Le RGPD s’applique aussi aux données des candidats : quel enjeu pour les recruteurs ?
Le Règlement Général sur la Protection des Données (RGPD) s’applique pleinement au processus de recrutement, dès lors que vous collectez des CV, lettres de motivation ou notes d’entretien contenant des données personnelles sur des candidats. Ces informations (identité, coordonnées, diplômes, expérience, etc.) permettent d’identifier une personne physique, donc leur traitement doit respecter le RGPD. En clair, un CV papier ou électronique est concerné au même titre qu’un fichier informatique : même une simple note manuscrite conservée après un entretien est considérée comme un traitement de données personnelles. Par conséquent, les recruteurs, DRH et dirigeants doivent veiller à se conformer à la réglementation sous peine de s’exposer à des sanctions.
Ne pas respecter les obligations du RGPD en matière de recrutement peut coûter cher. Un candidat estimant que ses données ont été mal traitées (par exemple conservées sans autorisation ou utilisées abusivement) peut saisir la CNIL ou la justice pour obtenir réparation. Les manquements graves au RGPD peuvent entraîner des amendes administratives allant jusqu’à 4 % du chiffre d’affaires annuel de l’entreprise, sans compter les avertissements ou injonctions que la CNIL peut prononcer. Au-delà du risque légal, négliger la protection des données des candidats peut ternir votre marque employeur et décourager de futurs talents. À l’inverse, montrer l’exemple en matière de confidentialité et de transparence renforcera la confiance des candidats envers votre entreprise.
Les droits des candidats sur leurs données personnelles
Le RGPD a pour objectif de redonner aux personnes la maîtrise de leurs données. À ce titre, les candidats bénéficient de plusieurs droits sur les informations les concernant, que vous devez connaître et respecter. Concrètement, les candidats disposent des droits suivants :
Droit d’accès
obtenir copie des données personnelles détenues les concernant (CV, notes d’entretien, tests, etc.) sur simple demande, sans avoir à se justifier.
Droit de rectification
faire corriger des données inexactes ou incomplètes (par exemple une erreur dans leur nom ou leur expérience).
Droit d’effacement (ou droit à
l’oubli)
demander la suppression de leurs données et l’arrêt du traitement, notamment s’ils retirent leur candidature ou si les données ne sont plus nécessaires.
Droit d’opposition
s’opposer à l’utilisation de leurs données, par exemple au fait de conserver leur CV dans un vivier de talents futur, ce qui vous oblige à cesser le traitement sauf motif impérieux.
Droit à la portabilité
recevoir leurs données dans un format électronique réutilisable ou les faire transférer à un tiers sur leur demande (ce droit s’exerce surtout pour des données fournies par le candidat lui-même).
Droit à la limitation
obtenir le gel temporaire du traitement de certaines données, par exemple le temps de résoudre une contestation sur leur exactitude.
Toutes ces prérogatives sont inscrites dans le RGPD. Pour résumé, les candidats peuvent accéder, rectifier, supprimer ou récupérer les données les concernant, et s’opposer ou limiter certains traitements. Votre rôle en tant que recruteur est de faciliter l’exercice de ces droits. Par exemple, si un candidat vous contacte pour connaître les informations que vous avez sur lui, vous devez répondre rapidement et clairement, en lui fournissant une copie de ses données (CV, notes, emails le concernant, etc.). S’il demande une rectification ou suppression, vous devez le faire sans retard injustifié et confirmer la prise en compte de sa demande. Ces démarches doivent être gratuites pour le candidat et effectuées dans un délai d’environ un mois (pouvant être prolongé à deux mois pour les cas complexes, selon l’article 12 du RGPD).
Informer les candidats de leurs droits fait partie de vos obligations légales. Dès la collecte de données, vous devez signaler aux candidats qu’ils disposent de ces droits et la manière de les exercer (adresse de contact, procédure, etc.), conformément aux articles 12 à 14 du RGPD. Un candidat n’a aucune justification à fournir pour exercer un droit : par exemple, il peut demander la suppression de ses données « pour motif personnel » sans avoir à se justifier. À vous de prévoir en interne une procédure pour traiter ces demandes (pilotée par le service RH ou le DPO si vous en avez un) afin d’y répondre dans les délais impartis.
