Les données de recrutement et RH doivent être conservées uniquement pour la durée strictement nécessaire à leur finalité, conformément au principe de limitation du RGPD.

Le principe applicable est celui de la limitation de conservation (Art. 5 §1 e du RGPD). Les données ne peuvent être gardées que le temps nécessaire à l’objectif poursuivi, puis supprimées ou archivées de manière sécurisée. En matière de recrutement, la CNIL recommande une durée maximale de 2 ans après le dernier contact avec le candidat, sauf accord explicite pour une conservation plus longue. Pour les salariés, certaines durées sont fixées par le Code du travail et les règles sociales ou fiscales.

Durées de conservation recommandées (France)

• Candidats non retenus : 2 ans après le dernier contact (recommandation CNIL)

• Candidats retenus : intégration des données au dossier salarié

• Dossier du salarié (contrat, évaluations, sanctions) : 5 ans après le départ (délai de prescription prud’homale – Code du travail)

• Bulletins de paie (copie employeur) : 5 ans

• Registre unique du personnel : 5 ans après le départ du salarié

• Documents relatifs aux charges sociales : 3 à 6 ans selon la nature (Code de la sécurité sociale)

Ces durées doivent être formalisées dans le registre des activités de traitement (Art. 30 RGPD) et communiquées aux personnes concernées (Art. 13 RGPD). Il est également recommandé de distinguer base active et archivage intermédiaire sécurisé.

L’œil du consultant : Sur le terrain, le piège classique est l’absence de purge automatique dans les ATS ou SIRH : la durée est écrite dans une politique interne mais jamais appliquée techniquement. En cas de contrôle CNIL, ce décalage entre la règle et la pratique est immédiatement sanctionnable. La conformité RH est d’abord une question d’organisation opérationnelle, pas seulement de documentation.

Le RGPD permet le transfert de données hors de l'UE mais il faut s'appuyer sur un mécanisme légal prévu au Chapitre V du RGPD (article 44 et suivants) et vérifier que le pays tiers ou le destinataire assure un niveau de protection adéquat ou qu'une garantie appropriée est mise en place. Avec l'adoption du Data Privacy Framework (DPF), l'UE a reconnu que les Etats-Unis assurent un niveau de protection adéquat pour certains transferts sous conditions.

Le DPF est une décision d'adéquation de la Commission européenne (article 45 du RGPD), applicable depuis le 10 juillet 2023, qui facilite les transferts depuis l'UE vers des sociétés américaines auto-certifiées sous ce cadre sans avoir à ajouter d'autres garanties comme les clauses contractuelles types (SCCs). La certification implique que l'entité américaine s'engage à respecter les principes du Data Privacy Framework (minimisation, finalité, droits des personnes, etc.) et qu'elle figure sur la liste officielle des participants.

Obligations légales à respecter pour chaque transfert :

• Décision d'adéquation : pour un pays tiers ou un cadre reconnu, le transfert est légal sans garanties supplémentaires si une décision d'adéquation existe (DPF pour les Etats-Unis et entités certifiés) ;

• Garanties appropriées : pour un pays né bénéficiant pas de décision d'adéquation, utiliser les clauses contractuelles types (SCCs), des règles règles contraignantes d'entreprises (BCR) ou d'autres garanties reconnues ;

• Dérogations limitées (article 49 du RGPD) : dans des cas exceptionnels, le consentement explicite, la nécessité contractuelle ou un intérêt public peut justifier le transfert de données ;

• Information et transparence : informer les personnes concernées du transfert hors UE et des droits éventuels ;

• Sécurité et la conformité : s'assuerer que les principes prévus par le RGPD (minimisation, sécurité des données) accompagnent l'ensemble du traitement, même hors UE.

Points spécifiques au Data Privacy Framework :

• L'entité américaine doit être auto-certifiée au DPF auprès du Département du commerce américain;

• La liste de vérification régulièrement et documenter la conformité,

• Si une entité perd sa certification, les données reçues sous ce régime doivent être supprimées, retournées ou protgégées par d'autres garanties.

