⚠️ Important : En 2025, les amendes RGPD peuvent atteindre 20 millions d'euros ou 4% du CA mondial. 67% des entreprises françaises ne sont pas conformes RGPD en recrutement.
🔒 RGPD et recrutement : les fondamentaux
Le Règlement Général sur la Protection des Données (RGPD) s'applique pleinement au processus de recrutement. Toute entreprise qui collecte, traite ou stocke des données de candidats doit respecter ces obligations.
Données personnelles en recrutement
Les données considérées comme personnelles incluent :
- Identité : Nom, prénom, adresse, téléphone, email
- Professionnel : CV, lettre de motivation, références
- Évaluation : Notes d'entretien, tests, évaluations
- Technique : Adresse IP, cookies, historique de navigation
📋 Obligations légales RGPD en recrutement
1. Base légale du traitement
Pour traiter des données de candidats, vous devez avoir une base légale :
- Exécution d'un contrat : Évaluation de la candidature
- Intérêt légitime : Constitution d'une CVthèque
- Consentement : Marketing RH, prospection
- Obligation légale : Conservation fiscale
2. Information et transparence
Vous devez informer les candidats de :
- L'identité du responsable de traitement
- Les finalités du traitement
- La base légale
- La durée de conservation
- Les droits des candidats
- Les destinataires des données
3. Consentement explicite
Le consentement doit être :
- Libre : Pas de conditionnement
- Spécifique : Par finalité
- Éclairé : Information claire
- Univoque : Action positive
- Rétractable : Droit de retrait
⏰ Durée de conservation des données
| Type de données |
Durée de conservation |
Justification |
| CV et candidature active |
2 ans maximum |
Intérêt légitime de l'entreprise |
| Candidature refusée |
1 an maximum |
Défense en cas de contentieux |
| Données d'embauche |
5 ans maximum |
Obligations fiscales et sociales |
| CVthèque passive |
3 ans maximum |
Consentement explicite requis |
| Données de prospection |
3 ans maximum |
Consentement ou intérêt légitime |
🔐 Sécurité et protection des données
Mesures techniques obligatoires
- Chiffrement : Données en transit et au repos
- Authentification : Accès sécurisé et tracé
- Sauvegarde : Récupération en cas d'incident
- Mise à jour : Correctifs de sécurité
- Monitoring : Détection d'intrusion
Hébergement et localisation
En 2025, l'hébergement en France est fortement recommandé :
- Contrôle des autorités françaises
- Respect du droit français
- Pas de transfert hors UE
- Traçabilité complète
👤 Droits des candidats
1. Droit d'accès
Le candidat peut demander :
- La confirmation du traitement de ses données
- L'accès à ses données personnelles
- Les informations sur le traitement
- Une copie de ses données
2. Droit de rectification
Le candidat peut demander la correction de :
- Données inexactes
- Données incomplètes
- Données obsolètes
3. Droit à l'effacement ("droit à l'oubli")
Le candidat peut demander la suppression si :
- Les données ne sont plus nécessaires
- Le consentement est retiré
- Le traitement est illicite
- L'obligation légale est respectée
4. Droit à la portabilité
Le candidat peut récupérer ses données dans un format structuré pour les transférer à un autre responsable de traitement.
MyCVthèque : ATS 100% conforme RGPD
✅ Mesures techniques :
- Hébergement France (OVH)
- Chiffrement SSL/TLS
- Sauvegardes quotidiennes
- Accès sécurisé et tracé
- Mise à jour automatique
✅ Mesures organisationnelles :
- Désignation DPO
- Formation équipe RGPD
- Procédures de suppression
- Registre des traitements
- Audit sécurité annuel
Avant la collecte :
- ✅ Définir la base légale
- ✅ Rédiger la notice d'information
- ✅ Mettre en place le consentement
- ✅ Sécuriser le formulaire
Pendant le traitement :
- ✅ Limiter l'accès aux données
- ✅ Tracer les accès
- ✅ Respecter les durées
- ✅ Former les équipes
Après le traitement :
- ✅ Supprimer automatiquement
- ✅ Répondre aux demandes
- ✅ Documenter les actions
- ✅ Auditer régulièrement
💰 Sanctions et risques
Amendes RGPD
Les sanctions peuvent atteindre :
- Niveau 1 : 10 millions € ou 2% du CA mondial
- Niveau 2 : 20 millions € ou 4% du CA mondial
- Pouvoirs correcteurs : Suspension, limitation, injonction
Risques réputationnels
- Perte de confiance des candidats
- Atteinte à l'image de marque
- Difficultés de recrutement
- Actions en justice
Étape 1 : Audit de conformité
- Cartographier les traitements
- Identifier les risques
- Évaluer les mesures existantes
- Définir un plan d'action
Étape 2 : Mise en place des mesures
- Rédiger les notices d'information
- Mettre en place le consentement
- Sécuriser les données
- Former les équipes
Étape 3 : Monitoring et amélioration
- Surveiller les accès
- Auditer régulièrement
- Mettre à jour les procédures
- Former continuellement
"Avec MyCVthèque, nous sommes 100% conformes RGPD. L'hébergement France et les fonctionnalités de suppression automatique nous rassurent. Nos candidats apprécient la transparence."