Vos obligations en tant que recruteur : conformité RGPD du processus de recrutement
Pour protéger les droits des candidats, le RGPD impose aux recruteurs et employeurs une série d’obligations et de bonnes pratiques à chaque étape du recrutement. Voici les points clés à mettre en œuvre pour rester en conformité :
1. Informer les candidats de manière transparente dès la collecte
La transparence est un pilier du RGPD. Vous devez
informer clairement chaque candidat, dès que vous recueillez des
données (par exemple via un formulaire en ligne, une candidature
email ou un entretien), des points suivants : identité
du responsable du traitement (votre entreprise), finalité
du traitement (ex : gestion du recrutement pour tel poste), base
légale utilisée (par exemple, l’intérêt légitime de
l’employeur ou l’exécution de mesures précontractuelles pour
évaluer la candidature), destinataires des données
(service RH, manager opérationnel concerné, etc.), durée
de conservation des données, et bien sûr existence
des droits listés plus haut et comment les exercer. Vous
devez aussi mentionner la possibilité pour le candidat d’introduire
une réclamation auprès de la CNIL s’il estime que ses droits ne
sont pas respectés.
Cette information est généralement fournie via une clause de confidentialité dans l’offre d’emploi ou un lien vers votre politique de protection des données sur votre site carrières. L’essentiel est qu’avant même qu’un candidat ne vous envoie son CV, il sache pourquoi vous collectez ses informations et ce que vous allez en faire. Par exemple, si vous envisagez de constituer un vivier de CV pour des besoins futurs, indiquez-le clairement (« Nous pourrons conserver votre candidature pendant X mois en vue de vous recontacter pour d’autres opportunités, sauf opposition de votre part »). La transparence renforce la confiance : un candidat informé de vos pratiques aura plus confiance en votre entreprise et enverra ses informations en toute connaissance de cause.
Enfin, n’oubliez pas d’informer aussi en interne : tous les employés impliqués dans le recrutement (managers, membres d’un jury de recrutement, etc.) doivent connaître vos règles de protection des données. Ils doivent être sensibilisés à la confidentialité des CV et aux bonnes pratiques (par exemple, ne pas transférer les CV par messagerie non sécurisée à des personnes non autorisées). Informez également votre CSE (Comité Social et Économique) si vous mettez en place de nouveaux outils de recrutement impliquant des données personnelles, comme l’exige le Code du travail.
2. Collecter uniquement les données nécessaires (principe de minimisation)
Veillez à ne demander que les informations strictement nécessaires à l’évaluation de la candidature et à la sélection du candidat pour le poste visé. Le principe de minimisation (article 5 du RGPD) impose de ne collecter que des données pertinentes et adéquates au regard de la finalité du recrutement. En pratique, cela signifie que les formulaires de candidature ou questions posées en entretien doivent se limiter à ce qui a un lien direct et nécessaire avec l’emploi proposé ou l’évaluation des aptitudes professionnelles du candidat. Par exemple, il est légitime de demander les diplômes, expériences, compétences professionnelles, ou de réaliser des tests techniques liés au poste. En revanche, des questions sur la vie personnelle du candidat (état civil complet, situation familiale, nationalité détaillée, lieu de naissance, opinions politiques ou syndicales, santé, etc.) sont à proscrire, sauf exception très particulière prévue par la loi.
La CNIL a récemment rappelé à l’ordre une entreprise qui
collectait de nombreuses données excessives sur les candidats lors
du recrutement (lieu de naissance, situation de famille complète,
salaire précédent détaillé, etc.), en violation du principe de
minimisation. Cette collecte démesurée a été jugée illicite :
un recruteur n’a pas à exiger, au stade de la candidature, des
informations sur le conjoint du candidat ou son salaire exact dans
ses anciens postes, par exemple. Retenez bien : plus
vous collectez de données sensibles ou non pertinentes, plus vous
prenez de risques juridiques (sans parler du mauvais signal envoyé
aux candidats). Contentez-vous donc des informations pertinentes pour
évaluer la candidature. Vous pourrez toujours demander des données
additionnelles après la sélection, une fois le
candidat retenu pour le poste (par exemple, pour constituer le
dossier d’embauche d’un futur salarié, il sera alors normal de
demander son état civil complet, RIB, numéro de sécurité sociale,
etc., mais seulement au moment de l’embauche, pas avant).
