Recruter, c’est avant tout une histoire de confiance. Mais comment inspirer cette confiance si les informations personnelles que vous collectez ne sont pas protégées ? Le RGPD est là pour poser un cadre clair et rassurant, autant pour vous que pour les personnes qui postulent.
Dans cet article, vous allez découvrir comment appliquer simplement les règles, éviter les pièges et transformer la conformité en un vrai atout pour vos recrutements.
Les bases du RGPD appliqué au recrutement
Qu’est-ce que le RGPD ?
Vous voilà au cœur des bases du RGPD appliqué au recrutement, un peu comme si on s’installait autour d’un café pour discuter calmement de ce qui fait toute la différence dans vos pratiques RH.
D’abord, qu’est-ce que le RGPD ?
Et bien, c’est le fameux Règlement général sur la protection des données, un texte européen qui est entré en vigueur pour protéger les droits des personnes physiques concernant l’usage de leurs données personnelles. Il instaure un cadre harmonisé de vie privée dans toute l’Union européenne, et si cela vous paraît abstrait, pensez simplement à ce que vous indiqueriez sur un formulaire : nom, email, téléphone… Eh bien, tout ça tombe sous le coup du RGPD.
Et pas seulement les formats numériques, les dossiers papier sont également concernés.
La notion de données personnelles selon la CNIL
Selon la CNIL, les données personnelles s'agissent de toute information qui permet d’identifier, directement ou indirectement, une personne physique : nom, date de naissance, adresse mail, photo, numéro de sécurité sociale…
Même une adresse IP peut en faire partie. Pour vous, en tant que recruteur, c’est super important de comprendre que le RGPD s’applique dès que vous touchez à ces données de vos candidats, traitement, conservation, suppression, consultation… tout est concerné.
Les données collectées dans un processus de recrutement
Quand vous vous lancez dans un processus de recrutement, vous devenez un peu le gardien des informations personnelles des candidats. Cela commence souvent par les indispensables : le CV, la lettre de motivation, les diplômes, les expériences professionnelles, vos échanges par mail ou téléphone... Et ça ne s’arrête pas là ! Même une simple prise de notes à la main pendant un entretien, si elle est conservée dans un dossier, entre dans le cadre du RGPD.
Quelles informations un recruteur peut-il légalement demander ?
Tout doit rester pertinent par rapport au poste à pourvoir : compétences, formation, expériences, tout ce qui vous aide à évaluer si le candidat est fait pour ce job. Des questions sur la vie personnelle, la famille, la santé, la situation militaire, le numéro de sécurité sociale, la taille ou le poids... ça, c’est hors-jeu . Par exemple, exiger le lieu de résidence d’un candidat sans raison justifiée (sauf cas d’astreintes, par exemple) est considéré comme illicite. Et si jamais vous filmez ou enregistrez un entretien d’embauche sans prévenir, là, on tombe dans la collecte déloyale.
Pour que tout soit clair et rassurant pour le candidat, l’information est primordiale. Vous devez lui expliquer qui est responsable du traitement de ses données, dans quel but vous les collectez, quelle base légale vous invoquez (par exemple, votre intérêt légitime ou une obligation légale), s’il y a obligation de réponse ou non, et quelles sont les conséquences éventuelles en cas de refus. C’est une belle façon de montrer que vous respectez vraiment la vie privée des candidats.
Les risques en cas de non-conformité
Si ces bonnes pratiques ne sont pas respectées, eh bien, les conséquences peuvent être sérieuses. Des sanctions allant jusqu’à plusieurs millions d’euros (ou un pourcentage du chiffre d’affaires) peuvent être infligées. Mais au-delà de l'amende, c’est surtout votre réputation qui peut prendre un coup si les candidats se sentent lésés. Le RGPD, ce n’est pas juste une règle à cocher, c’est une manière de montrer que vous prenez soin de celles et ceux qui postulent chez vous.
Les obligations du recruteur en France concernant le RGPD
1. Licéité, loyauté et transparence
Avant de démarrer, prenez le temps de dresser la liste de tout ce que vous faites avec les données des candidats : collecte, enregistrement, consultation, conservation, suppression…
Tout ça, c’est du traitement de données personnelles et c’est soumis au RGPD. Le plus sage est de tenir un registre des activités de traitement, véritable carte routière de vos pratiques internes : qu’est-ce qu’on collecte, pour quelle raison, qui y a accès, combien de temps c’est conservé, où c’est stocké, avec quelles mesures de sécurité. Ce document est non seulement exigé, mais il devient aussi votre meilleur allié pour poser les bonnes questions (Ai-je vraiment besoin de ça ? Est-ce trop long de garder ces données ? etc.).
