Recrutement et RGPD : sécuriser vos décisions face aux contrôles de la CNIL
Le recrutement figure parmi les priorités de contrôle de la CNIL. Entre tri automatisé, sourcing sur les réseaux sociaux et conservation des CV, chaque étape engage votre responsabilité. Conservation limitée à deux ans en base active puis cinq ans en archive, supervision humaine obligatoire sur les décisions de l'IA, information des candidats : voici les règles concrètes pour sécuriser vos recrutements sans freiner votre sourcing.
Le recrutement figure parmi les priorités de contrôle de la CNIL. Entre tri automatisé, sourcing sur les réseaux sociaux et conservation des CV, chaque étape engage votre responsabilité. Conservation limitée à deux ans en base active puis cinq ans en archive, supervision humaine obligatoire sur les décisions de l'IA, information des candidats : voici les règles concrètes pour sécuriser vos recrutements sans freiner votre sourcing.
Face aux contrôles prioritaires annoncés par la CNIL, le processus d'embauche se retrouve en première ligne. Dans un contexte économique où les recruteurs croulent sous les CV pour un même poste alors que leurs équipes ont moins de temps, le recours aux logiciels de tri et aux IA est devenu un réflexe pour gagner du temps. Pour les professionnels du secteur, l'enjeu n'est pas de freiner l'innovation ou le sourcing, mais de s'assurer que la gestion des données des candidats reste maîtrisée. Comment intégrer ces obligations réglementaires sans ralentir vos processus ni fragiliser la décision finale ? Voici les clés pour aligner performance et bonnes pratiques.
Pourquoi le recrutement est dans le viseur de la CNIL
Le respect du RGPD en ressources humaines n'est plus un sujet secondaire. Si la CNIL s'intéresse de près au recrutement — qu'il soit géré en entreprise ou confié à des cabinets externes —, c'est en grande partie lié à l'automatisation systématique des processus et à l'usage de plateformes de recrutement interconnectées.
La rationalisation actuelle des effectifs pourrait inciter les recruteurs à s'en remettre de plus en plus aux algorithmes pour trier et évaluer les profils. C'est précisément cette bascule technologique invisible, et les risques de discrimination associés, qui expliquent l'attention de l'autorité de contrôle. Pour anticiper sereinement ces vérifications et cartographier l'ensemble de ces flux, s'équiper d'un logiciel de conformité RGPD adapté aux enjeux métiers est devenu indispensable.
Sourcing et évaluation des candidats : la bonne posture
La phase de recherche et de sélection des profils demande de l'agilité, mais elle impose aussi de respecter la frontière entre vie professionnelle et vie privée.
Le tri sur les réseaux sociaux : où s'arrête la vie privée
Consulter un profil public LinkedIn est légitime si cela apporte un éclairage professionnel sur le poste. En revanche, aller fouiller le compte personnel Facebook ou Instagram d'un candidat franchit la frontière de sa vie privée. Attention également à la capture de données : la simple consultation en ligne est autorisée, mais extraire ou « aspirer » ces informations dans votre ATS via un outil de sourcing constitue une collecte indirecte. La parade opérationnelle ? Configurer votre outil pour envoyer une notification automatique d'information au candidat (mentionnant ses droits et vos durées de conservation) dès que son profil est importé.
L'entretien : préserver l'humain sans déraper sur la vie privée
Un entretien d'embauche est avant tout une rencontre entre deux individus. Discuter, partager et chercher à instaurer un climat de confiance est essentiel pour décoder une personnalité. La vigilance réglementaire ne doit pas formater l'échange : elle invite simplement à s'assurer que les questions touchant à la sphère purement privée (situation de famille, projets personnels) ne s'invitent pas dans les critères d'évaluation, même sous couvert de « briser la glace ». Trouver le juste équilibre permet de mener un échange chaleureux tout en garantissant l'équité du choix final.
L'affaire IKEA : quand le background check devient un délit
L'histoire a marqué les esprits. La filiale française a été lourdement condamnée pour avoir mis en place un système de « flicage » de ses candidats et salariés, allant jusqu'à consulter des fichiers de police ou des antécédents bancaires via des enquêteurs privés. Ce cas extrême rappelle une règle d'or : le background check informel ou disproportionné est un délit, et la recherche d'informations doit se limiter strictement aux compétences professionnelles déclarées.
Durée de conservation des CV : de la base active à l'archivage
Une fois le contact établi ou le processus terminé, la gestion des documents répond à un calendrier précis fondé sur le cadre légal. C'est l'occasion de nettoyer ses bases pour se concentrer sur les profils les plus pertinents.
La règle des 2 ans pour conserver un CV
Pour un candidat non retenu, la conservation du dossier dans votre outil quotidien ne peut pas excéder deux ans après le dernier contact (un échange de mails, un entretien, ou une mise à jour de son profil par le candidat lui-même). Passé ce délai, les données doivent être effacées, sauf si la personne a explicitement demandé à rester dans votre vivier.