Certains droits spécifiques pour les personnes concernées (rectification, suppression, mécanisme de recours) sont prévus dans le cadre DPF.

L'œil du consultant : Sur le terrain, le piège classique est de supposer que le DPF couvre automatiquement tous les transferts vers les Etats-Unis. En réalité, il ne s'applique que si l'entité américaine est certifiée et que la certification couvre précisément la nature des données transférées (y compris RH, santé, etc.). Sans certification valide, il faut retomber sur des garanties alternatives comme les SCCs ou BCR et souvent réaliser une évaluation d'impact de transfert de données (Transfer Imapct Assesment) pour documenter le niveau de protection effectivement offert. Le risque est réel : absence de base légale solide = non-conformité RGPD et sanctions possibles.

Pour prouver la conformité RGPD d'un sous-traitant SaaS étranger, il faut vérifier son encadrement contractuel (article 28), ses garanties de sécurité (article 32) et la légalité des transferts hors UE (chapitre V).

Le RGPD impose que tout sous-traitant soit lié par un contrat conforme à l'article 28, précisant l'objet, la durée, la nature du traitement, les catégories de données et les obligations de sécurité. Le responsable de traitement doit s'asurer que le prestataire présente des garanties suffisantes (article 28§1) et documenter cette évaluation dans une logique d'accountability (article 5§2).

Si le prestataire est hors UE, il faut appliquer les règles de transfert prévues aux articles 44 à 49 (décision d'adéquation, SCCs, BCR) (Sources : RGPD – EUR-Lex : https://eur-lex.europa.eu/eli/reg/2016/679/oj ; CNIL – Sous-traitants : https://www.cnil.fr/fr/sous-traitant ; Commission européenne – Transferts internationaux : https://commission.europa.eu)

Elements de preuve à documenter :

• Contrat de sous-traitance conforme à l'article 28 (DPA signé) ;

• Liste des mesures techniques et organisationnelles (chiffrement, contrôle d'accès, sauvegardes - article 32) ;

• Certification ou audit indépendant (ISO27001, SOC2) ;

• Encadrement des sous-traitants ultérieurs (article 28§2 et §4) ;

• Localisation des données et mécanismes de transfert (DPF, SCCs, BCR, Chapitre V) ;

• Réalisation éventuelle d'un Transfert Impact Assesment (TIA) si hors décision d'adéquation ;

• Clauses d'assistance en cas d'exercice des droits ou violations de données.

La conformité ne repose pas uniquement sur une certification marketing : elle doit être démontrable par des documents contractuels et techniques.

L'œil du consultant : Le piège classique est de se contenter d'un DPA standard téléchargé en ligne sans vérifier les flux réels de données ni les sous-traitants secondaires. En audit, l'absence de cartographie précise des transferts internationaux est un point faible majeur. La preuve de conformité doit être conservée et actualisée, notamment en cas d'évolution géographique des datas centers ou du cadre juridique international.

La CNIL attend un registre des traitements complet, à jour et reflétant la réalité opérationnelle, conforme à l'article 30 du RPGD.

L'article 30 du RGPD impose au responsable de traitement de tenir un registre documentant chaque activité de traitement : finalités, catégories de données, bases légales, destinataires, transferts hors UE, durées de conservation et mesures de sécurité. Lors d'un contrôle, la CNIL vérifie la cohérence entre le registre et les pratiques effectives, ainsi que l'actualisation régulière du document. Un registre générique ou incomplet constitue un manquement formel. (Sources : RGPD – Art. 30 : https://eur-lex.europa.eu/eli/reg/2016/679/oj ; CNIL – Le registre des activités de traitement : https://www.cnil.fr/fr/le-registre-des-activites-de-traitement)

Ce que la CNIL examine concrètement :

• L'existence d'un registre formalisé et centralisé ;

• La présence des mentions obligatoires (finalités, bases légales, durées, destinataires) ;

• La justification des durées de conservation (cohérence avec la politique d'archivage) ;

• L'identification claire des transferts hors UE (chapitre V du RGPD) ;

• La description des mesures de sécurité (article 32) ;

• L'actualisation du registre en cas de nouveau rejet (ex : outil IA, nouveau SaaS) ;

• La cohérence avec les contrats de sous-traitance (article 28) ;

• L'articulation avec les AIPD lorsque requises (article 35).

