Depuis l'entrée en vigueur du RGPD en 2018, la collecte et le traitement des données personnelles des candidats font partie des enjeux cruciaux pour les employeurs. Ces obligations s'accompagnent des dispositions du Code du travail, qui encadrent la manière dont les entreprises doivent gérer les informations personnelles lors du processus de recrutement. Ignorer ces obligations peut entraîner des sanctions financières lourdes — et nuire à la réputation de l'entreprise.
1. Quelles données peuvent être collectées ?
Lors du recrutement, les employeurs collectent une grande variété d'informations personnelles (nom, coordonnées, parcours professionnel, etc.). Selon le RGPD, toute donnée permettant d'identifier directement ou indirectement une personne est concernée.
Le Code du travail est clair : seules les informations ayant un lien direct et nécessaire avec l'emploi peuvent être demandées. Les questions posées aux candidats doivent rester pertinentes pour évaluer leur aptitude au poste — pas leur vie personnelle.
Article L1221-6 : "Les informations demandées à un candidat ne peuvent avoir comme finalité que d'apprécier sa capacité à occuper l'emploi proposé ou ses aptitudes professionnelles."
2. Les obligations de l'employeur
- Finalité spécifique : la raison de la collecte doit être clairement définie et communiquée au candidat
- Consentement explicite : le candidat doit savoir comment ses données seront utilisées et peut les retirer à tout moment
- Sécurité des données : des mesures techniques et organisationnelles doivent protéger les CV et informations des candidats
- Durée de conservation limitée : la CNIL recommande une conservation maximale de 2 ans après le dernier contact — sauf accord du candidat pour une durée plus longue
Article L1221-8 : "Le candidat est expressément informé, préalablement à leur mise en œuvre, des méthodes et techniques d'aide au recrutement utilisées à son égard. Les résultats obtenus sont confidentiels."
3. Les droits des candidats
Le RGPD confère des droits étendus aux candidats : droit d'accès, de rectification, d'effacement, et de portabilité de leurs données. L'employeur doit informer clairement les candidats de ces droits — et les respecter sans délai lorsqu'ils sont exercés.
4. Le DPO pour les grandes structures
Les entreprises de plus de 250 salariés ou traitant des données sensibles doivent désigner un Délégué à la Protection des Données (DPO), chargé de veiller à la conformité RGPD dans toutes les pratiques — y compris le recrutement.
5. Les sanctions en cas de non-conformité
Le RGPD prévoit des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. En pratique, même pour les PME, les sanctions de la CNIL sont de plus en plus fréquentes — et les candidats de plus en plus au fait de leurs droits.
6. Bonnes pratiques à mettre en place
- Mettre à jour les politiques de confidentialité et informer clairement les candidats dès la candidature
- Limiter la collecte aux informations strictement nécessaires à l'évaluation du poste
- Former les équipes RH aux exigences du RGPD
- Automatiser la suppression des dossiers candidats après le délai de conservation
La conformité RGPD en recrutement n'est pas seulement une obligation légale — c'est aussi un signal de sérieux envoyé aux candidats. Une entreprise qui protège les données de ses futurs collaborateurs inspire confiance dès le premier contact.