Mon Compte

Mon Espace

Documents et abonnement

Espace Agence

Gérer plusieurs sites clients

Créer un espace agence
Logo RGPD Kit - Générateur de documents légaux conformes RGPD

Que recherchez-vous ?

Recherches populaires

RGPD

Recrutement et RGPD : la CNIL passe à l'action en 2026, êtes-vous prêt ?

Le recrutement est la priorité de contrôle de la CNIL en 2026. CV conservés trop longtemps, algorithmes de tri non déclarés, candidats mal informés : voici ce que les inspecteurs vont vérifier.

Jérémy PierreCEO — RGPDKit · 18 mai 2026
Recrutement et RGPD : la CNIL passe à l'action en 2026, êtes-vous prêt ?
3 avr. 2026
Annonce officielle de la CNIL : recrutement priorité n°1
2 ans
Durée max. de conservation d'un CV de candidat non retenu
19 fiches
Dans le guide CNIL recrutement (2023, mis à jour avril 2026)
4 %
Du CA mondial : amende RGPD maximale en cas de manquement grave

Vous recrutez. Vous collectez des CV, des lettres de motivation, des notes d'entretien. Peut-être utilisez-vous un outil qui score automatiquement les candidatures. Et il y a de bonnes chances que vos candidats de 2022 soient encore dans votre base, faute de purge automatique configurée. La CNIL a prévu de passer vérifier tout ça cette année.

Le 3 avril 2026, la CNIL a publié ses thématiques prioritaires de contrôle pour l'année. Le recrutement figure en tête de liste, aux côtés du répertoire électoral unique et des fédérations sportives. Ce n'est pas une surprise pour qui suit l'actualité réglementaire : en janvier 2023, l'autorité avait publié un guide complet en 19 fiches sur la protection des données dans le recrutement. Le 2 avril 2026, elle complétait ce dispositif avec un référentiel actualisé sur les durées de conservation des données RH. La pédagogie a eu trois ans. Place aux contrôles.

La formulation de la CNIL est transparente : il s'agit de "vérifier le respect du RGPD" par les acteurs du recrutement, en ciblant "les grands thèmes développés dans le guide". Trois axes prioritaires sont annoncés : les systèmes de prise de décision automatisée, l'information des candidats, et les durées de conservation. Ce sont précisément les trois points sur lesquels la majorité des organisations recrutant en France présentent des lacunes documentées. Ce guide vous permet de vérifier votre situation avant que ce soit la CNIL qui le fasse à votre place.

Qui est ciblé par ces contrôles ?

La CNIL est explicite : les grandes entreprises et les cabinets de recrutement sont prioritairement visés, en raison du volume important de candidatures traitées et de la probabilité plus élevée qu'ils aient déployé des outils de tri automatisé. Mais l'autorité a pris soin de préciser que les TPE et PME ne sont pas exonérées, et elle a republié ses "cinq questions incontournables" à destination des petites structures.

prioritaire

Grandes entreprises et ETI

Volumes importants de candidatures, probabilité élevée d'utilisation d'un ATS avec fonctionnalités de tri automatisé, gestion de viviers multi-postes. Cibles directes des contrôles sur place annoncés pour 2026.

prioritaire

Cabinets de recrutement

Qualification spécifique de responsable de traitement pour leur vivier propre, relation de sous-traitance à clarifier avec leurs clients entreprises. Double exposition : leurs pratiques propres et celles de leurs clients.

concernées

PME, agences et freelances

Dès lors que vous traitez des données de candidats, vous êtes soumis aux mêmes obligations, même pour un recrutement annuel. La CNIL traite aussi les plaintes individuelles de candidats, indépendamment de ses contrôles prioritaires.

Bon à savoir : ce plan de contrôle a une dimension stratégique qui dépasse 2026. La CNIL précise elle-même que cette thématique "préfigurera l'exercice par la CNIL de ses futures attributions en tant qu'autorité de surveillance de marché dans le champ travail au titre du règlement sur l'intelligence artificielle". Le recrutement est le terrain d'expérimentation de la supervision IA par les régulateurs européens.

Les trois axes que la CNIL va contrôler

1. L'information des candidats

Dès le premier contact avec un candidat, que ce soit via un formulaire de candidature en ligne, une offre d'emploi, ou la réception d'un CV spontané, vous collectez des données personnelles au sens du RGPD. Et l'article 13 du RGPD impose d'informer le candidat au moment de cette collecte, pas après.

