MyCVthèque ← Retour à l'accueil
🔒 Conformité RGPD 2026

Durée de conservation des CV candidats : ce que dit le RGPD en 2026

Publié le 2 juin 2026 par l'équipe PRESTADEV — MyCVthèque · Mis à jour pour la doctrine CNIL 2026

Temps de lecture : 15 min — Guide opérationnel pour DPO, responsables RH et dirigeants TPE/PME
🎯 L'essentiel en 200 mots : En 2026, conserver indéfiniment les CV reçus reste l'une des erreurs RGPD les plus fréquentes dans les TPE et PME françaises — et l'une de celles que la CNIL sanctionne le plus volontiers en contrôle. Le RGPD lui-même ne fixe pas de durée chiffrée : il impose, via l'article 5.1.e, le principe de limitation de la conservation. C'est la CNIL qui, à travers son référentiel de gestion des candidatures, recommande une durée maximale de 2 ans à compter du dernier contact avec le candidat non retenu, sauf consentement explicite pour une intégration en vivier. Cette règle se décline en pratique en cinq cas distincts : candidature en cours, recrutement abouti, candidature non retenue, talent pool consenti, candidature spontanée, et le cas particulier du formateur vacataire CFA qui justifie une approche dédiée. Ce guide opérationnel détaille chaque cas, livre un tableau pratique réutilisable, explique la position CNIL 2026, décortique les sanctions récentes 2024-2026 (TPE, PME, ETI) et montre comment un ATS conforme automatise ces durées sans intervention humaine — la seule manière fiable d'éviter les écarts.
📘 Télécharger le guide RGPD recrutement gratuit 🎥 Demander une démo ATS RGPD

📑 Table des matières

Le principe RGPD : article 5 et limitation de la conservation

Toute réflexion sur la durée de conservation d'un CV commence par un texte unique, applicable directement dans les vingt-sept États membres de l'Union européenne depuis le 25 mai 2018 : le Règlement (UE) 2016/679, dit RGPD. Ce texte ne fixe pas, contrairement à une idée reçue, une durée chiffrée pour la conservation des données candidats. Il pose un principe — la limitation de la conservation — et c'est l'autorité de contrôle nationale (la CNIL en France) qui en dérive ensuite des recommandations opérationnelles, parfois reprises dans des référentiels sectoriels.

Article 5.1.e — limitation de la conservation

Le texte de référence est l'article 5, paragraphe 1, point e du RGPD : les données à caractère personnel doivent être « conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». Cette formulation est volontairement abstraite. Elle ne dit pas « 2 ans » ni « 5 ans » : elle dit « le temps nécessaire ». Et c'est à chaque responsable de traitement (l'employeur, le cabinet de recrutement, le CFA) de justifier ce qui est nécessaire pour sa finalité propre.

En pratique, cette obligation impose trois choses au responsable RH ou au DPO d'une TPE/PME. Premièrement, documenter la durée prévue dans le registre des traitements (article 30). Deuxièmement, communiquer cette durée au candidat dans la mention d'information jointe à la collecte (articles 13 et 14). Troisièmement, mettre en place un mécanisme effectif de suppression ou d'anonymisation à expiration, et savoir le prouver en cas de contrôle CNIL (article 5.2 — principe de responsabilité, dit accountability).

Pourquoi le RGPD ne donne pas de chiffre exact

Le législateur européen a sciemment renoncé à une grille de durées chiffrée. Pour deux raisons. D'une part, parce que les durées légitimes varient considérablement selon la finalité : une candidature pour un poste en CDI n'a pas la même durée utile qu'un vivier de formateurs vacataires pour un CFA, lui-même différent d'un fichier de candidats à un concours administratif. D'autre part, parce que les autorités nationales (CNIL en France, AEPD en Espagne, ICO au Royaume-Uni au moment de l'adoption, etc.) sont mieux placées pour calibrer ces durées en fonction des usages sectoriels nationaux.

Cette flexibilité a un revers : elle laisse les responsables RH sans repère opérationnel clair. La CNIL a comblé cette absence en publiant, dès 2019, un référentiel relatif aux traitements de gestion des candidatures (délibération n°2019-001), qui propose les durées-types reprises dans le tableau de la section suivante. Ce référentiel n'est pas un texte normatif au sens juridique strict : c'est une référence interprétative qui sert de boussole en contrôle et qui structure les exigences que la CNIL adresse aux entreprises.

