RH & données personnelles : vers un renforcement des contrôles en 2026

La gestion des données personnelles en entreprise n’est plus un simple sujet de conformité : c’est désormais un enjeu stratégique, en particulier pour les ressources humaines. En 2026, un cap supplémentaire est franchi avec un renforcement annoncé des contrôles et la publication de nouvelles lignes directrices très attendues.

Entre exigences réglementaires accrues et attentes croissantes des salariés en matière de transparence, les directions RH doivent adapter leurs pratiques dès maintenant.

Des contrôles CNIL renforcés en 2026 : les RH sous surveillance accrue

En 2026, la CNIL intensifie ses actions de contrôle, avec une attention particulière portée aux traitements de données liés aux ressources humaines. Ce choix n’est pas anodin : les services RH concentrent une quantité importante de données sensibles, couvrant l’ensemble du cycle de vie des collaborateurs.

De la réception des CV à la gestion des départs, en passant par les évaluations de performance, la formation ou encore la gestion disciplinaire, les données traitées sont à la fois nombreuses, variées et parfois très sensibles.

Les contrôles viseront en priorité :

• les grandes entreprises et groupes structurés
• les organisations fortement digitalisées (SIRH, outils de recrutement, logiciels d’évaluation)
• les entreprises manipulant un grand volume de données candidats

Mais aucune structure n’est réellement à l’abri : PME et ETI sont également concernées, notamment en cas de signalement ou d’incident.

Les points de vigilance lors des contrôles

La CNIL devrait concentrer ses vérifications sur plusieurs axes clés :

La base légale des traitements

Chaque traitement de données RH doit reposer sur une base juridique claire (obligation légale, exécution du contrat, intérêt légitime, etc.). Une justification approximative ou mal documentée constitue un risque majeur.

L’information des personnes

Les salariés et candidats doivent être informés de manière claire, compréhensible et accessible :

• des données collectées
• de leur finalité
• de leur durée de conservation
• de leurs droits

Une information incomplète ou trop technique est souvent pointée lors des contrôles.

Cet article pourrait aussi vous intéresser : L’importance de Gérer les Demandes de Droit : Processus, Délais et Organisation

La gestion des droits

Accès, rectification, effacement, opposition : les entreprises doivent être capables de répondre efficacement aux demandes des personnes concernées, dans les délais imposés.

La sécurité des données

Les outils RH étant de plus en plus numériques, la sécurité devient un enjeu critique :

• gestion des habilitations
• protection contre les intrusions
• chiffrement des données sensibles
• traçabilité des accès

La minimisation des données

Collecter uniquement ce qui est nécessaire : un principe simple… mais encore trop souvent mal appliqué, notamment dans les processus de recrutement ou d’évaluation.

En résumé, la logique évolue : il ne s’agit plus seulement de respecter les règles, mais de pouvoir prouver leur respect à tout moment.

Avril 2026 : un référentiel attendu sur la durée de conservation des données RH

Autre avancée majeure : la publication, en avril 2026, d’un référentiel spécifique aux durées de conservation des données dans le domaine des ressources humaines.

Jusqu’à présent, ce sujet était une source fréquente d’incertitude pour les entreprises. Entre obligations légales, recommandations générales et contraintes opérationnelles, les pratiques étaient souvent hétérogènes.

Ce nouveau référentiel apporte enfin un cadre plus précis et opérationnel.

Cet article pourrait aussi vous intéresser : RGPD et ressources humaines : 6 erreurs à éviter

Pourquoi la durée de conservation est un sujet critique ?

Conserver des données trop longtemps expose l’entreprise à des risques :

• non-conformité réglementaire
• augmentation de la surface d’attaque en cas de cyberincident
• perte de maîtrise des informations

À l’inverse, supprimer des données trop tôt peut poser problème :

• impossibilité de répondre à une obligation légale
• difficulté à se défendre en cas de contentieux

L’enjeu est donc de trouver le bon équilibre.

Les grandes orientations du référentiel

Le référentiel propose des durées adaptées aux différents types de données RH. À titre indicatif :

• Candidatures non retenues
  Conservation limitée, généralement jusqu’à 2 ans après le dernier contact, sauf accord du candidat pour une durée plus longue.
• Dossier du salarié
  Conservation pendant toute la durée du contrat, puis archivage intermédiaire selon les obligations légales (sociales, fiscales, prud’homales).
• Données disciplinaires
  Conservation limitée et proportionnée à la gravité des faits, avec des durées souvent plus courtes.
• Données de paie et documents sociaux
  Conservation longue, pouvant aller jusqu’à plusieurs années, voire décennies selon les obligations.
• Logs et données d’accès aux outils
  Durées généralement courtes, sauf nécessité particulière (sécurité, audit).

L’objectif est d’aider les entreprises à mettre en place des règles cohérentes, justifiables et homogènes.

Les impacts concrets pour les directions RH

Ces évolutions réglementaires ne sont pas théoriques : elles ont des conséquences très concrètes sur l’organisation du travail des équipes RH.

Une nécessité de structuration accrue

Les pratiques “historiques” ou implicites ne suffisent plus. Il devient indispensable de formaliser :

• les procédures
• les règles de conservation
• les circuits d’accès aux données

Une collaboration renforcée avec l’IT et le juridique

La conformité RH ne peut plus être gérée en silo. Elle nécessite une coordination étroite avec :

• les équipes informatiques (sécurité, outils, stockage)
• les juristes ou DPO (interprétation des règles, documentation)

Une évolution des outils

Les logiciels RH doivent permettre :

• la gestion fine des habilitations
• l’automatisation des durées de conservation
• la traçabilité des actions

Les outils qui ne répondent pas à ces exigences peuvent devenir un point de fragilité.

Une montée en compétence des équipes

Les professionnels RH doivent désormais intégrer des réflexes “data” dans leur quotidien :

• limiter la collecte
• vérifier la pertinence des informations
• adopter de bonnes pratiques de sécurité

Ce que les entreprises doivent anticiper dès maintenant

Face à ces évolutions, l’anticipation devient clé. Plusieurs actions prioritaires se dégagent :

Cartographier les données RH

Identifier précisément :

• quelles données sont collectées
• pourquoi
• où elles sont stockées
• qui y a accès

Mettre à jour les durées de conservation

Aligner les pratiques internes avec le nouveau référentiel :

• définir des règles claires
• automatiser les suppressions quand c’est possible

Renforcer l’information des salariés

Les collaborateurs doivent comprendre :

• quelles données sont utilisées
• dans quel objectif
• pendant combien de temps

Sécuriser les outils RH

Avec la digitalisation croissante, les risques augmentent :

• accès non autorisés
• fuites de données
• cyberattaques

Des audits techniques et organisationnels deviennent indispensables.

Documenter la conformité

En cas de contrôle, l’entreprise doit prouver sa conformité :

• politiques internes
• registres de traitement
• procédures de gestion des droits

Une évolution vers plus de rigueur… et de maturité

Ce renforcement des contrôles et la publication du référentiel marquent une étape importante : la protection des données RH n’est plus un simple sujet juridique, mais un enjeu stratégique.

Les entreprises qui s’adaptent rapidement y trouveront un double bénéfice :

• réduire leur exposition aux sanctions
• renforcer la confiance des collaborateurs

Car au fond, une gestion responsable des données personnelles est aussi un levier d’image et d’attractivité.