Combien de temps conserver le dossier d'un ex-salarié ?
Réponse courte
Il n'existe pas une durée unique mais plusieurs durées différenciées selon la catégorie de données. Le principe du RGPD est que les données ne doivent pas être conservées au-delà de la finalité pour laquelle elles ont été collectées (art. 5.1.e).
En pratique, les bulletins de paie et documents comptables se conservent 10 ans, les éléments susceptibles d'être contestés en justice 5 ans (prescription civile et pénale), tandis que les évaluations, candidatures internes et données d'accès doivent être supprimées rapidement après le départ. Toute conservation au-delà doit être justifiée par une base légale précise.
Définition
La durée de conservation est la période pendant laquelle un responsable de traitement est autorisé à garder les données personnelles sous une forme permettant l'identification de la personne concernée. Au-delà, les données doivent être supprimées, anonymisées ou transférées en archivage intermédiaire à accès restreint.
La durée n'est pas fixée uniformément par le RGPD : elle découle d'obligations sectorielles (fiscales, sociales, comptables) et de la prescription des actions en justice prévue par le droit luxembourgeois.
Conditions d’exercice
Le Code de commerce impose 10 ans pour les bulletins de paie et pièces comptables, les données disciplinaires se conservent 3 ans après prescription, les candidatures non retenues 2 ans maximum et les évaluations doivent être supprimées dès la fin du contrat.
| Type de donnée | Durée recommandée |
|---|---|
| Bulletins de paie, livre de paie | 10 ans (art. 16 Code de commerce) |
| Contrat de travail et avenants | 10 ans après la fin du contrat |
| Déclarations sociales (CCSS) | 10 ans |
| Données disciplinaires et sanctions | 3 ans après prescription |
| Évaluations annuelles | À supprimer dès la fin du contrat |
| Candidatures non retenues | 2 ans maximum après la décision |
| Données médicales (médecine du travail) | Conservées par le médecin, pas l'employeur |
Modalités pratiques
Une politique interne fixe chaque durée par catégorie, mentionnée au registre des traitements (art. 30 RGPD), relayée par la notice remise à l'embauche, et appliquée via une purge annuelle automatisée documentée.
| Action | Détail |
|---|---|
| Politique | Document interne fixant chaque durée par catégorie |
| Registre | Mention obligatoire dans le registre des traitements (art. 30 RGPD) |
| Information | Notice remise au salarié à l'embauche |
| Purge | Procédure annuelle de suppression automatisée |
| Archivage | Stockage séparé avec accès restreint pour les durées longues |
| Justification | Documentation de la base légale pour chaque durée |
Pratiques et recommandations
Distinguer clairement la conservation active (dossier RH courant) et l'archivage intermédiaire (uniquement pour obligations légales).
Programmer une revue annuelle des dossiers archivés pour purger ceux dont la durée légale est expirée.
Justifier chaque durée par référence à un texte précis : Code de commerce, Code de la sécurité sociale, prescription civile.
Anonymiser les données utiles aux statistiques RH plutôt que de prolonger la conservation nominative.
Documenter les opérations de purge dans un journal pour démontrer la conformité en cas de contrôle de la CNPD.
Cadre juridique
Les durées découlent de plusieurs sources juridiques.
| Référence | Objet |
|---|---|
| Art. 5.1.e RGPD | Principe de limitation de la conservation |
| Art. 30 RGPD | Registre des activités de traitement |
| Art. 16 Code de commerce | Conservation 10 ans des pièces comptables |
| Code de la sécurité sociale | Conservation des déclarations CCSS |
| Art. 2262 Code civil | Prescription trentenaire de droit commun |
| Loi du 1er août 2018 | Régime général au Luxembourg |
Note
Aucune durée maximale unique n'est fixée par le RGPD. Chaque catégorie obéit à sa propre logique : obligation comptable, prescription civile, ou absence de finalité. Une politique écrite est indispensable pour démontrer la conformité.