Trois principes complémentaires qui s'imposent en parallèle

Au-delà de l'article 5.1.e, trois autres principes du RGPD encadrent la conservation des CV candidats. Le principe de minimisation (article 5.1.c) impose de ne collecter que les données strictement nécessaires à la finalité de recrutement — pas de données de santé hors aménagement de poste, pas de données sur la vie privée, pas de données sur l'origine ethnique. Le principe d'exactitude (article 5.1.d) exige de tenir à jour les données conservées, ce qui implique soit de rafraîchir périodiquement les fiches en vivier, soit de les supprimer. Le principe de sécurité (article 32) impose des mesures techniques et organisationnelles appropriées : chiffrement au repos et en transit, contrôle d'accès, journalisation des consultations, sauvegarde sécurisée.

Un employeur qui conserverait des CV au-delà de 2 ans sans consentement explicite, sans mention dans son registre des traitements, sans mécanisme de purge et sans contrôle d'accès, accumule mécaniquement des manquements à au moins quatre articles distincts du RGPD. La CNIL, lors de ses contrôles thématiques, examine systématiquement ces quatre dimensions de manière conjointe.

Les durées par type de candidature — tableau pratique

Voici le tableau opérationnel à imprimer et à coller à côté de votre poste si vous êtes responsable RH ou DPO d'une TPE/PME. Il synthétise les six cas types les plus fréquents en France en 2026, avec la durée recommandée par la CNIL, la base légale RGPD à invoquer, la date de départ du compteur et l'action à mener à expiration.

Type de candidature Durée recommandée CNIL Base légale RGPD Date de départ du compteur Action à expiration
Candidature en cours (process actif) Durée du process + 30 jours Intérêt légitime du recrutement (art. 6.1.f) ou mesures précontractuelles (art. 6.1.b) Date de dépôt de la candidature Bascule automatique vers « non retenue » ou « recruté » selon issue
Candidature non retenue 2 ans max Intérêt légitime de gestion administrative + preuve de non-discrimination Date du dernier contact (refus envoyé, dernier email) Suppression définitive ou anonymisation statistique
Talent pool / vivier consenti 2 ans renouvelable Consentement explicite du candidat (art. 6.1.a) Date du consentement initial ou du dernier renouvellement Email d'actualisation : confirme, refuse, supprime
Candidature spontanée (sans poste précis) 2 ans max si pas de consentement vivier Intérêt légitime puis consentement si conservation prolongée Date de réception de la candidature spontanée Email de réengagement à 22 mois, suppression à 24 mois
Candidat recruté Durée du contrat + durées légales DRH (5 ans bulletins de paie, etc.) Exécution du contrat de travail (art. 6.1.b) + obligation légale (art. 6.1.c) Date de signature du contrat de travail Bascule de la fiche candidat vers le dossier salarié
Formateur vacataire CFA Durée de la mission + 5 ans (preuves Qualiopi) ; vivier consenti renouvelable Exécution du contrat + obligation légale (référentiel Qualiopi) + consentement pour vivier Date de fin de la dernière mission Conservation isolée 5 ans + vivier consenti renouvelé tous les 2 ans

Comment lire ce tableau au quotidien

Le tableau se lit ligne par ligne, par cas concret. Lorsqu'une candidature arrive dans votre ATS, le statut initial est candidature en cours : pas de souci, vous êtes dans la durée nécessaire au processus, légitimée par l'intérêt légitime du recrutement ou par les mesures précontractuelles (vous instruisez l'éventualité d'un contrat). Le déclencheur RGPD important n'est pas la réception : c'est la décision finale, parce que c'est elle qui fait basculer la fiche dans l'un des cas suivants.

Si la candidature est non retenue, le compteur de 2 ans démarre à la date du dernier contact, c'est-à-dire en général à la date d'envoi du refus. Si vous décidez de proposer au candidat d'intégrer votre talent pool, vous devez recueillir un consentement explicite — typiquement par une case à cocher non pré-cochée dans le formulaire de refus ou dans un email de proposition séparée — et ce consentement doit pouvoir être retiré à tout moment via un lien de désinscription clair.

