pour les CV numériques (PDF, Word), il convient de supprimer les fichiers des serveurs, des boîtes mails et des sauvegardes. Pour les CV papier, privilégiez le broyage ou la destruction par un prestataire spécialisé, on évite de juste jeter le CV dans la poubelle car ce dernier contient énormément de données personnelles.
Conseil pratique : Tenez un registre des destructions et sensibilisez vos équipes à la confidentialité lors de la manipulation des CV.
L’anonymisation : Une alternative pour conserver des statistiques de recrutement
L’anonymisation consiste à supprimer tout élément permettant d’identifier un candidat (nom, coordonnées, etc.), tout en conservant certaines données à des fins statistiques. Cette pratique permet d’évaluer l’efficacité des campagnes de recrutement sans contrevenir au RGPD.
Attention : L’anonymisation doit être irréversible pour être conforme. Si une ré-identification reste possible, il ne s’agit pas d’une anonymisation mais d’une pseudonymination.
Pourquoi est-il risqué de garder un CV trop longtemps ?
Le risque juridique : les sanctions de la CNIL pour conservation excessive
Conserver un CV au-delà du délai recommandé expose l’entreprise à des sanctions administratives de la CNIL, qui peuvent aller jusqu’à 4 % du chiffre d’affaires mondial ou 20 millions d’euros. Des contrôles sont régulièrement effectués, notamment dans les entreprises de taille moyenne et les cabinets de recrutement.
Le risque de sécurité : plus vous stockez, plus vous êtes exposé en cas de fuite de données
Une conservation excessive augmente le volume de données sensibles stockées, et donc le risque d’une fuite ou d’une attaque informatique. En cas de violation, l’entreprise doit notifier la CNIL et les personnes concernées, avec des conséquences réputationnelles et financières parfois lourdes. Limitez l’accès aux CV aux seules personnes habilitées, chiffrez les données sensibles et effectuez des audits réguliers de vos bases de candidatures.
L’esprit du RGPD : Pourquoi la “minimisation” s’applique aussi aux talents
La minimisation des données est un principe fondamental du RGPD : seules les informations strictement nécessaires doivent être collectées et conservées. Appliqué au recrutement, cela signifie qu’il n’est pas justifié de conserver indéfiniment des CV « au cas où », ni de constituer des bases de données de talents sans finalité précise.
Conseil : Interrogez-vous régulièrement sur la pertinence des données conservées et effectuez des « nettoyages » périodiques de votre vivier de talents.
FAQ sur la gestion des CV
Peut-on garder un CV 5 ans si le candidat est d’accord ?
Le consentement du candidat ne justifie pas tout : la conservation doit rester limitée à la finalité du traitement. La CNIL considère que 2 ans est un maximum raisonnable. Dépasser cette durée, même avec accord écrit, doit être justifié par une nécessité réelle (exemple : métiers très spécifiques ou cycles de recrutement longs). Dans tous les cas, informez précisément le candidat de la durée et de la possibilité de retirer son accord à tout moment.
Doit-on aussi supprimer les comptes-rendus d’entretien ?
Oui, les comptes-rendus d’entretien sont des données personnelles et suivent les mêmes règles que les CV. Ils doivent être supprimés en même temps que le reste du dossier candidat, sauf obligation légale ou contentieuse justifiant leur conservation temporaire.
Quelles règles pour les cabinets de recrutement vs les entreprises ?
Les cabinets de recrutement, en tant que sous-traitants, sont soumis aux mêmes obligations que les entreprises clientes. Ils doivent respecter les délais de conservation, informer les candidats et garantir la sécurité des données. Les entreprises clientes doivent s’assurer, via des clauses contractuelles, que leurs prestataires appliquent bien le RGPD.
Bonnes pratiques et synthèse
Vous disposez maintenant de toutes les clés pour gérer conformément la conservation des CV de vos candidats non retenus. Voici les 6 points essentiels à ne jamais oublier :
- 2 ans maximum à compter du dernier contact
- Information obligatoire dès réception du CV (durée, droits, contact)
- Consentement explicite pour la mise en vivier de talents
- Droit d’opposition = suppression immédiate sur demande
- Destruction sécurisée (fichiers numériques + papier)
- Documentation dans le registre des traitements
Les risques à ne pas sous-estimer
Une conservation excessive expose votre organisation à :
- Sanctions financières : Jusqu’à 4% du CA mondial ou 20 M€
- Risques de fuite : Plus de CV stockés = plus de données exposées
- Atteinte à la réputation : Publication des sanctions CNIL
- Perte de confiance : Candidats qui se sentent “fichés”
Respecter le RGPD dans votre recrutement n’est pas qu’une obligation légale. C’est aussi un signal fort envoyé aux candidats : vous respectez leur vie privée, vous êtes transparent sur vos pratiques, vous leur donnez le contrôle sur leurs données. Dans un marché de l’emploi tendu, c’est un véritable avantage concurrentiel.
Besoin d’Aide pour Mettre en Conformité Votre Processus RH ?