2. Principe de finalité
Imaginez-vous construire une maison : vous n’ajoutez pas la serrure à la dernière minute après un cambriolage, non ? Pareil avec vos processus de recrutement ! Dès que vous concevez vos formulaires, vos ATS ou vos entretiens, pensez « vie privée intégrée ». Autrement dit : collecter uniquement ce qui est nécessaire, organiser clairement les droits d’accès, sécuriser les flux dès le départ… Ça, c’est de la privacy by design, et c’est exactement ce que le RGPD attend de vous. Vous anticipez, vous sécurisez, et surtout, vous évitez les mauvaises surprises (et les amendes, ouch !).
3. Base légale du traitement
Sachez que chaque candidat dispose de droits bien réels : accès à ses données, demande de rectification, effacement, limitation, portabilité, etc. En amont, il faut donc mettre en place un processus clair et facile pour gérer ces demandes.
Qui va répondre ? En combien de temps ? Par quel canal ? Comment on trace ça ?
Un bon système, c’est comme un ami toujours prêt à répondre quand on frappe à la porte. Et en bonus, ça montre votre professionnalisme et votre respect envers les personnes que vous recrutez.
4. Minimisation et pertinence des données collectées
Enfin, pensez dès le début à ce qu’il adviendra des candidatures après recrutement ou en cas de refus. Selon la CNIL, les candidatures non retenues peuvent être conservées « en base active » pendant trois mois maximum, ce qui permet de communiquer un refus ou expliquer un choix. Si vous souhaitez prolonger cette conservation (par exemple pour constituer un vivier), vous devez obtenir le consentement explicite du candidat, sans dépasser deux ans à partir du dernier contact.
Et si on n’en a plus besoin ? On supprime ou on anonymise, façon proprette, et on laisse le poste vacant sans trace inutile.
5. Accès restreint aux données
imaginez que chaque candidature est rangée dans un coffre-fort où seuls les gardiens autorisés ont la clef. C’est ça, l’accès restreint aux données. Concrètement, dans votre entreprise comme dans des outils spécialisés, seuls les collaborateurs concernés par le recrutement, ceux qui doivent vraiment voir le dossier, y ont accès, et uniquement aux infos nécessaires à leur mission.
Ce principe du « besoin de savoir » ou « moindre privilège », vous empêchera de laisser fuiter des données par inadvertance, comme si on vous prêtait un café et que vous en buviez trop !
6. Durée de conservation limitée
Il faut se fixer un délai de vie pour les candidatures, au lieu de garder les CV éternellement, comme des photos de vacances qu’on n'ose pas jeter. En général, on peut conserver les candidatures non retenues environ trois mois, le temps de justifier un refus ou expliquer une décision. Si vous voulez les garder plus longtemps, par exemple pour recontacter des profils intéressants, il faudra obtenir le consentement explicite du candidat, et la conservation ne doit pas dépasser deux ans à partir du dernier échange.
C’est un peu comme si vous gardiez un souvenir pour une deuxième occasion uniquement si la personne est d’accord, et pas plus tard que raisonnable.
7. Documentation des traitements
Documenter vos traitements. Vous l’avez compris, chaque action qu’on fait sur les données (collecte, consultation, suppression) doit être consignée dans un registre, c’est votre preuve de bonne gestion. Ce registre, que la CNIL vous réclame, est bientôt votre meilleur allié : il montre qui a fait quoi, pourquoi, quand, et pour combien de temps. Pensez à lui comme à votre carnet de bord RGPD, indispensable et rassurant quand tout se met en place.
8. Sécurisation des données, notamment via ATS
Sécuriser les données, notamment via un ATS (Applicant Tracking System, ou logiciel de suivi des candidatures). Un ATS, ce n’est pas juste un fichier classeur digital : c’est un outil intelligent conçu pour vous faciliter la vie tout en respectant le RGPD. Il permet de gérer le consentement, de suivre les règles de conservation, de répondre aux demandes des candidats, tout ça automatiquement et avec des traces horodatées. Il protège les données avec chiffrement, contrôle d’accès, authentification renforcée… comme un coffre-fort digital sous haute sécurité. Et en cas de contrôle, vous avez sous la main les journaux d’audit qui prouvent que tout est géré dans les règles.
9. Respect des droits des candidats
Parlons du respect des droits des candidats. Saviez-vous que chaque personne qui postule chez vous a de vrais super-pouvoirs sur ses données ? Elle peut, par exemple, demander à voir ce que vous avez enregistré (droit d’accès), corriger ce qui est faux, voire exiger l’effacement de certaines infos.