La candidature spontanée est le cas piège : beaucoup de TPE conservent ces CV par défaut « au cas où », sans formaliser de base légale ni de durée. La CNIL traite ces dossiers avec la même grille que les candidatures non retenues : 2 ans maximum, point. Pour aller au-delà, il faut un consentement explicite à l'intégration en vivier, sollicité dès l'accusé de réception de la candidature spontanée.

Le candidat recruté change de régime juridique au moment de la signature du contrat. Sa fiche candidat doit basculer vers un dossier salarié, et les durées légales DRH s'appliquent : 5 ans pour les bulletins de paie, durée de la relation contractuelle + 5 ans pour les contrats, 6 ans pour les déclarations sociales nominatives. La fiche candidat originale peut être conservée comme pièce du dossier salarié si elle est pertinente, ou anonymisée si elle ne sert plus.

Enfin, le cas du formateur vacataire CFA est traité en détail à la section dédiée plus bas, parce qu'il superpose plusieurs régimes (contrat ponctuel + preuve Qualiopi + vivier réutilisable) qui méritent une analyse séparée.

Position CNIL et durées recommandées 2026

La CNIL n'écrit pas le droit, mais elle l'interprète et le fait respecter. Sa doctrine est donc le repère le plus utile pour un DPO ou un responsable RH français. Voici l'état de cette doctrine à mi-2026, consolidée à partir du référentiel de 2019, des décisions de sanction publiées depuis, des fiches pratiques sectorielles et des communiqués thématiques annuels.

Le référentiel candidatures de 2019, toujours d'actualité en 2026

Le texte structurant reste la délibération n°2019-001 du 10 janvier 2019 portant adoption d'un référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de la gestion des activités commerciales et de la gestion des candidatures. Ce référentiel pose explicitement la durée de 2 ans à compter du dernier contact comme la durée maximale standard pour les candidatures non retenues, en l'absence de consentement explicite à une conservation prolongée. La CNIL a confirmé en 2024 et 2025, dans plusieurs communications publiques, que cette doctrine restait stable, et l'a réaffirmée en 2026 dans son rapport annuel.

Les sept points sur lesquels la CNIL est intransigeante

L'analyse des décisions de sanction publiées 2023-2025 permet d'isoler les sept points sur lesquels la CNIL ne transige jamais lors d'un contrôle thématique recrutement. Premièrement, la durée doit être documentée dans le registre des traitements et communiquée aux candidats. Deuxièmement, elle doit être effectivement appliquée par un mécanisme technique (purge automatique ou alerte manuelle systématique), pas seulement énoncée. Troisièmement, le consentement vivier doit être libre et univoque : pas de case pré-cochée, pas de formulation ambiguë. Quatrièmement, la base légale doit être identifiée et pertinente (intérêt légitime, consentement, obligation légale, exécution contractuelle). Cinquièmement, l'accès aux fiches doit être restreint au personnel habilité, avec journalisation des consultations. Sixièmement, les durées doivent être proportionnées à la finalité : 5 ans pour une candidature non retenue est manifestement disproportionné. Septièmement, les candidats doivent pouvoir exercer leurs droits (accès, rectification, effacement, opposition, portabilité) facilement, sans procédure lourde.

Le focus 2026 de la CNIL : automatisation et journalisation

Dans son programme de contrôle 2026, la CNIL a annoncé un focus thématique sur deux sujets en lien direct avec la conservation des CV : l'automatisation des purges (les responsables de traitement qui se contentent d'une politique sans mise en œuvre technique sont prioritaires) et la journalisation des accès aux fiches candidats (qui consulte quelle fiche, quand, pourquoi). Ces deux axes sont précisément ceux sur lesquels un ATS conforme apporte une valeur immédiate, à condition qu'il soit configuré finement par tenant et par finalité.

La doctrine CNIL face aux usages IA 2026

Sujet émergent : l'usage de l'IA dans le tri des candidatures soulève en 2026 une question complémentaire sur la conservation. Les CV utilisés pour entraîner ou affiner un modèle de scoring sont-ils des données candidats au sens classique, ou des données d'entraînement IA relevant d'un autre régime ? La CNIL n'a pas tranché formellement, mais sa doctrine intermédiaire — exprimée dans plusieurs avis publics — recommande de traiter ces données avec la durée la plus courte des deux régimes (durée candidat de 2 ans), sauf consentement explicite distinct pour l'usage IA. Cette précaution évite les risques d'une réutilisation prolongée non consentie de données nominatives.