L'archivage à 5 ans pour sécuriser la preuve
L'entreprise ou le cabinet dispose d'un intérêt légitime à basculer ces dossiers dans une base d'archive intermédiaire pendant 5 ans. Cet accès doit être très restreint et cloisonné : il sert exclusivement de preuve si un candidat venait à contester le processus pour discrimination, correspondant au délai de prescription de l'action civile.
IA et tri automatisé de candidatures : l'humain doit rester maître
L'intégration de l'intelligence artificielle ne se limite plus au simple filtrage de mots-clés. Elle intervient désormais en amont (agents vocaux de pré-qualification), pendant (outils d'analyse sémantique des entretiens) et après (scoring prédictif des compétences).
Cependant, le tri automatisé de candidatures rencontre une limite légale et éthique majeure : un candidat ne peut pas être écarté du processus par une machine sans qu'un recruteur ou un consultant n'ait validé la décision. La supervision ne peut pas être une simple validation automatique d'un rapport généré par une IA.
Le cas Amazon : l'algorithme qui pénalisait les femmes
À la fin des années 2010, la firme a dû abandonner un algorithme de recrutement qui, ayant été entraîné sur un historique de candidatures majoritairement masculines, avait appris seul à pénaliser les profils contenant le mot « femme ». Cet exemple illustre pourquoi l'œil humain reste irremplaçable pour détecter et corriger les biais technologiques.
Les CVthèques scrapées : l'IA ne légitime pas la collecte sauvage
Plus récemment, les autorités européennes ont rappelé à l'ordre des plateformes qui utilisaient des algorithmes pour « noter » des professionnels en aspirant automatiquement (scraping) leurs données publiques sur le web sans leur consentement. L'IA ne légitime pas la collecte sauvage : le candidat doit toujours garder le contrôle sur la manière dont son profil est indexé et évalué.
Transparence et explicabilité des outils d'IA
La transparence est essentielle : le candidat doit être informé de l'usage d'un outil d'IA et l'employeur (ou son cabinet conseil) doit être capable de lui expliquer les critères logiques qui ont guidé le logiciel. Les recruteurs et les DPO doivent travailler de concert pour auditer leurs outils tiers et piloter leur conformité au quotidien de bout en bout.
Du candidat au salarié : assurer la continuité RGPD
Pour les cabinets de recrutement, la mission directe s'arrête souvent à l'embauche, mais pour les RH internes, elle change simplement de destination. L'entreprise applique alors les règles spécifiques du RGPD aux salariés pour la gestion de la paie, des avantages sociaux ou des accès aux locaux.
C'est ici qu'intervient une notion essentielle : la qualification contractuelle des flux. Lorsqu'un cabinet transmet un dossier à son entreprise cliente, les deux entités doivent définir clairement leurs rôles via un accord de partage de données (Data Sharing Agreement ou clauses de sous-traitance). Sont-ils responsables conjoints ou responsables distincts ? Fixer ce cadre est indispensable pour savoir qui gère l'information du candidat et l'exercice de ses droits.
Une fois le collaborateur intégré, la règle d'or devient le cloisonnement : les informations collectées pour la gestion interne ne doivent jamais être réutilisées à d'autres fins. La conformité n'est pas un projet figé, c'est une habitude de gestion. C'est tout l'intérêt d'une plateforme de gouvernance comme Adequacy, qui permet d'automatiser les alertes de purge des deux ans et de centraliser vos registres sans alourdir le quotidien de vos équipes.
FAQ - recrutement et RGPD : questions opérationnelles de terrain
Comment calculer le point de départ des 2 ans de conservation d'un CV ?
Le dernier contact correspond à la dernière interaction positive avec le candidat : la réception de sa candidature, un e-mail de sa part pour prendre des nouvelles, un entretien téléphonique, ou sa dernière connexion à son espace candidat (ou la CVthèque du cabinet) pour mettre à jour son parcours.
Un candidat peut-il exiger l'effacement immédiat de son CV ?
Oui, en vertu de son droit à l'effacement. S'il s'oppose à ce que vous gardiez son profil dans vos bases, vous devez le retirer du vivier actif sans délai. Vous pouvez néanmoins restreindre le traitement et conserver une copie sécurisée en archive intermédiaire uniquement si cela est rendu nécessaire par un risque avéré de litige lié à cette session de recrutement.
Comment encadrer l'arrivée d'un outil de tri ou de scoring algorithmique ?
C'est un point à partager rapidement avec votre DPO. Dès qu'un logiciel analyse ou classe des profils, il manipule des données personnelles et doit simplement être répertorié dans la cartographie des outils de l'entreprise. C'est l'occasion de formaliser les règles du jeu : valider qui a accès aux résultats et s'assurer concrètement que l'œil humain conserve toujours le dernier mot sur la sélection.
