Pendant combien de temps une entreprise luxembourgeoise peut-elle conserver les CV des candidats non retenus ?

Réponse courte

Un employeur peut conserver un CV non retenu pour une durée maximale de 2 ans à compter du dernier contact avec le candidat, uniquement avec son consentement explicite. Sans consentement, le CV doit être supprimé immédiatement après la décision de non-sélection, au plus tard 2 mois après la clôture du recrutement.

Le candidat doit être informé clairement de la conservation, sa durée, sa finalité et ses droits. Il peut retirer son consentement à tout moment. Au terme du délai, le CV doit être détruit ou anonymisé automatiquement. Toute conservation au-delà de 2 ans nécessite un renouvellement explicite du consentement.

La CNPD luxembourgeoise applique elle-même une politique stricte de destruction immédiate des candidature s non retenues, démontrant l'exemplarité attendue des employeurs.

Définition

La conservation d'un CV non retenu correspond à la période durant laquelle un employeur garde les données personnelles d'un candidat écarté, sur support papier ou électronique. Cette conservation inclut toutes les informations identifiantes : état civil, coordonnées, parcours professionnel, formation, compétences, ainsi que les documents annexes (lettre de motivation, portfolio).

La finalité principale est de permettre un recrutement ultérieur pour des postes similaires, créant ainsi une "CVthèque" ou "vivier de talents". Au Luxembourg, cette pratique est strictement encadrée par le RGPD et les recommandations de la CNPD, particulièrement vigilante sur les durées de conservation.

Questions fréquentes

Le candidat peut-il retirer son consentement à la conservation de son CV ?

Oui, le candidat peut retirer son consentement à tout moment, ce qui entraîne l'obligation immédiate de suppression des données par l'employeur. Le retrait n'affecte pas la licéité du traitement effectué avant le retrait, conformément à l'article 7.3 du RGPD.

Pendant combien de temps conserver le CV d'un candidat non retenu au Luxembourg ?

Un employeur peut conserver un CV non retenu pour une durée maximale de 2 ans à compter du dernier contact avec le candidat, uniquement avec son consentement explicite. Sans consentement, le CV doit être supprimé immédiatement après la décision de non-sélection.

Peut-on prolonger la conservation d'un CV au-delà de 2 ans ?

Toute conservation au-delà de 2 ans nécessite un renouvellement explicite du consentement du candidat. Au terme du délai de 2 ans, le CV doit être détruit ou anonymisé automatiquement. Le renouvellement doit faire l'objet d'une demande claire et d'un acte positif du candidat.

Que faire d'un CV en l'absence de consentement à la conservation ?

Sans consentement explicite du candidat, le CV doit être supprimé immédiatement après la décision de non-sélection, au plus tard 2 mois après la clôture du recrutement. Cette destruction obligatoire respecte le principe de minimisation et de limitation de conservation du RGPD.

Quelle est la pratique de la CNPD concernant la conservation des CV ?

La CNPD luxembourgeoise applique elle-même une politique stricte de destruction immédiate des candidatures non retenues, démontrant l'exemplarité attendue des employeurs. Cette position renforcée témoigne du contrôle accru sur le respect du principe de limitation de conservation.

Quelles informations communiquer au candidat sur la conservation de son CV ?

Le candidat doit être informé clairement de la conservation, sa durée exacte, sa finalité (recrutements futurs similaires), les modalités d'exercice de ses droits et l'identité du responsable de traitement, conformément aux articles 13 et 14 du RGPD luxembourgeois.

Quelles modalités techniques pour la suppression d'un CV à échéance ?

La suppression doit être automatisée à l'échéance des 2 ans, le CV étant détruit ou anonymisé. Les sanctions pour non-respect peuvent atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial. Un registre des traitements doit documenter les durées et procédures de suppression.

Conditions d’exercice

La conservation légale des CV non retenus exige le respect de conditions strictes. Le consentement explicite du candidat constitue la base privilégiée, bien que l'intérêt légitime de l'employeur puisse être invoqué sous conditions strictes. La finalité doit être déterminée et limitée aux recrutements futurs similaires, excluant toute réutilisation pour d'autres fins ou partage non autorisé.

L'information des candidats doit être transparente et préalable, mentionnant la durée exacte, les modalités d'exercice des droits et l'identité du responsable de traitement. La durée de conservation est limitée à 2 ans maximum selon la position CNPD, avec possibilité de renouvellement uniquement sur nouveau consentement explicite et suppression automatique à l'échéance.

Critère	Avec consentement	Sans consentement
Durée maximale	2 ans après dernier contact	Suppression immédiate
Délai de grâce	Aucun (suppression à échéance)	Maximum 2 mois après clôture
Renouvellement	Possible avec nouveau consentement	Non applicable
Finalité	Recrutements futurs similaires	Aucune (destruction obligatoire)
Base légale	Article 6.1.a RGPD (consentement)	Aucune base de conservation

Modalités pratiques

La mise en conformité nécessite un processus structuré en quatre phases. Lors de la collecte, l'employeur intègre une clause d'information dans le formulaire de candidature avec une case de consentement distincte et non pré-cochée, mentionnant précisément la durée (exemple : "24 mois") et la finalité explicite ("futurs recrutements similaires").

À la phase de décision, si le candidat n'est pas retenu, l'employeur active le processus de conservation avec notification de la non-sélection, rappel des conditions si consentement donné, et possibilité offerte de retrait immédiat. Durant la conservation, les CV sont stockés sur serveurs sécurisés avec accès restreints, traçabilité via registre, alertes automatiques 3 mois avant échéance et purge programmée.

À l'échéance ou sur demande, l'employeur procède à la suppression définitive ou anonymisation complète, documente la destruction, garantit l'impossibilité de récupération et peut notifier le candidat.

Phase	Délai	Action obligatoire
Conservation sans consentement	Maximum 2 mois	Suppression des candidatures écartées
Conservation avec consentement	Maximum 24 mois	Suppression automatique à échéance
Alerte préventive	3 mois avant échéance	Notification interne pour purge
Renouvellement	Avant expiration	Nouveau consentement explicite requis

Pratiques et recommandations

Un système de gestion optimisé comprend une base de données dédiée aux CV non retenus avec timestamps automatiques de conservation, workflow de suppression automatisée, audit trail complet des opérations et backups avec même durée de rétention. Les bonnes pratiques privilégient l'opt-in explicite sans conservation par défaut, la granularité des choix de durée (6, 12, 24 mois), les rappels périodiques aux candidats ("Souhaitez-vous maintenir votre CV ?"), et un portail candidat permettant la gestion autonome des données.

La gestion des risques impose une formation régulière des équipes RH, un audit des CV conservés, un test des procédures de suppression et une implication du DPO dans la gouvernance.

Cadre juridique

Référence	Objet
Article 5 RGPD	Principe de limitation de conservation (durée n'excédant pas celle nécessaire)
Article 6 RGPD	Bases légales du traitement (consentement explicite ou intérêt légitime)
Article 13 RGPD	Obligation d'information transparente des personnes concernées
Position CNPD Luxembourg	Durée maximale 2 ans confirmée
Code du travail luxembourgeois	Cadre général de recrutement et non-discrimination

Note

La gestion des CV non retenus est devenue un sujet de contrôle des autorités, avec attention particulière sur les CVthèques obsolètes contenant des milliers de CV non purgés. Les employeurs doivent mettre en place des procédures de purge automatique conformes aux délais légaux.