Que faire à expiration : suppression, anonymisation, archivage

À l'échéance de la durée de conservation, trois options techniques et juridiques s'offrent au responsable de traitement. Elles ne sont pas équivalentes, et le choix n'est pas neutre. Voici comment trancher en 2026.

Option 1 — Suppression définitive : la voie royale

La suppression définitive consiste à effacer irréversiblement la fiche candidat et tous les documents associés (CV, lettre de motivation, pièces jointes, historique d'échanges). C'est la voie privilégiée par la CNIL et la plus simple à justifier en contrôle : la donnée n'existe plus, donc le risque est nul. Une suppression correcte implique trois choses : effacer la donnée en base principale, effacer toutes les copies de sauvegarde après leur durée de rotation normale, et effacer les pièces jointes binaires stockées dans le stockage objet ou le SFTP associé. Un ATS conforme journalise chaque suppression dans un audit-log non modifiable, qui sert de preuve d'exécution en cas de contrôle.

Un piège classique : la « suppression logique » (un drapeau deleted=true dans la base mais la donnée reste lisible) n'est pas une suppression au sens RGPD. La CNIL exige une suppression physique réelle, démontrable. Les ATS sérieux exécutent un DELETE SQL réel et une suppression effective des binaires, avec confirmation horodatée.

Option 2 — Anonymisation : conserver la statistique, perdre l'identité

L'anonymisation consiste à transformer la fiche pour qu'elle ne permette plus, directement ni indirectement, d'identifier la personne — tout en conservant des données utiles à des fins statistiques (sources de candidatures, taux de conversion par canal, durée moyenne du process, etc.). C'est une option pertinente pour le pilotage RH, à condition d'être réellement anonymisante. L'enjeu juridique est délicat : si la procédure laisse subsister une possibilité de réidentification (par recoupement avec des données externes), elle n'est pas anonymisation au sens RGPD mais pseudonymisation, et reste soumise au règlement.

Une anonymisation correcte pour un CV consiste typiquement à : supprimer nom, prénom, email, téléphone, adresse, date de naissance, photographie, signature numérique, URL des profils en ligne (LinkedIn, etc.) ; conserver uniquement la tranche d'âge, le département de résidence, la catégorie professionnelle, les compétences agrégées, la source de candidature, le résultat final. L'opération doit être irréversible (impossibilité technique de retrouver l'identité depuis la fiche anonymisée).

Option 3 — Archivage intermédiaire : le filet de sécurité

L'archivage intermédiaire est une conservation isolée d'une fiche, dans une zone de stockage à accès très restreint, pour répondre à une obligation de preuve ou à une éventuelle action en justice. La CNIL admet ce régime à des conditions strictes : durée limitée elle-même (en général 5 ans, parfois moins selon la matière), accès restreint à une ou deux personnes habilitées, justification documentée dans le registre des traitements (typiquement une prescription légale ou un risque contentieux identifié), journalisation de chaque accès à l'archive.

L'archivage indéfini en accès opérationnel — par exemple, garder la fiche dans l'ATS principal au cas où — est interdit. C'est l'un des manquements les plus fréquemment sanctionnés par la CNIL lors des contrôles thématiques recrutement.

Tableau de décision : quelle option choisir ?

SituationOption recommandée
Candidature non retenue, pas de litige, pas d'utilité statistique fineSuppression définitive
Candidature non retenue, besoin de KPI source ou de mesure de discriminationAnonymisation puis conservation statistique
Candidature avec litige en cours ou prescriptible (discrimination alléguée par exemple)Archivage intermédiaire sur durée précise documentée
Candidature spontanée non suivie d'effetSuppression définitive
Vivier consenti qui n'a pas été renouveléTentative de renouvellement, puis suppression si pas de réponse

Cas particulier : formateur vacataire CFA et fichier vivier

Le formateur vacataire en CFA est un profil singulier qui justifie un traitement dédié dans toute politique de conservation. Il se distingue du candidat classique par trois caractéristiques cumulatives : il est réutilisable d'une session à l'autre (logique de vivier), il fait l'objet d'une preuve réglementaire au titre de Qualiopi (durée de conservation imposée), et il opère sur des contrats ponctuels successifs plutôt que sur un contrat de travail unique. Trois régimes juridiques se superposent, et chacun a sa propre durée. Voici comment les articuler proprement.