Astuce : passez en revue vos formulaires de candidature et questions types d’entretien pour vérifier qu’aucun champ inutile n’y figure. Supprimez les demandes de données superflues (comme la situation familiale, sauf si justifié par la nature du poste) et évitez les cases obligatoires abusives. Non seulement vous serez en conformité, mais en plus vous améliorerez l’expérience candidat en ne donnant pas l’impression d’un interrogatoire intrusif.
3. Garantir la sécurité et la confidentialité des données candidats
En tant que responsable de ces données, vous avez le devoir
d’assurer leur sécurité et de prévenir tout
accès non autorisé. Tout d’abord, limitez l’accès aux données
des candidats aux seules personnes habilitées :
typiquement, le service RH et les managers directement impliqués
dans le recrutement pourvoient accéder aux CV, lettres de motivation
et notes d’entretiens, mais pas l’ensemble des salariés. Si vous
utilisez un logiciel de suivi des candidatures (ATS), paramétrez les
droits d’accès par rôle. En format papier, conservez les dossiers
de candidature dans une armoire fermée à clé, accessible
uniquement aux recruteurs autorisés.
Ensuite, mettez en place des mesures de sécurité techniques et organisationnelles appropriées. Sur le plan technique, cela inclut le stockage des données dans des systèmes sécurisés (chiffrés ou protégés par mot de passe), des sauvegardes sûres, et éventuellement la pseudonymisation/anonymisation des données lorsque c’est possible. Sur le plan organisationnel, sensibilisez vos collaborateurs : par exemple, si un manager imprime des CV, il devra penser à les détruire (broyeur) une fois le recrutement terminé. De même, évitez d’échanger les CV et données candidates par email non sécurisé ; privilégiez une plateforme interne ou un portail dédié pour communiquer avec les managers sur les candidatures. Chaque fois qu’un collaborateur accède aux données d’un candidat, il doit le faire pour une raison légitime et respecter une obligation de confidentialité. Tenez un registre ou un historique des accès si possible, afin de savoir qui a consulté quoi et prévenir toute utilisation détournée.
N’oubliez pas non plus de sécuriser l’accès des candidats eux-mêmes à leurs données. Une bonne pratique consiste à permettre aux candidats de créer un espace personnel sécurisé dans lequel ils peuvent mettre à jour ou retirer leurs informations. Par exemple, un portail candidat en ligne avec identifiant/mot de passe leur donnera la possibilité de modifier ou supprimer leur profil en un clic, ce qui facilite l’exercice de leurs droits et prouve votre transparence. Enfin, en cas de départ d’un collaborateur qui avait accès aux données de candidats, pensez à couper ses accès immédiatement. Et si malheureusement vous subissez une violation de données (ex. vol de CV, piratage de base candidats), le RGPD vous impose de la notifier à la CNIL sous 72h et d’informer les personnes concernées si cela présente un risque élevé pour elles – d’où l’importance d’anticiper par des mesures de protection efficaces.
4. Définir une durée de conservation limitée des données de candidature
C’est un point capital : vous ne pouvez pas conserver
les données des candidats indéfiniment. Le RGPD impose que
les données personnelles ne soient gardées que pendant la durée
nécessaire à la finalité pour laquelle elles ont
été collectées. En recrutement, cela signifie que, une fois le
processus terminé, les CV, lettres de motivation, tests et autres
données d’un candidat non retenu ne doivent pas
être conservés trop longtemps. Quelle durée appliquer en
pratique ? La CNIL recommande de ne pas excéder 2 ans
de conservation des données d’un candidat à compter du
dernier contact avec celui-ci, en cas de non-embauche.
Autrement dit, si un candidat n’a pas été recruté, vous pouvez
garder son CV dans votre base pour d’éventuelles autres
opportunités, au maximum deux ans après le
dernier échange ou la dernière mise à jour de sa candidature.
Au-delà, sauf contact repris avec le candidat, supprimez ses
données.
Cette durée de deux ans n’est pas une obligation figée dans la loi, mais une recommandation forte de la CNIL suivie par la plupart des acteurs du recrutement. Elle est considérée comme une durée raisonnable pour exploiter un CV tout en respectant le droit à l’oubli du candidat. Bien sûr, ce délai n’est valable que si le candidat en a été informé dès le départ (d’où l’importance de l’avertir dans la mention d’information, par exemple : « Nous conserverons vos données pendant 2 ans à compter du dernier contact, sauf opposition de votre part »). Sans information préalable, vous n’êtes pas en droit de garder ses données pour un vivier.
