RGPDCNILconformitérecrutementdonnées candidats6 min

Durée de conservation des CV et données candidats : ce que dit vraiment le RGPD

Christophe HébertChristophe Hébert·15 mai 2026

« On garde combien de temps ? » C'est l'une des questions RGPD les plus posées en recrutement — et l'une des plus mal répondues. Spoiler : le RGPD ne fixe pas « X années » en dur. Il pose un principe, et la CNIL donne un repère. Voici la réponse claire, sans approximation.

Sommaire

  1. La règle de base : la limitation de la conservation
  2. Le repère concret : la recommandation CNIL
  3. Candidat retenu, candidat non retenu, vivier : trois cas
  4. Que faire au-delà de la durée ?
  5. Comment un ATS conforme gère ça
  6. FAQ

1. La règle de base : la limitation de la conservation

Le RGPD (Règlement (UE) 2016/679) ne donne pas de durée chiffrée pour les CV. Il pose un principe, à l'article 5 (1) (e) : les données à caractère personnel doivent être conservées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées — c'est le principe de la limitation de la conservation.

Traduction concrète pour un cabinet ou un service RH ou un recruteur : une fois la base de candidats traitée, conserver le CV nécessite une justification. Et cette justification ne peut pas être un fourre-tout du genre « on garde au cas où ». Le candidat doit savoir, pour quelle finalité (vivier, prochaine opportunité…) — et cette conservation a une limite.

2. Le repère concret : la recommandation CNIL

Le principe est abstrait. La CNIL le rend opérationnel. Sa recommandation de référence pour le recrutement : conserver les données d'un candidat non retenu pendant une durée maximale de 2 ans à compter du dernier contact, sauf opposition de sa part. Au-delà, soit les données sont supprimées/anonymisées, soit le candidat doit être recontacté pour recueillir son accord afin de le maintenir dans une base de candidats.

Ce « 2 ans après le dernier contact » est devenu le standard de fait dans le secteur. Ce n'est pas une obligation légale du règlement lui-même, mais s'en écarter sans justification documentaire vous expose à un risque.

3. Candidat retenu, candidat non retenu, vivier : trois cas

  • Candidat recruté : les données basculent dans la finalité « gestion du personnel » (gestion d'un nouveau dossier collaborateur). Au-delà, soit le candidat doit suspension/anonymisation au consentement du recrutement).
  • Candidat non retenu : 2 ans après le dernier contact = repère de référence, sauf suppression/anonymisation au consentement du candidat.
  • Vivier / candidatethèque : maintenir un candidat dans un vivier au-delà d'un délai légal — repose sur une information transparente (pourquoi, combien de temps) et une base légale (le plus souvent l'intérêt légitime, parfois le consentement). Le candidat doit pouvoir refuser ou demander son retrait à tout moment.

À cela s'ajoute le principe de minimisation (art. 5 §1 c) : on ne conserve que les données pertinentes à la finalité — pas un dossier complet avec messages, scoring et commentaires non nécessaires.

4. Que faire au-delà de la durée ?

Trois options conformes :

  1. Supprimer les données.
  2. Anonymiser (statistiques, reporting) — les données ne permettent plus d'identifier la personne, le RGPD ne s'applique plus.
  3. Recueillir le consentement explicite du candidat pour le prolonger dans une finalité claire, avec rappel des droits, de la nouvelle échéance.

Une mauvaise option : permettre par défaut d'exercer ses droits de retraite, rectification, effacement / droit à l'oubli au titre de l'art. 17, opposition au titre de l'art. 21, notamment pour la prospection).

5. Comment un ATS conforme gère ça

Un logiciel de recrutement sérieux ne doit pas vous laisser gérer ça à la main. Concrètement, il devrait :

  • des durées de conservation paramétrables par finalité ;
  • une purge ou anonymisation automatique des candidats à l'échéance ;
  • une interface d'exercice des droits (accès, rectification, effacement) ;
  • la traçabilité de ces opérations.

Chez Marvin Recruiter, la conservation est configurable par client. Par défaut : 2 ans après votre dernier candidats depuis dernier contact dans nos données, dans des notifications et la consentement (rappel d'expiration, effacement…). L'objectif : que la règle s'applique toute seule, plutôt que de dépendre de la rigueur de chacun.

D'où vient cet article ?

Marvin Recruiter intègre RGPD et AI Act dans la conception de son produit. Cet article est le résultat de notre travail de R&D interne sur ces sujets — lecture du règlement, suivi de la doctrine CNIL, veille sur le Digital Omnibus. Informatif, pas juridique. Pas encore relu par un avocat. Pour engager votre conformité, validez avec votre DPO ou un cabinet spécialisé.

FAQ

Combien de temps peut-on conserver un CV après un recrutement ?

Pour un candidat non retenu, le repère CNIL est de 2 ans maximum après le dernier contact, sauf opposition. Au-delà : suppression, anonymisation ou nouveau consentement.

Le RGPD fixe-t-il une durée précise pour les CV ?

Non. Le RGPD fixe un principe (limitation de la conservation, art. 5 §1 e). La recommandation CNIL en recrutement (2 ans après dernier contact) est le repère opérationnel.

Puis-je garder un candidat dans mon vivier indéfiniment ?

Non. Un vivier reste un traitement RGPD : il faut une finalité, une base légale, une durée, une information du candidat, et la possibilité pour le candidat de s'opposer ou de demander son effacement.

Un candidat peut-il demander la suppression de ses données ?

Oui — droit à l'effacement (art. 21), absolu pour la prospection. Le traitement à cette fin doit alors cesser.

Le profil étant public, suis-je dispensé ? Non.

La caractère public d'un profil ne supprime ni l'obligation d'information, ni les droits de la personne.

Conservation 5 ans pour preuve en cas de litige discrimination ?

Oui — l'article L.1134-5 du Code du travail prévoit une prescription de 5 ans. Vous pouvez conserver les éléments pertinents pour la défense en cas de réclamation discrimination — mais sur une base d'archivage séparée, avec accès restreint, pas dans la base de recrutement opérationnelle.

Article informatif à jour au 15 mai 2026. Sources : Règlement (UE) 2016/679 (art. 5, 17, 21) ; recommandations de la CNIL en matière de recrutement. Ne constitue pas un avis juridique.

Liens internes suggérés : Guide AI Act et recrutement (A1) · Sourcing LinkedIn et RGPD article 14 (R3) · Demander une démo.

Christophe Hébert

Christophe Hébert

CEO and founder

CEO et fondateur de Marvin. Ancien recruteur devenu entrepreneur tech, il construit l'OS du recrutement moderne.