Premier régime : la conservation contractuelle

Chaque mission de vacation donne lieu à un contrat — vacation ponctuelle, intervention sur une session de formation précise, prestation forfaitaire. Le contrat et les pièces qui s'y rapportent (CV à la date de la mission, attestations de qualification, RIB, factures, attestations URSSAF) suivent les durées légales applicables aux contrats : durée du contrat + 5 ans en règle générale, avec quelques spécificités selon la matière (les bulletins de paie ont leur propre régime, par exemple). Ces durées sont des obligations légales, non négociables.

Deuxième régime : la conservation Qualiopi

Le référentiel Qualiopi impose aux organismes de formation de prouver la qualification professionnelle des intervenants. Cela suppose de conserver les CV, attestations de diplôme, attestations d'expérience, certifications, sur une durée généralement alignée sur le cycle de certification Qualiopi (audit initial, surveillance, renouvellement). En pratique, conserver les pièces de preuve 5 ans à compter de la dernière mission est une référence sécurisante qui couvre les contrôles potentiels d'un certificateur Qualiopi ou d'un OPCO financeur.

Troisième régime : le vivier consenti

Au-delà des obligations légales et Qualiopi, le CFA souhaite généralement rappeler le vacataire pour les sessions suivantes. C'est l'enjeu commercial du vivier : repositionner un formateur compétent et apprécié, gagner du temps de sourcing. Ce vivier relève d'une logique différente — pas d'obligation légale ni de preuve Qualiopi, mais d'une réutilisation des données pour une finalité de pré-recrutement. La base légale pertinente est le consentement explicite, recueilli au moment de la première mission ou peu après, et renouvelé périodiquement.

La bonne pratique consiste à recueillir le consentement vivier dès la première mission, sur un document distinct du contrat de vacation, avec une formulation explicite du type : « Je consens à l'intégration de mes coordonnées et de mon CV dans le vivier formateurs du CFA [X] pour être contacté lors des prochaines sessions correspondant à mes domaines de compétences. Ce consentement est renouvelable tous les 2 ans et peut être retiré à tout moment en écrivant à dpo@cfa-X.fr. »

Articulation des trois régimes : qui prime sur quoi ?

Les trois régimes se cumulent sans se contredire. Concrètement, pour un vacataire qui a fait une mission en septembre 2024 et une autre en mars 2026 :

  • Le contrat 2024 et ses pièces sont conservés jusqu'à fin 2029 (contrat + 5 ans légaux).
  • Le CV à date 2024 est conservé jusqu'à fin 2031 au titre Qualiopi (5 ans après la dernière mission, soit mars 2026 + 5 ans).
  • La fiche vivier reste active tant que le consentement est renouvelé : prochain rappel courant 2028 (2 ans après le dernier consentement présumé de 2026).
  • Si le formateur retire son consentement en 2027, la fiche vivier est désactivée mais les pièces contractuelles et Qualiopi restent conservées en archive isolée jusqu'à leur échéance respective.

Le piège du CV unique partagé entre les trois régimes

Un piège classique consiste à conserver un seul exemplaire du CV, partagé entre le dossier contractuel, le dossier Qualiopi et le vivier, et à le supprimer lorsque le consentement vivier est retiré. Cette pratique est erronée : la suppression du vivier ne doit pas entraîner la suppression du CV conservé au titre des obligations contractuelles et Qualiopi. Un ATS conforme tient en réalité plusieurs copies logiques du CV, rattachées chacune à une finalité et à une durée propres, et n'efface chaque copie qu'à l'échéance de sa propre durée. MyCVthèque V2 implémente cette logique nativement pour les CFA.

Comment votre ATS doit gérer ces durées automatiquement

Aucune durée de conservation n'est respectée durablement par la seule discipline humaine. Un ATS conforme RGPD doit prendre en charge ces durées de manière automatisée, journalisée et auditable. Voici les sept fonctions à exiger de votre outil en 2026, qu'il s'agisse d'un déploiement initial ou d'un audit de l'outil existant.

1. Paramétrage des durées par type de candidature

L'ATS doit permettre de configurer une durée distincte pour chaque cas du tableau ci-dessus : candidature en cours, non retenue, vivier consenti, spontanée, recrutée, vacataire CFA. Le paramétrage doit être accessible à un administrateur fonctionnel (DPO, DRH) sans intervention de l'éditeur, et chaque modification doit être journalisée avec horodatage et auteur. Une politique « one size fits all » avec une durée unique de 2 ans pour tout est insuffisante : c'est précisément ce que la CNIL sanctionne quand elle constate un défaut de proportionnalité.

