Le RGPD, c’est souvent le sujet qu’on reporte à plus tard. On a d’autres priorités : des postes à pourvoir, des managers à convaincre, des candidats qui ghostent. Le cadre juridique, on verra ça quand on aura le temps.
Sauf que dans le quotidien d’un·e recruteur·se, il y a des choses qu’on fait par habitude (consulter un profil Instagram, garder des CVs « au cas où », utiliser un outil de tri automatique) et qui, en réalité, ne sont pas conformes au Règlement Général sur la Protection des Données.
Et les sanctions, elles, n’attendent pas qu’on ait le temps.
Alors voilà ce que dit vraiment le guide de la CNIL sur la protection des données en recrutement. On t’épargne le texte de loi en 200 pages : voilà les 10 points concrets qui changent quelque chose dans ta pratique :
1. Tout ce que tu fais avec les données d’un candidat, c’est du « traitement »
C’est le point de départ. Dans le langage du RGPD, un « traitement de données » ne désigne pas seulement le fait de rentrer des informations dans un logiciel. C’est n’importe quelle opération portant sur des données personnelles : collecter, stocker, consulter, transmettre, supprimer.
Concrètement, ça couvre : recevoir un CV par email, noter des impressions lors d’un entretien, créer une fiche candidat dans un ATS, partager un dossier de candidature avec un manager, mettre à jour un vivier.
Et le détail qui surprend souvent : les notes manuscrites prises pendant un entretien sont aussi concernées, à partir du moment où elles sont conservées dans un dossier ou un classeur structuré. La règle s’applique au papier comme au numérique.
2. Tu ne peux collecter QUE ce qui est utile au poste
C’est le principe de minimisation des données, et il est au cœur du RGPD. Tu ne peux pas collecter des informations « au cas où elles seraient utiles ». Tu dois collecter uniquement ce qui est adéquat, pertinent, et strictement nécessaire pour évaluer les aptitudes professionnelles du candidat.
En pratique, tu peux demander : les expériences, les diplômes, les compétences directement liées au poste, les disponibilités si c’est pertinent, le permis de conduire si le poste le nécessite.
Tu ne peux pas demander : la situation familiale, le projet parental, le numéro de sécurité sociale (sauf pour les entreprises de travail temporaire en tant qu’employeur), les opinions politiques, la religion (sauf rares exceptions métier très spécifiques), les informations sur les membres de la famille.
La règle est simple : si ça ne sert pas directement à évaluer les aptitudes professionnelles pour ce poste précis, tu n’as pas à le demander. Et si tu le demandes quand même, tu t’exposes à une non-conformité.
3. Tu as l’obligation d’informer tes candidat·es
Dès que tu collectes des données sur un candidat (via un formulaire en ligne, lors d’un entretien, après avoir trouvé un profil sur LinkedIn), tu as l’obligation de l’informer. Ce n’est pas une option, ni une bonne pratique « si tu as le temps ». C’est une obligation légale prévue par le RGPD.
Cette information doit couvrir : pourquoi tu collectes ces données (la finalité), qui y aura accès, combien de temps tu les gardes, et quels droits a le candidat sur ses propres données.
Les modalités varient selon la façon dont tu as obtenu les données. Si le candidat te les a transmises directement (CV envoyé, formulaire rempli), l’information doit être fournie au moment de la collecte, typiquement dans l’offre d’emploi ou la confirmation de réception de candidature. Si tu as trouvé son profil ailleurs (LinkedIn, CVthèque), tu dois l’informer dès que tu le contactes.
4. Les CVs ne se gardent pas indéfiniment
C’est probablement le point qui génère le plus d’écarts entre les pratiques réelles et le cadre légal. Combien de recruteur·ses ont un dossier qui s’appelle « Profils intéressants » et qui contient des CVs de 2019 ?
Voilà la règle :
Pendant le processus de recrutement en cours, tu peux garder les données des candidats sans limite de durée précise, le temps du process jusqu’à la décision d’embauche. Une fois la décision prise, les données des candidats non retenus doivent en principe être supprimées.
Si tu veux les conserver pour un vivier (pour les recontacter sur de futures opportunités), c’est une finalité différente qui nécessite un accord explicite du candidat. Et la durée de conservation recommandée par la CNIL est de 2 ans maximum à compter du dernier contact avec la personne.
Pas 3 ans, pas « jusqu’à la prochaine réorganisation ». 2 ans.
5. Tes candidat·es ont des droits sur leurs données, et tu dois y répondre
Le RGPD reconnaît plusieurs droits aux candidats sur leurs données personnelles :
Le droit d’accès : obtenir une copie de toutes les données que tu détiens sur eux. Résultats de tests, comptes-rendus d’entretien, notes du recruteur : tout ça en fait partie.
Le droit de rectification : faire corriger une information inexacte.
Le droit à l’effacement : dans certains cas, demander la suppression de leurs données.
Le droit à la portabilité : récupérer leurs données dans un format réutilisable.
Le droit d’opposition : s’opposer à certains traitements, selon la base légale utilisée.
Si un candidat exerce l’un de ces droits auprès de toi, tu dois y répondre. Ce n’est pas une faveur, c’est une obligation. Et si tu ignores une demande d’accès, tu t’exposes à une plainte auprès de la CNIL.
