RGPD recrutement : le guide pratique pour recruteurs 2026
RGPD recrutement : données des candidats, base légale, durée de conservation, tri automatisé, casier judiciaire. Obligations et checklist 2026.
- Le recrutement est un traitement de données comme un autre
- Quelle base légale pour recruter ?
- Quelles données pouvez-vous réellement collecter ?
- Le tri automatisé et l’IA : un point de contrôle majeur en 2026
- Combien de temps conserver les candidatures ?
- Informer les candidats et respecter leurs droits
- Documenter : registre et AIPD
- Ce qu’il faut retenir
- FAQ
Le 3 avril 2026, la CNIL a désigné le recrutement comme l’une de ses trois priorités de contrôle pour l’année. Concrètement : si vous collectez des CV, faites passer des entretiens ou utilisez un logiciel de tri de candidatures, vos pratiques peuvent être auditées cette année. Or dans mon expérience de conseil auprès de PME, le processus de recrutement reste l’un des traitements RGPD les moins bien maîtrisés — souvent parce qu’il est éclaté entre les RH, les managers et des outils externes. Voici ce qu’il faut cadrer.
Le recrutement est un traitement de données comme un autre
Dès qu’un candidat vous envoie un CV, vous traitez des données personnelles au sens du RGPD. Collecte, tri, consultation, conservation, transmission à un manager, suppression : chacune de ces opérations est un traitement soumis à l’ensemble des obligations du règlement.
La CNIL a d’ailleurs publié dès le 30 janvier 2023 un guide du recrutement en 19 fiches, qui constitue aujourd’hui le référentiel de fait pour tout recruteur français. C’est ce document que les contrôleurs auront en main en cas d’audit. Le connaître, c’est déjà réduire l’essentiel de votre risque.
Point de vigilance immédiat : le recrutement ne se limite pas à votre logiciel RH. Le manager qui garde un CV dans sa boîte mail, le tableur Excel partagé de suivi des candidatures, les notes prises en entretien, les recherches sur LinkedIn — tout cela fait partie du même traitement et doit être encadré de la même façon.
Quelle base légale pour recruter ?
Comme tout traitement, le recrutement doit reposer sur l’une des six bases légales de l’article 6 du RGPD. Contrairement à une idée répandue, le consentement n’est presque jamais la bonne base pour un processus de recrutement classique.
La base la plus adaptée est en général l’intérêt légitime du recruteur (Art. 6(1)(f)) : sélectionner un candidat pour un poste ouvert constitue un intérêt légitime évident. Dans certains cas, la base peut être l’exécution de mesures précontractuelles à la demande du candidat (Art. 6(1)(b)), notamment lorsque l’échange progresse vers une proposition d’embauche.
Le consentement (Art. 6(1)(a)) ne devient pertinent que pour des traitements accessoires et facultatifs : par exemple, conserver la candidature dans une CVthèque au-delà du poste concerné pour la reproposer plus tard. Pour bien distinguer ces situations, je renvoie à mon article sur le choix de la base légale au sens du RGPD et sur l’intérêt légitime.
Quelles données pouvez-vous réellement collecter ?
La règle est celle de la minimisation (Art. 5(1)©) : seules les données adéquates, pertinentes et strictement nécessaires à l’évaluation de la candidature peuvent être collectées.
En pratique, sont légitimes : l’identité, les coordonnées, le parcours de formation, l’expérience professionnelle, les compétences et, le cas échéant, les prétentions salariales. À l’inverse, sont à proscrire dans un formulaire de candidature ou un entretien : la situation familiale, le numéro de sécurité sociale, l’état de santé, la nationalité (sauf exigence légale spécifique au poste), l’appartenance syndicale ou les opinions politiques et religieuses.
Les données sensibles sont interdites, sauf exception
Le traitement des données dites sensibles au sens de l’article 9 du RGPD — santé, origine prétendument raciale ou ethnique, convictions religieuses, orientation sexuelle, opinions politiques — est interdit par principe dans un recrutement. Les rares exceptions doivent reposer sur un fondement légal précis (par exemple, l’aménagement de poste pour un travailleur handicapé, mais alors la donnée est collectée à cette seule fin et non pour départager les candidatures).
Casier judiciaire et vérifications
La collecte d’un extrait de casier judiciaire relève de l’article 10 du RGPD et obéit à une interdiction de principe. Un recruteur ne peut l’exiger que lorsqu’un texte spécifique le prévoit pour le poste concerné (professions de sécurité, contact avec des mineurs, certaines fonctions financières). En dehors de ces cas, demander le bulletin n° 3 à tous les candidats est une pratique irrégulière.
Le tri automatisé et l’IA : un point de contrôle majeur en 2026
Beaucoup de recruteurs s’appuient désormais sur des outils qui classent, notent ou présélectionnent automatiquement les candidatures. C’est précisément l’un des sujets que la CNIL surveille de près.
Deux règles à retenir. D’abord, un candidat ne peut pas faire l’objet d’une décision entièrement automatisée produisant des effets significatifs — comme un rejet automatique sans intervention humaine — sauf encadrement strict prévu par l’article 22 du RGPD. Une intervention humaine réelle dans la décision finale reste la norme ; j’ai détaillé ce mécanisme dans mon article sur les décisions automatisées et le RGPD.
