Quelles obligations légales s'appliquent à la conservation des données collectées lors d'un entretien d'embauche au Luxembourg ?
Réponse courte
Au Luxembourg, la conservation des données de candidats est strictement encadrée par le RGPD. Pour les candidats non retenus, la durée maximale est de 2 ans après le dernier contact, uniquement avec leur consentement explicite. Sans consentement, les données doivent être supprimées immédiatement après la décision finale.
L'employeur doit informer chaque candidat de la durée de conservation, de la finalité du traitement et de ses droits. Les données doivent être sécurisées avec un accès limité aux personnes habilitées, et un registre des traitements conforme doit être tenu. La CNPD recommande l'automatisation de la suppression à l'échéance.
Les sanctions pour non-respect peuvent atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial. Pour les candidats recrutés, les données sont intégrées au dossier personnel et conservées pendant la durée du contrat plus les délais de prescription légaux.
Définition
Les données issues d'un entretien d'embauche englobent l'ensemble des informations personnelles collectées durant le processus de recrutement : curriculum vitae, lettres de motivation, formulaires de candidature, notes d'entretien manuscrites ou informatisées, résultats de tests techniques ou psychométriques, évaluations de compétences, enregistrements audio ou vidéo (avec consentement préalable), références professionnelles, correspondances électroniques, et tout document d'évaluation du candidat.
Ces données constituent des données à caractère personnel au sens de l'article 4(1) du RGPD, c'est-à-dire toute information se rapportant à une personne physique identifiée ou identifiable. Elles sont soumises aux principes fondamentaux du RGPD : licéité, loyauté, transparence, limitation des finalités, minimisation des données, exactitude, limitation de la conservation et sécurité.
La conservation désigne le maintien des données sous une forme permettant l'identification des personnes concernées, que ce soit sur support papier ou électronique, dans une base active ou en archives intermédiaires. L'anonymisation irréversible des données équivaut à leur suppression au sens du RGPD, car les personnes ne sont plus identifiables.
Au Luxembourg, le respect scrupuleux des règles de conservation est considéré comme un marqueur de professionnalisme RH et d'éthique d'entreprise, particulièrement important dans un marché du travail où la réputation employeur joue un rôle déterminant.
Conditions d’exercice
Le principe de limitation de conservation constitue l'un des six principes fondamentaux du RGPD énoncés à l'article 5(1)e : les données personnelles ne peuvent être conservées que pendant la durée nécessaire à la réalisation de la finalité pour laquelle elles ont été collectées.
Base légale de conservation : Pour conserver les données de candidats non retenus au-delà de la durée strictement nécessaire au processus de recrutement, l'employeur doit obtenir le consentement explicite du candidat (article 6(1)a RGPD). Ce consentement doit être :
- Libre : donné sans contrainte
- Spécifique : lié à une finalité précise (ex: recrutements futurs)
- Éclairé : le candidat connaît la durée et les modalités
- Univoque : manifesté par un acte positif clair (case à cocher non pré-cochée)
Le candidat peut retirer son consentement à tout moment, entraînant l'obligation immédiate de suppression des données, sans que cela n'affecte la licéité du traitement fondé sur le consentement effectué avant le retrait.
Durées de conservation recommandées :
| Situation | Durée maximale | Base légale | Observations |
|---|---|---|---|
| Candidat non retenu SANS consentement | Suppression immédiate après décision | Principe de minimisation (Art. 5 RGPD) | Maximum 3 mois pour justifier décision si demande |
| Candidat non retenu AVEC consentement | 2 ans après dernier contact | Consentement (Art. 6(1)a RGPD) | Position CNPD et pratique standard |
| Candidat recruté | Durée du contrat + prescriptions | Contrat de travail (Art. 6(1)b RGPD) | Généralement 5 ans après fin de contrat |
| Conservation pour contentieux | Durée de prescription | Intérêt légitime (Art. 6(1)f RGPD) | 3 ans en droit luxembourgeois |
Important : Le "dernier contact" s'entend comme une action active du candidat (clic sur un lien, réponse à un email, appel téléphonique) et non la simple réception passive d'informations.