La CNIL compare souvent le registre aux outils réellement utilisés (SIRH, CRM, outils collaboratifs). Un traitement non mentionné est un signal d'alerte immédiat.

L'œil du consultant : Le piège classique est de considérer le reigstre comme un simple tableau administratif. En pratique, la CNIL s'en sert comme porte d'entrée pour auditeur toute l'organisation. Un registre trop vague ("gestion RH") sans détail sur les sous-traitants, durées ou tranferts internationaux expose fortement l'entreprise. Les organisations matures utilisent le registre comme un outil de gouvernance, mis à jour à chaque nouveau projet digital.

Une AIPD est obligatoire dès qu'un outil d'IA ou d'automatisation est susceptible d'engendrer un risque élevé pour les droits et libertés pour les personnes concernées. Sont expressément visés par le RGPD le profilage, les décisions automatisées produisent des effets juridiques ou significatifs, et la surveillance systématique à grande échelle. La CNIL a par ailleurs publié une liste des traitements nécessitant obligatoirement une AIPD, incluant certains systèmes d'IA RH, de scoring, ou de surveillance des salariés

Plus précisément, une AIPD est généralement requise si l'outil :

• Réalise un profilage ou scoring automatisé (candidats, clients, salariés) ;

• Produit une décision sans intervention humaine significative ;

• Traite des données sensibles ;

• Surveille de manière systématique et à grande échelle (tracking, contrôle d'activité);

• Combine plusieurs bases de données pour analyser le comportement ;

• Utilise des technologies innovantes avec impact difficilement prévisible.

La logique repose sur une approche par critères cumulatifs : si au moins deux critères de risque élevés identifiés par le CEPD/CNIL sont réunis, l'AIPD devient en pratique indispensable. Elle doit être réalisée avant la mise en production.

L'œil du consultant : Le piège classique est de considérer qu'un outil interne "simple" n'exige pas d'AIPD. En réalité, un système d'IA visant au scoring RH ou un système d'automatisation d'évaluation peut déclencher l'obligation sans que l'entreprise en ait conscience. Sur le terrain, l'absence d'AIPD est l'un des premiers points relevés en cas de contrôle, surtout lorsqu'un traitement automatisé impacte la carrière ou la rémunération.

Intégrez le RGPD dès la conception des outils d'IA via l'identification d'une base légale claire, la réalisation d'une AIPD si nécessaire et des mesures techniques de minimisation et de sécurité.

L'intégration opérationnelle du RGPD dans la conception et le déploiement d'une IA implique notamment de :

• Qualifier la finalité précise du modèle et vérifier la compatibilité avec la collecte intiale ;

• Identifier la base légale adaptée (contrat, intérêt légitime avec test de balance, obligation légale);

• Réaliser une AIPD si nécessaire (notamment dans le cas de profilage, données sensibles ou impact significatif sur les personnes) ;

• Mettre en oeuvre la minimisation des données, notamment des données d'entraînement (échantillonnage, pseudonymisation) ;

• Sécuriser les jeux de données et modèles (contrôles d'accès, chiffrement, journalisation) ;

• Documenter les traitements dans le registre ;

• Prévoir un mécanisme de gestion des droits des personnes (accès, rectification, opposition).

Il est également essentiel d'anticiper les risques liés aux biais algorithmiques, à la transparence et à l'explicabilité, notamment si l'outil influence les décisions individuelles.

L'œil du consultant : Le piège classique est d'intégrer le RGPD en fin de projet, lorsque le modèle est déjà entraîné. Sur le terrain, les entreprises performantes incluent le DPO ou la fonction conformité dès la phase de cadrage produit. Refaire un dataset ou réentraîner un modèle après un audit coûte bien plus cher que d'intégrer la conformité dès la phase de design.