Cette mention RGPD doit impérativement figurer sur le formulaire de candidature ou dans l'accusé de réception automatique. Elle doit contenir :

  • L'identité du responsable de traitement : votre entreprise, son adresse, son email de contact pour l'exercice des droits.
  • La finalité du traitement : évaluation de la candidature et sélection pour le poste proposé. Pas de finalité vague ou générique.
  • La base légale : l'intérêt légitime de l'employeur (article 6.1.f du RGPD) est la base habituelle. Elle doit être mise en balance explicitement avec les droits du candidat.
  • Les destinataires des données : service RH, managers concernés, cabinet de recrutement mandaté le cas échéant.
  • La durée de conservation : 2 ans maximum pour les candidats non retenus, avec la possibilité pour le candidat de demander la suppression à tout moment.
  • Les droits du candidat : accès, rectification, opposition, effacement, portabilité. Et la possibilité de saisir la CNIL en cas de litige.
  • L'existence d'un traitement automatisé : si un algorithme intervient dans le tri ou le classement des candidatures, le candidat doit en être informé explicitement dans cette mention.

Attention : si vous modifiez votre ATS ou activez une nouvelle fonctionnalité de tri automatisé en cours d'année, la mention RGPD présentée aux candidats doit être mise à jour immédiatement. Une mention générique rédigée en 2022 et jamais actualisée ne couvre pas les nouveaux traitements mis en oeuvre depuis.

2. Les durées de conservation des données

C'est le point de non-conformité le plus fréquent, et probablement celui que les contrôleurs CNIL vont trouver dans la majorité des organisations visitées. La règle est posée par la CNIL depuis des années : les données d'un candidat non retenu ne peuvent être conservées en base active que 2 ans au maximum après le dernier contact avec ce candidat. Pas 3 ans. Pas "jusqu'à ce qu'on s'en occupe". Deux ans.

2 ans
C'est la durée maximale de conservation d'un CV en base active pour un candidat non retenu. Le délai court à compter du dernier contact avec le candidat : dernier email échangé, dernière connexion à votre espace candidat, ou dernière relance de votre part.

La CNIL distingue trois phases de conservation pour les données de recrutement. Comprendre cette distinction est essentiel pour ne pas confondre suppression obligatoire et archivage légitime.

Phase 1 : base active

2 ans maximum après le dernier contact

Le dossier est accessible aux recruteurs pour les besoins opérationnels courants. À l'expiration du délai, le dossier doit être supprimé ou anonymisé de façon irréversible, sauf consentement explicite du candidat pour rester dans le vivier.

Phase 2 : archivage intermédiaire

Jusqu'à 5 ans pour les besoins contentieux

Si un risque de contestation en discrimination existe, les données peuvent être conservées en archivage avec accès restreint aux seules personnes habilitées. Cette phase n'est pas systématique : elle doit être justifiée traitement par traitement.

Exception : vivier de candidats

Consentement explicite requis

Conserver un CV au-delà du processus de recrutement pour un poste futur est possible, à condition d'obtenir le consentement explicite et documenté du candidat, de l'informer de cette finalité distincte, et de renouveler ce consentement tous les 2 ans.

Cas particulier : les CV collectés via LinkedIn ou d'autres réseaux professionnels sans candidature directe ne peuvent être conservés que 30 jours sans consentement explicite. Si vous souhaitez les intégrer à votre vivier ou les transmettre à un tiers, le consentement de la personne concernée est obligatoire avant tout enregistrement.

3. Les outils de décision automatisée et l'IA de tri

C'est le point le plus nouveau et le plus sous-estimé. Beaucoup d'ATS proposent depuis 2023-2024 des fonctionnalités de scoring, de matching ou de classement automatique des candidatures. Ces fonctionnalités sont souvent activées par défaut lors d'une mise à jour, sans que l'entreprise n'en soit pleinement consciente. Or elles déclenchent des obligations spécifiques dès lors qu'elles influencent la sélection d'un candidat.

Vos obligations envers les candidats

Dès lors qu'un algorithme intervient dans le tri ou le classement, trois obligations s'appliquent.