2. Compteur reposant sur le dernier contact, pas sur la date de dépôt

Le compteur doit recalculer la date d'expiration à chaque interaction documentée avec le candidat (envoi d'un email, prise d'un rendez-vous, mise à jour de statut). Sinon, un candidat recontacté en année 1 du process risque de voir sa fiche purgée prématurément alors que l'interaction récente justifierait une conservation plus longue. Ce compteur glissant est l'un des points distinctifs des ATS conformes 2026.

3. Notifications de fin de conservation avant purge

30 à 60 jours avant l'expiration, l'ATS doit notifier le DPO ou le responsable du périmètre concerné, avec la liste des fiches qui vont être purgées. Cette notification permet de lever d'éventuelles exceptions documentées (litige en cours, prescription en suspens). Sans notification préalable, le DPO ne sait pas ce qui se passe, et n'est pas en mesure de justifier le processus en cas de contrôle.

4. Purge automatique avec journalisation

L'exécution de la purge doit être automatique (pas une tâche à lancer manuellement) et journalisée dans un audit-log non modifiable. Le log doit consigner : date et heure de la purge, identifiant interne de la fiche, type de candidature, durée appliquée, base légale, opération effectuée (suppression, anonymisation, archivage), opérateur (le système, en mentionnant la règle de purge déclenchée). Ce log est la pièce maîtresse fournie au DPO et, le cas échéant, au contrôleur CNIL.

5. Gestion fine du consentement vivier

L'ATS doit tracer chaque consentement vivier : date, formulation exacte présentée au candidat, mode de recueil (case à cocher dans un formulaire, signature dans un email, signature manuscrite numérisée), preuve de la non pré-cochée le cas échéant. Lorsque le candidat retire son consentement, l'opération doit être instantanée — la fiche vivier doit basculer immédiatement en cycle de purge, sans intervention humaine.

6. Tableau de bord DPO dédié

Un tableau de bord à destination du DPO doit centraliser : nombre de fiches par type et par durée restante, prochaines purges programmées, historique des purges exécutées, taux de consentement vivier, demandes d'exercice de droits en cours (accès, effacement, etc.). Ce tableau de bord est l'outil de pilotage quotidien du DPO, et il sert de support en réunion de gouvernance RGPD.

7. Exports certifiés pour contrôle CNIL

L'ATS doit produire à la demande des exports certifiés pour répondre à une demande de contrôle CNIL : politique de conservation appliquée, journal des purges sur les 12 derniers mois, justification de la base légale par finalité, échantillon documenté de demandes d'effacement traitées. Ces exports doivent être produits en quelques minutes, pas en plusieurs jours de travail manuel.

Comment MyCVthèque V2 implémente ces sept exigences

MyCVthèque V2 intègre nativement les sept fonctions ci-dessus dans son module RGPD. Le paramétrage des durées est accessible à l'administrateur de tenant via une interface dédiée, avec des profils prédéfinis pour les cas standards (entreprise classique, cabinet RH, CFA, collectivité). Le compteur glissant est implémenté côté base de données via un champ derniere_interaction_at automatiquement mis à jour par les évènements du cycle candidat. Les notifications sont envoyées par email au DPO renseigné dans les paramètres de tenant. La purge automatique tourne en tâche planifiée nocturne, et journalise chaque opération dans la table rgpd_audit_log non modifiable. Le tableau de bord DPO est accessible via une vue dédiée. Les exports certifiés sont disponibles au format PDF et CSV.

Risques en cas de non-respect : sanctions CNIL 2024-2026

La CNIL ne plaisante pas avec la conservation des données candidats. Sur la période 2024-2026, plusieurs décisions emblématiques permettent de calibrer le niveau réel du risque encouru par une PME française qui négligerait ses durées de conservation.

Le maximum théorique reste lourd

Le plafond de l'amende administrative prévu par l'article 83 du RGPD est de 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial du groupe, le plus élevé des deux. Ce plafond, conçu pour les grands groupes en cas de manquements caractérisés, est rarement appliqué à son maximum mais il sert de borne de référence et il a été approché dans plusieurs décisions de la CNIL et de ses homologues européens depuis 2023 dans des dossiers de mauvaise gestion massive de données candidats.

