Les données personnelles ne peuvent être conservées que pour une durée limitée, déterminée en amont du traitement. Cela vaut aussi pour les RH.
Comment concilier cette limitation avec les exigences de conservation des données afférentes à un salarié ou ancien salarié pour la continuité de la vie d’une entreprise ?
Dune vous offre quelques clés.
Utiliser les textes légaux ou réglementaires applicables
En matière de RH, bien souvent, les durées de conservation des données des salariés sont déterminées par des textes légaux ou règlementaires.
Ainsi, le Code du Travail comporte plusieurs dispositions indiquant combien de temps les données des salariés doivent être conservées. Ainsi, les données d’un salarié doivent être conservées au sein du registre unique du personnel pendant 5 ans à compter de son départ et les bulletins de paie doivent être conservés pendant 5 ans à compter de leur émission. La CNIL rappelle plusieurs durées de conservation dans référentiel sur la gestion des ressources humaines.
Utiliser des critères de durées de conservation liés à la finalité du traitement
Le responsable du traitement doit identifier des critères permettant de déterminer une durée de conservation afin que celle-ci soit proportionnée à la finalité du traitement. Ces critères peuvent être identifiés sur la base des besoins opérationnels.
La durée de la prescription ou encore l’existence d’un contentieux sont des critères utiles justifiant le traitement de données, car certaines preuves nécessaires dans le cadre d’un contentieux peuvent comporter des données personnelles.
La CNIL ne laisse pas les entreprises complètement démunies et fournit des exemples de durées de conservation des données. Dans son guide sur le recrutement, elle précise que les CV des candidats non retenus peuvent être conservés pendant 2 ans si le candidat a donné son consentement.
Créer des archives avant de supprimer les données
Une fois la durée globale de conservation des données fixée, le cycle de vie de celles-ci (et la durée applicable aux données pour chaque cycle) doit être déterminé :
- les données sont conservées dans une base active, lorsque la finalité de leur traitement n’est pas encore réalisée et qu’elles sont nécessaires pour les opérations quotidiennes de la société. Par exemple, les données nécessaires pour le registre unique du personnel sont conservées en base active tant que le salarié fait partie des effectifs et le bulletin de salaire peut être conservé en base active pendant un mois ;
- les données sont conservées dans une base d’archives, avec accès restreint, lorsque la finalité est réalisée mais qu’elles doivent être conservées pour répondre à une obligation légale ou pour un intérêt administratif (par exemple : gestion d’un contentieux). Ainsi, le bulletin de salaire, une fois la durée d’un mois passé mentionnée ci-dessus, sera conservé pendant 5 ans en base d’archives, et pour le registre unique du personnel les données des salariés y seront conservées à compter de leur départ des effectifs ;
- Une fois la durée de conservation atteinte, les données doivent faire l’objet d’une suppression.