  • Informer le candidat de l'existence du traitement automatisé et des critères principaux retenus, au moment du dépôt de candidature
  • Garantir le droit du candidat à demander une intervention humaine dans l'évaluation de son dossier
  • Permettre au candidat de s'opposer à la décision automatisée et d'en contester le résultat

Vos obligations documentaires

En interne, deux documents sont exigibles dès l'utilisation d'un outil de tri automatisé à grande échelle.

  • Une analyse d'impact (DPIA) documentant les risques du traitement automatisé pour les droits des candidats et les mesures prises pour les atténuer
  • La consultation préalable du comité social et économique (CSE) avant tout déploiement ou modification d'un outil d'aide au recrutement, conformément à l'article L.2312-38 du Code du travail

Votre politique de confidentialité couvre-t-elle vos processus de recrutement ?

RGPDKit génère des mentions RGPD conformes pour vos formulaires de candidature, adaptées à votre situation réelle : avec ou sans outil de tri automatisé, avec ou sans DPO.

Générer ma mention RGPD →

Ce que vous n'avez pas le droit de demander

Le guide CNIL le rappelle sans nuance : seules les données "adéquates, pertinentes et strictement nécessaires" à la sélection pour le poste proposé peuvent être collectées. En pratique, cela interdit formellement un certain nombre de pratiques encore courantes.

Interdit en toutes circonstances

Données jamais collectables au recrutement

Quelle que soit la justification avancée
  • Données de santé (sauf poste impliquant une aptitude médicale légalement requise)
  • Origine raciale ou ethnique, convictions religieuses ou politiques
  • Orientation sexuelle, situation de grossesse
  • Extrait de casier judiciaire (sauf autorisation légale spécifique au poste)
  • Informations sans lien direct et nécessaire avec le poste proposé
VS
Conditionnel ou restreint

Données collectables sous conditions

Uniquement si lien direct avec le poste
  • Permis de conduire : uniquement si le poste implique l'utilisation d'un véhicule
  • Mensurations : uniquement pour les candidats retenus, pour la confection d'une tenue professionnelle
  • Situation familiale : uniquement si elle conditionne directement l'exercice du poste (exemple : poste expatrié)
  • Photo : aucune obligation pour le candidat de la fournir, aucune obligation pour l'employeur de la demander

L'audit que vous pouvez faire avant la fin du mois

Un contrôle CNIL sur place peut mobiliser des semaines de ressources internes : préparation des réponses, collecte des preuves de conformité, coordination des équipes RH, juridiques et informatiques. Un audit préventif, lui, prend moins d'une journée pour un DRH ou un responsable RH bien organisé. Voici la liste des vérifications à mener.

  • Listez tous vos outils touchant aux données candidats : ATS, tableurs Excel de suivi, boîte email dédiée aux candidatures, formulaire sur votre site, intégration LinkedIn Recruiter. Chaque outil est un traitement au sens du RGPD et doit figurer dans votre registre.
  • Vérifiez la configuration de purge de votre ATS : la suppression automatique des candidatures de plus de 2 ans est-elle activée ? Si vous n'avez pas de règle de purge configurée, vos données s'accumulent indéfiniment. Activez cette fonction maintenant, avant qu'un contrôle ne la signale.
  • Listez les fonctionnalités de scoring ou de tri automatique de votre ATS : ont-elles été activées récemment ? Une DPIA a-t-elle été réalisée ? Le CSE en a-t-il été informé ? Ces trois questions sont celles que les contrôleurs CNIL posent en premier.
  • Relisez la mention RGPD de vos formulaires de candidature : contient-elle toutes les informations requises ? Mentionne-t-elle l'existence d'un tri automatisé si vous en utilisez un ? A-t-elle été mise à jour lors de la dernière évolution de vos outils ?
  • Vérifiez vos candidatures spontanées : appliquez-vous les mêmes règles de conservation et d'information aux CV reçus par email qu'aux candidatures via formulaire ? Les CV reçus sur LinkedIn sont-ils enregistrés au-delà de 30 jours sans consentement ?
  • Contrôlez les droits d'accès à vos données candidats : seules les personnes directement impliquées dans le recrutement doivent y accéder. Un accès global à toute la base RH pour tous les managers est une non-conformité.
  • Vérifiez l'entrée "recrutement" dans votre registre des traitements : ce traitement doit y figurer avec ses finalités, bases légales, durées de conservation et destinataires. S'il n'y est pas, ajoutez-le avant toute chose.