La réalité PME : dizaines à centaines de milliers d'euros

Pour une PME française de 10 à 250 salariés qui ne respecterait pas ses durées de conservation, les amendes effectivement prononcées par la CNIL sur 2024-2026 se situent typiquement dans une fourchette de plusieurs dizaines à plusieurs centaines de milliers d'euros, modulée selon la gravité, le caractère intentionnel, la coopération de l'entreprise, le volume de candidats concernés et l'existence d'une mise en demeure préalable. Une mise en demeure non suivie d'effet aggrave systématiquement le quantum.

Sanctions correctrices : souvent plus dommageables que l'amende

Au-delà de l'amende, la CNIL prononce régulièrement des sanctions correctrices : injonction de suppression sous astreinte (typiquement plusieurs centaines à plusieurs milliers d'euros par jour de retard), injonction de mise en conformité du registre des traitements, injonction d'informer les candidats concernés du manquement. Ces sanctions ont un effet de communication interne et externe lourd : l'entreprise doit informer ses salariés, ses clients, ses candidats — et le préjudice de réputation peut excéder l'impact financier direct.

Publication des décisions : risque réputationnel

La CNIL publie par défaut sa décision de sanction sur son site et la rend accessible via les moteurs de recherche pendant 2 ans. La publication non anonymisée, qui mentionne le nom de l'entreprise, est devenue la règle pour les manquements significatifs depuis 2022. Pour une PME ou un cabinet RH dont la crédibilité est un actif commercial, cette publication peut être plus pénalisante que l'amende elle-même. La demande de non-publication ou d'anonymisation est rarement accordée, et seulement dans des cas exceptionnels.

Les contrôles thématiques recrutement 2026

La CNIL a annoncé pour 2026 une vague de contrôles thématiques ciblée sur la gestion des candidatures, avec un focus particulier sur les TPE/PME des secteurs services et formation (cabinets RH, CFA, organismes de formation, écoles privées). Ces contrôles ciblent prioritairement les responsables de traitement qui n'ont pas de DPO interne, qui utilisent des outils bureautiques (Excel, Drive partagé) plutôt qu'un ATS conforme, et qui n'ont pas formalisé de politique de conservation par type de candidature. La probabilité d'un contrôle est ainsi mécaniquement plus élevée pour les structures sans ATS RGPD-natif.

FAQ — 10 questions clés sur la conservation des CV en 2026

1. Combien de temps peut-on conserver un CV candidat en France ?

La CNIL recommande une durée de 2 ans à compter du dernier contact avec le candidat pour les candidatures non retenues, sauf consentement explicite du candidat pour une conservation plus longue dans un vivier (talent pool). Pour les candidatures en cours, la conservation court tant que dure le processus de recrutement. Pour les candidats recrutés, la fiche bascule dans la gestion du personnel et suit les durées légales applicables au contrat de travail.

2. Que dit la règle des 2 ans RGPD pour les CV ?

La règle dite des 2 ans n'est pas une obligation stricte du RGPD lui-même mais une recommandation pratique de la CNIL formalisée dans son référentiel relatif aux traitements de gestion des candidatures. Elle s'appuie sur le principe de limitation de la conservation (article 5.1.e du RGPD) qui impose de ne pas conserver les données au-delà de la durée nécessaire à la finalité poursuivie. 2 ans après le dernier contact est considéré comme une durée raisonnable pour un éventuel repositionnement futur du candidat sur une autre offre.

3. Faut-il le consentement du candidat pour conserver son CV plus de 2 ans ?

Oui. Pour conserver un CV au-delà de la durée recommandée par la CNIL (2 ans après le dernier contact), il faut une base légale alternative, en pratique le consentement explicite du candidat à intégrer un vivier ou talent pool. Ce consentement doit être libre, spécifique, éclairé et univoque, et il doit pouvoir être retiré à tout moment. Une simple case pré-cochée ou une formulation ambiguë ne suffit pas.

4. Quelle durée pour une candidature spontanée non retenue ?

Une candidature spontanée non suivie d'une mise en relation effective avec un poste précis doit être supprimée rapidement, en général dans un délai de 2 ans maximum à compter de la réception. Si l'employeur souhaite conserver le profil dans son vivier pour un éventuel besoin futur, il doit recueillir le consentement explicite du candidat lors de l'accusé de réception de la candidature.