Elle peut aussi s’opposer à certains usages ou demander à récupérer ses données pour les transférer ailleurs, un vrai droit à la portabilité. Autant dire qu’un simple “Merci pour votre candidature” ne suffit pas : il faut expliquer clairement au candidat·e ce qu’il ou elle peut faire, et faciliter ces démarches. Ça donne confiance, et ça vous évite les confusions ! Vous êtes là pour recruter, pas pour compliquer la vie à vos talents, non ?
10. Sécurité et traçabilité des transferts
Ensuite, parlons de sécurité et traçabilité des transferts. Imaginez que les données des candidats voyagent dans le cloud, vont d’un bureau à un autre, traversent l’outil RH... Chaque étape peut être un risque si vous ne la sécurisez pas. C’est pourquoi il faut garantir que les échanges sont protégés (par exemple via le chiffrement), qu’on sait qui a accédé à quoi, quand et comment.
C’est ce qu’on appelle la traçabilité.
Ces actions permettent de prouver que vous avez agi correctement, et si un jour un contrôle vous demande des comptes, vous avez les preuves sous la main. Il s’agit d’un gage de sérieux autant qu’une précaution qui rassure autant l’entreprise que les candidats.
11. Consentement clair, transparent et rétractable
Le RGPD exige que ce consentement soit donné librement et sans ambiguïté. Vous ne pouvez pas impliquer une condition comme "sinon pas d’entretien" : ce serait du consentement “forcé”, et donc invalide. En revanche, si vous souhaitez utiliser les données au-delà du simple recrutement, pour stocker les profils dans un vivier et éventuellement les recontacter, alors oui, un consentement explicite devient nécessaire. Et attention : ce consentement doit être aussi facile à retirer qu’à donner. Le candidat doit pouvoir dire “stop, j’irai postuler ailleurs” et vous supprimer ses données, sans menu caché.
Les processus à préparer en amont d'un recrutement dans le contexte du RGPD
1. Cartographier et documenter les traitements
ChatGPT said:
Avant même de publier une annonce, il est essentiel de préparer le terrain pour que votre recrutement soit conforme au RGPD.
Commencez par cartographier et documenter vos traitements. En clair, vous devez savoir exactement quelles données vous collectez, pour quelles raisons, qui y a accès, combien de temps elles sont conservées et où elles sont stockées. Pensez à ce registre comme à un carnet de route qui vous aide à ne rien oublier et à démontrer facilement votre sérieux en cas de contrôle. C’est aussi un bon moyen pour vous poser les bonnes questions : ai-je vraiment besoin de cette information ou est-ce superflu ?
2. Appliquer les principes du RGPD dès la conception (privacy by design)
Une fois ce travail réalisé, il est temps d’adopter la logique du privacy by design. Cela veut dire intégrer la protection des données dès la conception de vos processus.
Si vous mettez en place un formulaire de candidature, demandez-vous toujours : est-ce que chaque champ est vraiment utile pour évaluer la personne ? Moins vous collectez d’informations, moins vous prenez de risques. Le but est d’être efficace sans être intrusif, un peu comme quand vous posez une question en entretien : vous allez droit au but, sans chercher à tout savoir de la vie privée du candidat.
3. Structurer l’exercice des droits des candidats
N’oubliez pas de structurer l’exercice des droits des candidats. Le RGPD prévoit que chacun puisse consulter ses données, les rectifier, demander leur suppression ou s’opposer à certains traitements. Si un candidat vous écrit pour exercer ce droit, vous devez être en mesure de répondre rapidement et de manière organisée.
Pour cela, mieux vaut avoir prévu un processus clair en interne : qui s’en occupe, comment on vérifie l’identité de la personne, dans quels délais on répond. Anticiper ces demandes, c’est éviter le stress de devoir improviser et c’est aussi un signe fort de respect vis-à-vis des personnes qui vous confient leurs informations.
4. Mettre en place un processus de suppression ou d’anonymisation
Quand on parle de RGPD, on pense souvent à la collecte des données. Mais ce qui compte tout autant, c’est de savoir les gérer jusqu’au bout.
Et cela commence par mettre en place un vrai processus de suppression ou d’anonymisation. Autrement dit, vous devez définir ce qui se passe une fois qu’un recrutement est terminé. Les candidatures non retenues ne doivent pas dormir éternellement dans vos dossiers. Soit vous les supprimez proprement, soit vous les anonymisez pour ne garder que des statistiques utiles sans qu’aucune personne ne soit identifiable. C’est un peu comme faire du tri dans vos placards : vous gardez ce qui est utile et vous vous débarrassez du reste, avec une vraie méthode.