Ressource officielle : la CNIL met à disposition une fiche dédiée aux TPE/PME avec ses "cinq questions incontournables" sur le recrutement et les données personnelles. C'est le point de départ recommandé pour les structures qui n'ont pas encore de DPO désigné.

Questions fréquentes

Combien de temps peut-on conserver les données d'un candidat non retenu ?

La CNIL recommande une durée maximale de 2 ans à compter du dernier contact avec le candidat. Passé ce délai, les données doivent être supprimées ou anonymisées de façon irréversible, sauf consentement explicite du candidat pour rester dans le vivier. Une conservation plus longue est possible en archivage intermédiaire (jusqu'à 5 ans) pour les besoins d'un éventuel contentieux en discrimination, avec accès restreint aux personnes habilitées. Le référentiel publié par la CNIL le 2 avril 2026 précise ces durées traitement par traitement.

Doit-on informer les candidats de l'utilisation d'un algorithme de tri ?

Oui, c'est une obligation sans exception. Si vous utilisez un outil de scoring, de matching ou de classement automatique des candidatures, les candidats doivent en être informés au moment du dépôt de leur candidature. Cette information doit figurer dans la mention RGPD du formulaire ou de l'offre d'emploi. Elle doit préciser l'existence du traitement automatisé, les critères principaux retenus, et le droit du candidat à s'y opposer et à demander une intervention humaine. Le comité social et économique (CSE) doit également être informé avant tout déploiement ou modification d'un outil de ce type.

Quelles données est-il interdit de demander à un candidat ?

Sont interdites à la collecte au stade du recrutement : les données de santé, l'origine raciale ou ethnique, les convictions religieuses ou politiques, l'orientation sexuelle, la situation de grossesse, et toute information sans lien direct et nécessaire avec les aptitudes professionnelles requises par le poste. Seules les données permettant d'évaluer la capacité du candidat à occuper l'emploi peuvent être collectées, conformément à l'article L.1221-6 du Code du travail et au principe de minimisation de l'article 5.1.c du RGPD.

Peut-on consulter le profil LinkedIn d'un candidat sans son accord ?

La consultation d'un profil public est possible si les informations sont en lien direct avec le poste. En revanche, dès que vous enregistrez ces données dans un ATS, un fichier ou un email, vous effectuez un traitement au sens du RGPD et devez en informer le candidat. Si vous souhaitez transmettre ces données à un tiers ou les conserver au-delà de 30 jours, le consentement explicite du candidat est requis. Cette règle s'applique aussi aux profils collectés via les outils de sourcing comme LinkedIn Recruiter.

Faut-il une DPIA pour un outil de recrutement utilisant l'IA ?

Oui, dans la majorité des cas. Une DPIA est obligatoire lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. Le scoring ou le classement automatique de candidatures à grande échelle répond généralement à ce critère, notamment parce qu'il peut conduire à des décisions ayant des effets juridiques ou significatifs sur les candidats. L'absence de DPIA sur un outil de tri IA est l'un des trois axes de contrôle prioritaires annoncés par la CNIL pour 2026.

Une PME de 5 salariés est-elle concernée par ces contrôles ?

Oui. Même si les grandes entreprises et les cabinets de recrutement sont les cibles prioritaires, la CNIL a rappelé ses "cinq questions incontournables" à destination des TPE/PME. Dès lors qu'une PME traite des données de candidats, elle est soumise aux obligations du RGPD : information au moment de la collecte, durée de conservation limitée à 2 ans, droits d'accès et d'effacement. La CNIL traite aussi les plaintes individuelles de candidats, indépendamment de son programme de contrôles sur place.

Que doit contenir la mention RGPD d'un formulaire de candidature ?

La mention doit indiquer : l'identité du responsable de traitement, les coordonnées du DPO si vous en avez désigné un, la finalité du traitement (évaluation de la candidature pour le poste proposé), la base légale (intérêt légitime de l'employeur ou autre base applicable), les destinataires des données, la durée de conservation (2 ans maximum pour les candidats non retenus), les droits du candidat (accès, rectification, opposition, effacement, portabilité), la possibilité de saisir la CNIL, et le cas échéant l'existence d'un traitement automatisé de tri ou de scoring des candidatures.

Écrit par

Jérémy Pierre

CEO — RGPDKit

Expert en conformité RGPD, Jérémy accompagne les sites et agences dans la mise en conformité de leurs traitements de données depuis le lancement de RGPDKit.

Partager cet article