Chaque processus de recrutement implique la collecte de données personnelles sensibles : CV, diplômes, coordonnées, résultats de tests, profils LinkedIn… Depuis 2018, le RGPD impose aux employeurs un cadre strict. Mal appliqué, il expose à des sanctions financières et à une perte de confiance des candidats. Bien respecté, il devient un atout pour votre image employeur.
Voici les points clés à connaître pour recruter en conformité :
1. Comprendre le cadre légal du RGPD appliqué au recrutement
Avant de collecter ou d’utiliser la moindre information sur vos candidats, il est essentiel de connaître les règles posées par le RGPD.
Quels sont les données concernées ?
Concrètement, le RGPD encadre toutes les données permettant d’identifier directement ou indirectement un candidat :
- Données d’identification (nom, prénom, adresse, email, photo …)
- Données relatives au parcours professionnel (CV complet …)
- Données administratives et financières (données bancaires, n° sécurité sociale…)
- Données issues du processus de recrutement (lettre de motivation, test techniques…)
Quel est votre rôle ?
L’employeur est “responsable du traitement”. À ce titre, il doit garantir la conformité de l’ensemble du processus,y compris lorsqu’il délègue une partie du recrutement à un cabinet ou à un jobboard.
💡 Tenez à jour un registre interne des données collectées lors du recrutement (CV, lettres de motivation, tests, etc.). Ce document permet d’avoir une vision claire des informations utilisées, de leur durée de conservation et de leur finalité, et vous servira de preuve en cas de contrôle de la CNIL.
2. Les obligations concrètes pour l’employeur
1. Informer clairement le candidat
- Indiquer qui est responsable du traitement des données
- Expliquer la finalité de la collecte (gestion des candidatures, constitution d’un vivier…)
- Mentionner la durée de conservation des données
2. Limiter l’accès aux données
- Seules les personnes impliquées dans le recrutement doivent avoir accès aux candidatures (RH, managers concernés)
- Mettre en place des habilitations d’accès dans les outils
3. Respecter la durée de conservation
Les données issues d’une candidature non retenue ne peuvent être conservées que pour une durée limitée.
Maximum 2 ans après le dernier contact avec le candidat.
Au-delà, elles doivent être supprimées, sauf accord explicite du candidat pour rester dans la CVthèque.
Les tests, notes d’entretien ou évaluations doivent être effacés dès qu’ils ne sont plus utiles au processus.
Lorsqu’un candidat est recruté, ses données intègrent le dossier du salarié et relèvent alors d’autres obligations légales.
Les pièces liées au recrutement (CV, diplômes, justificatifs) deviennent partie du dossier personnel.
Certaines informations doivent être conservées jusqu’à 5 ans (contrat, échanges liés à l’embauche).
D’autres documents suivent des durées légales plus longues (justificatifs fiscaux, sociaux).
4. Permettre l’exercice des droits des candidats
Un candidat doit pouvoir, à tout moment :
- Consulter les données que vous détenez sur lui.
- Corriger une information inexacte (par exemple une erreur sur son CV enregistré).
- Demander la suppression de ses données si elles ne sont plus nécessaires.
- Refuser l’utilisation de ses données pour un autre usage
L’employeur doit être en mesure de répondre à ces demandes sous 1 mois maximum.
💡 Mettez en place une procédure simple et centralisée pour la gestion des données candidats : un outil (ATS) ou une adresse mail dédiée (ex. : rgpd@entreprise.com) pour recevoir les demandes, contrôler les accès et déclencher automatiquement la suppression des données à l’issue des délais légaux.
3. Quels risques en cas de non-conformité ?
Le non-respect du RGPD dans le cadre du recrutement peut avoir des conséquences sérieuses pour l’employeur. En cas de contrôle de la CNIL, l’entreprise s’expose à des sanctions financières pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
Au-delà de l’amende, une mauvaise gestion des données peut aussi nuire à la réputation de l’entreprise, entamer la confiance des candidats et fragiliser la marque employeur.
Des questions RGPD et sur vos recrutements ?
Le RGPD peut sembler complexe à appliquer au quotidien, surtout lorsqu’il s’agit de gérer les données de nombreux candidats. Chez Job Link, notre équipe d’expertes juridiques et administratives se tient à votre disposition pour répondre à toutes vos interrogations et vous accompagner dans la mise en conformité de vos pratiques de recrutement.
Pour aller plus loin, vous pouvez également consulter notre Charte RGPD Job Link Group.