5. Définir clairement la durée de conservation des données
Dans la même logique, il est indispensable de définir clairement la durée de conservation des données. La loi ne vous autorise pas à stocker les CV « au cas où » sans limite de temps. En général, quelques mois suffisent pour justifier vos choix de recrutement. Si vous souhaitez garder certains profils dans un vivier de talents, vous devez demander le consentement du candidat et fixer une durée maximale, souvent deux ans. Le fait de préciser cette durée dans vos processus internes et dans vos mentions d’information est un gage de transparence.
Cela rassure les candidats et montre que vous êtes rigoureux.
6. Nommer un DPD/DPO lorsque c’est obligatoire ou pertinent
Enfin, il ne faut pas oublier le rôle du DPD ou DPO, le Délégué à la Protection des Données. Dans certains cas, sa nomination est obligatoire, notamment pour les organismes publics ou les structures qui traitent à grande échelle des données sensibles. Mais même lorsqu’il n’est pas strictement requis, avoir un DPO peut être très utile. C’est la personne qui veille à ce que vos pratiques restent conformes, qui conseille vos équipes et qui fait le lien avec la CNIL en cas de besoin. Un peu comme un copilote expérimenté, il vous aide à rester sur la bonne trajectoire et à éviter les dérapages.
Ce qu'il faut retenir
En fin de compte, s’assurer d’être conforme au RGPD dans le recrutement n’a rien d’une mission impossible. C’est surtout une question de bon sens, de transparence et de respect. Tout commence par bien comprendre ce qu’est le RGPD et quelles données vous manipulez au quotidien. Ensuite, il s’agit de collecter uniquement ce qui est nécessaire, d’informer clairement les candidats et de mettre en place des règles simples mais solides : accès limité aux informations, durée de conservation définie, sécurité des échanges et documentation rigoureuse de vos pratiques.
Être conforme, c’est aussi anticiper. Cartographier vos traitements, intégrer la protection des données dès la conception de vos processus, prévoir un moyen simple pour que les candidats exercent leurs droits, et organiser la suppression ou l’anonymisation une fois le recrutement terminé. C’est un peu comme installer un cadre de confiance autour de vos pratiques, qui protège à la fois votre entreprise et les personnes qui postulent chez vous.
Et puis, il ne faut pas oublier l’humain. Le respect des droits des candidats, le consentement clair et rétractable, la traçabilité des transferts… tout cela n’est pas qu’une contrainte réglementaire, c’est une manière de montrer que vous valorisez les personnes autant que leurs compétences. En adoptant cette approche, vous transformez le RGPD d’une obligation légale en un véritable levier de confiance et d’attractivité.
Alors, comment être conforme ? En restant transparent, en structurant vos pratiques et en mettant toujours le respect des candidats au cœur de vos recrutements. Le RGPD devient alors non pas une charge supplémentaire, mais une opportunité d’élever vos processus et de renforcer votre image auprès de ceux que vous cherchez à attirer.
Questions fréquentes
Un recruteur peut-il demander la date de naissance, la photo ou le numéro de sécurité sociale d’un candidat ?
Non, seules les informations utiles à l’évaluation du poste peuvent être demandées. La date de naissance, la photo ou le numéro de sécurité sociale ne doivent pas être sollicités sauf obligation légale particulière.
Comment sécuriser les CV et lettres de motivation reçus ?
Il faut limiter leur consultation aux personnes autorisées, utiliser des outils de gestion sécurisés et prévoir un chiffrement lors des échanges numériques.
Combien de temps les candidatures peuvent-elles être conservées légalement ?
En règle générale, trois mois suffisent pour justifier une décision de recrutement. Au-delà, il est nécessaire d’obtenir un accord clair du candidat, pour une durée maximale de deux ans.
Quelles sont les obligations en cas de fuite ou de piratage de données de candidats ?
L’entreprise doit informer la CNIL dans les 72 heures et prévenir les personnes concernées si le risque est élevé, tout en prenant des mesures correctives rapides.
Quelle est la différence entre base légale et consentement dans un recrutement ?
La base légale justifie le traitement des données sans autorisation spécifique (par exemple, l’intérêt légitime du recruteur). Le consentement est requis uniquement lorsqu’il s’agit d’un usage complémentaire, comme conserver un profil pour un futur recrutement.