5. Comment gérer la durée de conservation d'un formateur vacataire CFA ?

Le formateur vacataire en CFA présente une double nature : il est à la fois prestataire ponctuel (durée contractuelle limitée) et membre potentiel d'un vivier durable (réutilisation prévue sur les sessions suivantes). La pratique recommandée est de qualifier le CV comme appartenant à un vivier permanent avec consentement explicite recueilli au moment de la première mission, et de renouveler ce consentement tous les 2 à 3 ans en envoyant un email d'actualisation. Les pièces contractuelles et Qualiopi sont conservées en parallèle sur leur propre durée légale.

6. Quelles sanctions CNIL en cas de non-respect des durées de conservation ?

Les sanctions financières peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial selon le règlement européen. En pratique, la CNIL prononce surtout des sanctions correctrices (mises en demeure, injonctions) et des amendes administratives proportionnées : plusieurs dizaines de milliers d'euros pour une PME et plusieurs centaines de milliers d'euros pour une grande entreprise dans les dossiers récents 2024-2026 portant sur des durées de conservation excessives ou indéterminées.

7. Que faire des CV à la fin de la durée de conservation ?

Trois options : suppression définitive (irréversible, à privilégier dans la plupart des cas), anonymisation (suppression de tout identifiant nominatif pour conserver uniquement des données statistiques), archivage intermédiaire (conservation isolée pour répondre à une obligation de preuve, en accès très restreint, pour une durée elle-même limitée). L'archivage indéfini avec accès opérationnel est interdit.

8. Un ATS peut-il gérer ces durées automatiquement ?

Oui. Un ATS conforme RGPD doit proposer des règles de purge automatique paramétrables par type de candidature, déclencher des notifications de fin de conservation avant suppression, journaliser chaque suppression dans un audit-log pour le DPO et permettre des exports certifiés de fin de cycle. MyCVthèque V2 inclut ces fonctions nativement avec un tableau de bord DPO dédié.

9. La durée de conservation court à partir de quelle date ?

La durée de conservation commence à courir à compter du dernier contact avec le candidat, et non à compter de la date de dépôt initial de la candidature. Le dernier contact peut être : l'envoi d'une réponse négative, le dernier email échangé, le dernier entretien réalisé. Si un candidat est recontacté pour une nouvelle opportunité, le compteur se réinitialise à compter de cette nouvelle interaction. La CNIL précise ce point dans ses fiches pratiques relatives au recrutement.

10. Quels textes RGPD encadrent la conservation des CV ?

Les textes principaux sont : l'article 5.1.e du Règlement (UE) 2016/679 (principe de limitation de la conservation), l'article 30 sur le registre des traitements, l'article 32 sur la sécurité du traitement et l'article 25 sur la protection des données dès la conception. Côté national, la délibération CNIL n°2019-001 relative au référentiel sur les traitements de gestion des candidatures complète le cadre. Le Code du travail s'applique en parallèle pour les durées légales des candidats recrutés.

Votre politique de conservation est-elle vraiment à jour ?

Téléchargez le guide RGPD recrutement gratuit (40 pages, modèles de mention d'information, modèle de consentement vivier, registre des traitements pré-rempli) puis réservez une démo de 30 minutes pour voir comment MyCVthèque V2 automatise vos durées de conservation par type de candidature et fournit en un clic les exports de contrôle CNIL.

📘 Télécharger le guide RGPD gratuit 🎥 Réserver ma démo RGPD

Sans engagement. Réponse personnalisée par un consultant RGPD sous 24 h ouvrées.

← Article précédent : RGPD recrutement obligations légales Retour au blog
Partager ce guide RGPD
Twitter LinkedIn Facebook Email

📚 Articles recommandés

Pour aller plus loin sur la conformité RGPD du recrutement

RGPD recrutement : obligations légales

Le cadre général applicable à l'ensemble du process de recrutement, des mentions d'information aux droits des candidats.

Lire l'article →

Sécuriser les données candidats

Mesures techniques et organisationnelles à mettre en œuvre pour satisfaire l'article 32 du RGPD.

Lire l'article →

Cas client : migration cabinet RH multi-portails

Étude de cas anonymisée illustrant le cloisonnement RGPD entre marques au sein d'un même cabinet.

Lire l'article →
Voir tous les articles