6. Chercher un candidat sur Google ou LinkedIn, c’est encadré
Le sourcing en ligne fait partie du quotidien de beaucoup de recruteur·ses. Mais il ne s’exerce pas sans règles.
Ce que tu peux faire : consulter le profil LinkedIn professionnel d’un candidat, regarder ses expériences, son parcours, les informations qu’il a lui-même rendues publiques dans un contexte professionnel.
Ce que tu dois avoir en tête : dès que tu copies ou enregistres ces informations dans un fichier, un ATS ou une CVthèque, tu effectues un traitement de données au sens du RGPD. Tu dois donc informer la personne, avoir une base légale, et te limiter aux informations pertinentes pour le poste.
Ce qui est clairement hors-jeu : aller fouiller le profil Instagram personnel d’un candidat pour te faire une opinion sur son mode de vie. Collecter des informations qui n’ont aucun lien avec ses compétences professionnelles. Utiliser ce que tu trouves en ligne pour prendre une décision basée sur des critères potentiellement discriminants : opinions politiques, situation familiale, religion, etc.
La règle de référence : tout ce que tu collectes en ligne doit avoir un lien direct et nécessaire avec le poste à pourvoir.
7. Les outils de tri automatique de CVs sont très encadrés
C’est un sujet qui monte avec la généralisation des outils d’IA et d’ATS avancés. Et la position de la CNIL est claire.
Les logiciels qui classent, scorent ou écartent automatiquement des candidatures peuvent constituer des « décisions entièrement automatisées » au sens du RGPD. Et ce type de décision est en principe interdit, parce qu’il produit un effet significatif sur la personne concernée : elle est exclue d’un processus de recrutement sans qu’aucun humain n’ait vraiment regardé son dossier.
Pour être conforme, il faut qu’une intervention humaine réelle ait lieu dans la décision finale. « L’humain dans la boucle » n’est pas un détail : c’est une condition de conformité.
Si tu utilises ce type d’outil, pose-toi la question : est-ce que je regarde vraiment les dossiers, ou est-ce que je valide juste ce que l’algorithme a présélectionné ?
8. Les tests de personnalité doivent avoir un lien direct avec le poste
Tests de personnalité, mises en situation, assessments, jeux sérieux : ces méthodes sont légitimes dans un processus de recrutement, à certaines conditions.
La première : elles doivent avoir un lien objectif, direct et nécessaire avec les aptitudes requises pour le poste concerné. Un test de résistance au stress pour un poste de commercial terrain, ça peut se justifier. Pour un poste de comptable en télétravail, c’est moins évident.
La deuxième : les candidat·es doivent être informé·es avant de passer ces tests. Les utiliser « par surprise » ou à l’insu du candidat, c’est explicitement interdit.
Et la CNIL est très claire sur les méthodes qui ne passent pas : la graphologie, la numérologie, la psychomorphologie (déduire des qualités à partir des traits du visage), et toute méthode dont la validité scientifique est contestée. Si ton prestataire ne peut pas te démontrer la validité de son outil, c’est un signal d’alerte.
9. Les « listes noires » de candidats, c’est encadré très strictement
Des fichiers de « mauvais candidats », de personnes « non réembauchables », d’anciens salariés écartés suite à une rupture de contrat : ça existe dans certaines organisations, et le RGPD ne les interdit pas totalement. Mais les conditions à respecter sont très strictes.
Pour être conforme, une liste d’exclusion doit reposer sur une base légale, s’appuyer sur des critères d’inscription objectifs et vérifiables, informer les personnes concernées de leur présence dans ce fichier, limiter les données enregistrées au strict nécessaire, et fixer une durée de conservation limitée.
Sans ces garanties, tu t’exposes à des sanctions sérieuses et à des recours potentiels des personnes concernées.
10. Tu dois documenter ce que tu fais
Le RGPD ne se résume pas à « faire les bonnes choses ». Il exige aussi de pouvoir le prouver.
Concrètement, ça signifie : tenir un registre des traitements de données mis en œuvre (qui recense les types de données collectées, les finalités, les durées de conservation, les accès), réaliser une analyse d’impact si certains traitements présentent des risques élevés, et être en mesure de montrer que les candidats ont bien été informés de leurs droits.
Si la CNIL contrôle ton organisation, c’est cette documentation qu’elle va demander à voir. L’absence de registre est en elle-même une non-conformité.
La bonne nouvelle : pas besoin d’être juriste pour tenir ces documents à jour. Il existe des modèles de registres mis à disposition par la CNIL, et un DPO (Délégué à la Protection des Données) peut t’accompagner si ton organisation en a désigné un.
Et maintenant, tu fais quoi ?
Lire cet article, c’est un bon début. Mais la conformité RGPD, ça ne se décrète pas, ça se construit, process par process, outil par outil.
Et c’est souvent dans les pratiques du quotidien (la façon dont tu gères ton vivier, dont tu prends des notes en entretien, dont tu utilises ton ATS) que les écarts se nichent sans qu’on s’en rende compte.
Si tu veux faire le point sur tes pratiques de recrutement et identifier ce qui mérite d’être structuré, on peut regarder ça ensemble.
Les commentaires