Ensuite, ces outils doivent respecter la transparence et la minimisation. Un logiciel qui déduit des caractéristiques du candidat à partir de signaux indirects (analyse de la voix, de l’expression faciale en visioconférence) est particulièrement exposé. Les enjeux se recoupent largement avec ceux de l’IA appliquée au recrutement et du risque de discrimination.
Combien de temps conserver les candidatures ?
C’est la question qui revient le plus souvent, et l’erreur la plus fréquente est de tout garder « au cas où ».
Pour un candidat non retenu, la CNIL recommande une conservation maximale de deux ans à compter du dernier contact avec le candidat, et à la condition de l’en informer. Au-delà, les données doivent être supprimées ou anonymisées. Si vous souhaitez constituer une CVthèque pour reproposer un profil plus tard, cela suppose l’information du candidat et, selon les cas, son accord.
Pour un candidat recruté, les données utiles basculent dans le dossier du personnel et suivent les durées propres à la gestion RH. Les principes de conservation applicables sont les mêmes que ceux que je détaille dans le guide sur la durée de conservation des données.
Le réflexe opérationnel : définir la durée en amont, l’inscrire au registre, et automatiser la purge plutôt que de compter sur un nettoyage manuel qui n’arrive jamais.
Informer les candidats et respecter leurs droits
Le candidat doit être informé, au moment de la collecte, de l’identité du responsable de traitement, des finalités, de la base légale, des destinataires, de la durée de conservation et de ses droits (Art. 13). En pratique, cela prend la forme d’une mention d’information sur le formulaire de candidature ou la page « Carrières » du site.
Les candidats disposent des droits classiques : accès, rectification, effacement, opposition. Un candidat peut par exemple demander l’accès aux notes prises lors de son entretien ou la suppression de sa candidature. Il faut être en mesure d’y répondre dans le délai d’un mois.
Documenter : registre et AIPD
Le recrutement doit figurer dans votre registre des activités de traitement (Art. 30), avec ses finalités, ses catégories de données, ses durées et ses destinataires.
Une analyse d’impact (AIPD) au titre de l’article 35 peut être requise lorsque le traitement présente un risque élevé — typiquement en cas de recours à un profilage automatisé à grande échelle des candidats, ou à des outils d’évaluation intrusifs. Ce travail de cartographie et de documentation, souvent chronophage quand il est fait manuellement, est exactement ce que Legiscope permet d’industrialiser.
N’oubliez pas non plus vos prestataires : ATS, cabinets de recrutement, plateformes de tests sont des sous-traitants au sens de l’article 28, et doivent être encadrés par un contrat conforme. C’est un point commun avec l’ensemble de vos traitements RH et RGPD.
Ce qu’il faut retenir
- Le recrutement est une priorité de contrôle CNIL en 2026 : mettre ses pratiques à niveau maintenant est un investissement à faible coût pour un risque élevé.
- La base légale pertinente est en général l’intérêt légitime (Art. 6(1)(f)), pas le consentement.
- Appliquez la minimisation : pas de données sensibles (Art. 9), pas de casier judiciaire hors texte spécifique (Art. 10), pas de questions hors sujet.
- Le tri automatisé ne doit jamais aboutir à un rejet purement automatique sans intervention humaine (Art. 22).
- Conservez les candidatures non retenues 2 ans maximum après le dernier contact, puis supprimez ou anonymisez.
- Documentez le traitement au registre (Art. 30), encadrez vos prestataires (Art. 28) et réalisez une AIPD si le risque est élevé (Art. 35).
FAQ
Peut-on conserver un CV sans l’accord du candidat ?
Oui, pendant le processus de recrutement lui-même, sur la base de l’intérêt légitime. En revanche, conserver le CV au-delà (jusqu’à deux ans maximum) suppose d’informer le candidat, et pour une intégration en CVthèque à des fins de futures propositions, de recueillir son accord.
Un recruteur peut-il consulter le profil LinkedIn d’un candidat ?
Consulter des informations qu’un candidat a rendues publiques est possible, mais cela reste un traitement de données soumis au RGPD. Les informations recueillies doivent présenter un lien direct et nécessaire avec le poste, et le candidat doit être informé que vous procédez à ce type de recherche.
Le tri automatique des CV par un logiciel est-il autorisé ?
Un outil de classement ou de présélection est autorisé, mais il ne peut pas prendre seul la décision finale de rejet. Une intervention humaine réelle est requise au titre de l’article 22 du RGPD, et le candidat doit être informé du recours à un tel outil.
Combien de temps garder les données des candidats non retenus ?
La CNIL recommande une durée maximale de deux ans à compter du dernier contact avec le candidat, sous réserve de l’en avoir informé. Au-delà, les données doivent être supprimées ou anonymisées.
Vous voulez rester à jour sur les obligations RGPD qui concernent votre entreprise ? Recevez chaque semaine nos analyses conformité — décryptages CNIL, échéances réglementaires et bonnes pratiques directement dans votre boîte mail.