Que se passe-t-il si un candidat demande la suppression de son dossier avant l’échéance des 2 ans ? Dans ce cas, vous devez accéder à sa demande : le RGPD consacre le droit à l’effacement, donc le candidat peut s’opposer à la conservation de ses données et vous devez alors les supprimer sans délai. En pratique, il est judicieux de fournir aux candidats un moyen simple de retirer leur candidature ou de demander l’effacement (un simple email au service RH, ou via leur espace candidat en ligne). Conservez la preuve de la suppression (par exemple un enregistrement dans votre système ou un email de confirmation), au cas où vous devriez démontrer votre conformité.
Et si vous souhaitez, de votre côté, conserver un CV au-delà de 2 ans parce qu’il vous intéresse vraiment pour le futur ? Dans ce cas, obtenez le consentement explicite du candidat pour prolonger la conservation. Idéalement, mettez en place un système de demande de renouvellement de consentement automatique : avant l’expiration des 2 ans, contactez le candidat pour lui demander s’il vous autorise à garder son profil plus longtemps. S’il répond oui, vous pouvez alors prolonger de la durée convenue (par exemple 1 an de plus) ; s’il ne répond pas ou refuse, supprimez ses données. Cette gestion proactive du vivier de candidats témoigne du respect de la vie privée et vous évite de conserver des données périmées.
Enfin, précisons que si un candidat est embauché, ses données basculent alors dans le dossier du personnel et pourront être conservées selon les durées légales applicables aux documents RH (bulletins de salaire, contrats, etc.) – ce qui est un autre sujet. Pour les candidats non retenus en revanche, 2 ans maximum est la règle à suivre dans la grande majorité des cas. En résumé, établissez une politique de conservation claire : durée définie, suppression automatique au terme prévu, et information du candidat. Cela vous protège en cas de contrôle CNIL, car vous pourrez montrer que vous n’accumulez pas indûment des CV depuis 10 ans sur un vieux disque dur !
5. Documenter et piloter la conformité (registre, DPO, analyses d’impact…)
Dernier point souvent oublié : le principe d’accountability
(responsabilisation) du RGPD implique de documenter vos
démarches de mise en conformité. En pratique, pensez à
inscrire vos traitements de recrutement (gestion des candidatures,
vivier de CV, etc.) dans votre registre des activités de
traitement, surtout si vous gérez ces données de manière
régulière. Indiquez-y la finalité, les catégories de données
candidates, les personnes ayant accès, la durée de conservation et
les mesures de sécurité mises en place. Si votre entreprise a
désigné un Délégué à la Protection des Données (DPO),
impliquez-le dans la mise en conformité du processus de recrutement
– il pourra conseiller sur les risques et bonnes pratiques.
Par ailleurs, si vous introduisez des outils potentiellement intrusifs ou innovants (par exemple un algorithme de tri automatique des CV, un outil de profilage des candidats, ou la collecte de données sensibles), évaluez si une Analyse d’Impact sur la Protection des Données (AIPD) est nécessaire. Le guide de la CNIL sur le recrutement détaille les cas où une AIPD peut s’appliquer (par exemple utilisation de tests psychotechniques, profilage algorithmique, etc.). En cas de doute, mieux vaut en réaliser une – cela vous permettra d’identifier et de minimiser les risques pour la vie privée des candidats.
En résumé, gardez des traces de vos actions de conformité (notes de mise en conformité, preuves de formation du personnel RH, modèles de clauses d’information aux candidats, preuves des consentements recueillis, logs de suppression des données, etc.). Si un contrôle avait lieu, vous seriez en mesure de démontrer votre bonne foi et les mesures prises pour respecter le RGPD.
Bonnes pratiques pour gérer la conservation des données candidats
Pour vous aider à appliquer concrètement ces principes, voici quelques bonnes pratiques centrées sur la conservation et le respect des droits des candidats :
Établissez une politique de conservation écrite : définissez noir sur blanc combien de temps vous gardez les données des candidats non retenus (par exemple 2 ans maximum) et quelle procédure de suppression vous appliquez ensuite. Communiquez cette politique aux équipes RH et assurez-vous qu’elle est mentionnée aux candidats (par exemple dans la notice d’information).
