Quelle est la durée recommandée de conservation des résultats de tests en ligne RH ?
Réponse courte
Le RGPD (art. 5(1)(e)) impose un principe de limitation de la conservation des données sans fixer de durée chiffrée. En pratique, la CNPD recommande de conserver les résultats de tests RH en ligne pendant une durée maximale de 24 mois après la fin du processus pour les candidats non retenus. Pour les salariés en poste, une durée de 36 mois après la réalisation du test est généralement admise, et les données doivent être supprimées dans les 3 mois suivant la fin du contrat, sauf contentieux en cours.
L'employeur doit mettre en place un système d'archivage sécurisé avec traçabilité des accès et une procédure de purge automatique. Le consentement éclairé du candidat ou salarié est requis avant la passation du test, dans le respect de la conservation des CV. Ces durées relèvent de recommandations pratiques de la CNPD.
Définition
Les tests RH en ligne constituent des données à caractère personnel soumises au RGPD et à la loi luxembourgeoise sur la protection des données. Ils comprennent toute évaluation numérique des compétences, aptitudes ou personnalité réalisée dans un contexte professionnel, soumise aux règles de protection des données, que ce soit pour le recrutement ou le développement des collaborateurs.
Conditions d’exercice
Le traitement des résultats de tests RH en ligne est soumis aux conditions suivantes.
| Critère | Détail |
|---|---|
| Base légale | Conforme à l'article 6 du RGPD |
| Consentement | Éclairé, requis avant la passation du test |
| Information préalable | Finalité et durée de conservation des données |
| Minimisation | Limitation aux données strictement nécessaires |
| Encadrement humain | Systématique pour les décisions fondées sur les résultats des tests |
Modalités pratiques
La conservation des résultats de tests RH en ligne s'organise selon les modalités suivantes.
| Aspect | Détail |
|---|---|
| Archivage | Système sécurisé avec traçabilité des accès |
| Purge automatique | Procédure respectant les durées de conservation définies |
| Registre | Registre des traitements détaillant les durées de conservation |
| Intégrité | Mesures techniques garantissant l'intégrité des données |
| Candidats non retenus | 24 mois maximum (recommandation CNPD) |
| Salariés en poste | 36 mois après chaque test |
| Fin de contrat | 3 mois après la fin du contrat, sauf contentieux en cours |
Pratiques et recommandations
Documenter précisément la politique de conservation et réaliser une analyse d'impact (AIPD) pour les tests sensibles constituent les premières étapes indispensables. Mettre en place un comité de gouvernance des données et former régulièrement les équipes RH aux obligations légales renforcent la conformité. Effectuer des audits de conformité périodiques permet de vérifier le respect des durées de conservation et l'absence de données conservées au-delà des délais recommandés.
Cadre juridique
| Référence | Objet |
|---|---|
| Art. L.261-1 du Code du travail | traitement de données à caractère personnel à des fins de surveillance |
| Art. L.414-1 du Code du travail | délégation du personnel, information et consultation |
| Loi du 1er août 2018 | protection des personnes à l'égard du traitement des données à caractère personnel |
| RGPD, art. 5 | principes relatifs au traitement des données |
| RGPD, art. 5(1)(e) | limitation de la durée de conservation |
| RGPD, art. 13 | information des personnes concernées |
| RGPD, art. 22 | décisions individuelles automatisées |
| RGPD, art. 32 | sécurité du traitement |
| RGPD, art. 35 | analyse d'impact relative à la protection des données |
Note
Le non-respect du principe de limitation de la conservation (art. 5(1)(e) RGPD) expose l'employeur à des sanctions administratives pouvant atteindre 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros (art. 83 RGPD). Un DPO doit être désigné pour toute organisation réalisant des tests RH à grande échelle.