Modalités pratiques
1. Information préalable obligatoire du candidat
Conformément aux articles 13 et 14 RGPD, l'employeur doit informer chaque candidat, au moment de la collecte des données ou au plus tard lors du premier contact, des éléments suivants :
- Identité et coordonnées du responsable du traitement
- Coordonnées du délégué à la protection des données (DPO) si désigné
- Finalités du traitement et base légale
- Durée de conservation précise ou critères de détermination
- Destinataires ou catégories de destinataires des données
- Droits du candidat (accès, rectification, effacement, limitation, opposition, portabilité)
- Droit d'introduire une réclamation auprès de la CNPD
- Caractère obligatoire ou facultatif de la fourniture des données
2. Gestion sécurisée des données
| Mesure de sécurité | Mise en œuvre pratique | Base légale |
|---|---|---|
| Accès restreint | Limitation aux seuls RH habilités + traçabilité des accès | Art. 32 RGPD |
| Chiffrement | Données sensibles chiffrées au repos et en transit | Art. 32 RGPD |
| Pseudonymisation | Séparation données identification / données évaluation | Art. 32 RGPD |
| Sauvegarde sécurisée | Copies de sécurité avec durée de rétention limitée | Art. 32 RGPD |
| Localisation données | Serveurs UE ou pays avec décision d'adéquation | Art. 44-49 RGPD |
3. Processus de suppression et traçabilité
- Système d'alerte automatique : notification 30 jours avant l'échéance de conservation
- Suppression programmée : destruction automatique à l'expiration du délai
- Procédure de purge régulière : audit trimestriel des données à supprimer
- Traçabilité complète : documentation de chaque suppression (date, responsable, données concernées)
- Anonymisation alternative : si conservation statistique nécessaire, anonymisation irréversible
4. Registre des activités de traitement
Conformément à l'article 30 RGPD, l'employeur doit tenir un registre des traitements documentant :
- Finalités du traitement "recrutement"
- Catégories de personnes concernées (candidats)
- Catégories de données traitées
- Destinataires des données
- Durées de conservation pour chaque catégorie
- Description des mesures de sécurité techniques et organisationnelles
5. Gestion du consentement
Pour une conservation au-delà de la finalité initiale :
- Formulaire distinct du processus de candidature
- Case à cocher non pré-cochée avec texte explicite
- Durée clairement indiquée (ex: "2 ans maximum")
- Possibilité de retrait simple (lien dans chaque email, formulaire en ligne)
- Renouvellement du consentement si conservation au-delà de 2 ans nécessaire
- Documentation : conservation de la preuve du consentement aussi longtemps que les données
Pratiques et recommandations
Politique interne formalisée
Mettre en place une procédure écrite de gestion du cycle de vie des données de recrutement, validée par le DPO et la direction, définissant les responsabilités précises (RH, IT, DPO, managers), les durées de conservation par type de donnée, les processus de collecte, utilisation et suppression, ainsi que les modalités de contrôle et d'audit.
Bonnes pratiques
- Adopter une approche "privacy by design" dès la conception du processus de recrutement.
- Privilégier la suppression immédiate des données des candidats non retenus sauf demande explicite de conservation.
- Automatiser au maximum les processus de purge pour éviter les oublis humains.
- Prévoir une double validation avant toute suppression définitive pour éviter les erreurs irréversibles.
Communication transparente avec les candidats
Notifier proactivement le candidat non retenu de la destruction programmée de ses données (ex: "Vos données seront supprimées sous 30 jours"). Proposer systématiquement l'option de conservation pour futurs recrutements avec durée précise. Délivrer un certificat de destruction sur simple demande du candidat. Cette transparence renforce la confiance et valorise l'image employeur.
Erreurs à éviter absolument
Ne jamais conserver des données "au cas où" sans base légale claire et documentée. Éviter la constitution de "CV thèques fantômes" avec des milliers de CV anciens jamais revus. Ne pas oublier de supprimer les copies dans les boîtes mail individuelles des recruteurs. Ne pas transférer vers des archives non sécurisées ou non contrôlées. Ne pas conserver indéfiniment les tests, évaluations ou notes manuscrites d'entretien sans consentement.
Formation continue des équipes RH
Former annuellement les équipes RH et managers impliqués dans le recrutement aux obligations RGPD. Sensibiliser aux risques de sanctions et d'atteinte à la réputation. Organiser des audits réguliers de conformité avec retour d'expérience et ajustements.
Cadre juridique
| Référence | Objet |
|---|---|
| Règlement (UE) 2016/679 (RGPD) | Règlement général sur la protection des données |
| Article 5 RGPD | Principes relatifs au traitement des données personnelles |
| Article 6 RGPD | Licéité du traitement (consentement, contrat, intérêt légitime, etc.) |
| Article 13 RGPD | Informations à fournir lorsque des données sont collectées auprès de la personne concernée |
| Article 17 RGPD | Droit à l'effacement (droit à l'oubli) |
| Article 30 RGPD | Registre des activités de traitement |
| Article 32 RGPD | Sécurité du traitement |
| Article 83 RGPD | Conditions générales pour imposer des amendes administratives |
| Loi du 1er août 2018 | Organisation de la CNPD et mise en application du RGPD au Luxembourg |
| Code du travail - Article L.261-1 | Traitement de données à des fins de surveillance des salariés |
Note
La CNPD luxembourgeoise effectue des contrôles réguliers sur la conformité RGPD des processus de recrutement, avec une attention particulière portée aux durées de conservation et à la gestion du droit à l'effacement. Les entreprises doivent impérativement mettre en place des systèmes automatisés de suppression pour éviter toute conservation excessive, source fréquente de sanctions.