Paramétrez des alertes ou des suppressions automatiques : si vous utilisez un logiciel de recrutement ou même un simple tableur, mettez en place un système (alerte calendrier, tâche récurrente) pour purger les CV arrivant en fin de durée de conservation. Certains ATS permettent d’automatiser la suppression ou l’anonymisation des fiches candidats après 2 ans sans interaction, ce qui sécurise le processus.
Demandez le consentement pour le vivier de talents : si vous souhaitez garder un candidat dans votre vivier pour un futur poste, proposez-lui de “rester en contact”. Par exemple, après un entretien positif mais un poste finalement pourvu en interne, envoyez au candidat un email personnalisé indiquant que vous aimeriez conserver son CV pour d’autres opportunités, et demandez-lui de confirmer son accord en répondant positivement. Conservez cette preuve de consentement. Sans réponse claire, n’allez pas au-delà de la durée par défaut annoncée.
Facilitez la désinscription des candidats : sur votre site carrières ou dans vos communications, permettez aux candidats de retirer facilement leur candidature ou de supprimer leurs données. Par exemple, incluez un lien de désinscription dans vos emails de vivier, ou une mention « pour exercer vos droits, contactez-nous à l’adresse… ». Un candidat ne doit pas avoir à vous relancer trois fois pour être effacé de vos bases – rendez-leur la vie facile, c’est leur droit et c’est aussi un gain de temps pour vous.
Sensibilisez vos recruteurs et managers : formez les personnes impliquées dans le recrutement aux règles de conservation. Par exemple, expliquez qu’un CV reçu par email ne doit pas traîner indéfiniment dans les messageries : il doit être intégré dans le système officiel puis supprimé de l’email. De même, un manager ne doit pas garder sur son ordinateur personnel les tests d’un candidat pendant des années. Instaurez des règles internes claires sur la suppression des données candidates et faites des rappels réguliers.
Vérifiez vos sous-traitants : si vous faites appel à un cabinet de recrutement, une plateforme d’intérim ou un logiciel SaaS pour gérer vos candidatures, assurez-vous qu’ils respectent aussi ces durées de conservation et droits des candidats. Votre contrat (accord de traitement des données) doit prévoir la suppression ou restitution des données candidates après la fin de la mission ou au bout de la période définie. Ne laissez pas un prestataire conserver des CV plus longtemps que vous ne le feriez vous-même.
En appliquant ces bonnes pratiques, vous réduisez fortement les risques de conservation excessive ou de plainte d’un candidat. Vous montrez également que votre entreprise traite les données de manière responsable et éthique, ce qui ne peut qu’améliorer votre image auprès des talents que vous recherchez.
Conclusion : conformité rime avec confiance et efficacité
La conformité RGPD dans le recrutement n’est pas qu’une contrainte juridique : c’est l’occasion de mettre en place des process sains, transparents et efficaces dans la gestion de vos candidatures. En respectant les droits des candidats et en assumant vos devoirs (information, sécurité, limitation de la conservation, etc.), vous créez un climat de confiance réciproque. Les candidats se sentent respectés et en confiance pour vous confier leurs informations, ce qui améliore leur expérience candidat et votre attractivité en tant qu’employeur. De votre côté, vous bénéficiez de bases de CV mieux tenues à jour, pertinentes, et vous évitez de manipuler des données obsolètes ou inutiles.
N’oublions pas qu’au-delà de la peur des sanctions, il s’agit de valeurs : respecter la vie privée fait partie des attentes de la société actuelle. Pour un DRH ou un dirigeant de PME, se montrer proactif sur la protection des données, c’est aussi envoyer le message que l’entreprise se soucie de ses collaborateurs dès le stade du recrutement. C’est un atout pour votre marque employeur et cela vous protège des écueils juridiques.
En somme, “les candidats ont des droits et vous avez des devoirs” n’est pas seulement un slogan : c’est un guide d’actions concrètes à mener. En vous assurant que les CV et données de vos candidats sont traités dans le respect du RGPD – collectés de façon ciblée, conservés pour une durée limitée, sécurisés, et supprimés en temps voulu – vous cochez toutes les cases d’un recrutement responsable. Il ne vous restera plus qu’à vous concentrer sur l’essentiel : identifier les meilleurs talents, tout en ayant la tranquillité d’esprit que votre processus est conforme et optimisé. Préparez-vous, formez vos équipes, et faites de la protection des données un réflexe naturel de votre recrutement au quotidien. Vos futurs candidats – et la CNIL – vous en sauront gré !