📚 Articles recommandés
Découvrez d'autres ressources pour optimiser votre recrutement
"La conformité RGPD était un critère essentiel pour nous. MyCVthèque nous a accompagnés dans notre mise en conformité et nous respectons maintenant toutes les obligations."
🔒 Conformité RGPD garantie
MyCVthèque vous accompagne dans votre conformité RGPD : hébergement France, suppression automatique, traçabilité complète et support juridique.
🗓️ Demander une démo gratuite
❓ Questions fréquentes sur le RGPD et le recrutement
Selon la CNIL, maximum 2 ans après le dernier contact avec le candidat, avec son consentement explicite. Sans consentement : suppression immédiate après la fin du processus de recrutement. Bonnes pratiques : demander le consentement par email automatique, relancer à 18 mois pour renouvellement, purge automatique à 24 mois. Les ATS comme MyCVthèque automatisent ces obligations et alertent avant expiration.
Oui, obligation légale. Vous devez informer les candidats : 1) Qu'un traitement automatisé est utilisé (ATS, IA), 2) Les critères de tri/scoring, 3) Leur droit d'opposition, 4) La possibilité d'intervention humaine. Mention requise dans l'offre d'emploi ET le formulaire de candidature. Sanction : jusqu'à 20M€ ou 4% du CA. Les ATS conformes intègrent ces mentions automatiquement.
Interdictions absolues : origine ethnique, opinions politiques/religieuses, appartenance syndicale, santé (hors aptitude médicale post-offre), orientation sexuelle, données génétiques/biométriques. Collecte limitée : âge (uniquement si légalement requis), situation familiale (discriminatoire), photo (non obligatoire). Exception : handicap si pour aménagements. Sanction CNIL : 300K€ + jusqu'à 4% du CA global.
Délai légal : 1 mois maximum pour répondre (extensible à 3 mois si complexe). Vous devez fournir : copie de toutes les données, finalité du traitement, durée de conservation, destinataires, source des données. Format : électronique structuré (PDF, CSV). Gratuit pour la 1ère demande. Les ATS modernes automatisent l'export RGPD avec un bouton "Exporter mes données" accessible au candidat.
Non, sauf garanties équivalentes. Le Privacy Shield UE-US a été invalidé (Schrems II). Solutions légales : 1) Hébergement UE/France (recommandé), 2) Clauses contractuelles types (CCT) validées UE, 3) Règles d'entreprise contraignantes (BCR) pour multinationales. Risque hébergement US : amendes CNIL + nullité du contrat. MyCVthèque : hébergement 100% France (OVH/Scaleway) pour conformité garantie.
Masquage recommandé : nom, prénom, photo, âge, adresse précise, situation familiale, sexe (si possible). Conservation : compétences, expériences, diplômes, zone géographique large. Les ATS modernes proposent la fonctionnalité "CV anonyme" avec dé-anonymisation automatique après short-list. Attention : l'anonymisation complète (irréversible) rend impossible l'exercice des droits RGPD. Privilégiez la pseudonymisation réversible.
DPO obligatoire si : 1) Organisme public, 2) Activité principale = suivi régulier et systématique à grande échelle, 3) Traitement massif de données sensibles. Pour la plupart des PME/CFA/ESN : non obligatoire mais recommandé. Alternative : DPO mutualisé (200-500€/mois) ou formation d'un référent RGPD interne. Les bons ATS facilitent la conformité avec fonctions RGPD intégrées (purge auto, exports, registre).
Sanctions CNIL : jusqu'à 20M€ ou 4% du chiffre d'affaires annuel mondial (le montant le plus élevé). Amendes réelles 2024 : 10K€-500K€ pour PME selon gravité. Sanctions complémentaires : dommages-intérêts aux candidats lésés, atteinte à la réputation, interdiction de recruter temporaire. Cas réels : entreprise condamnée à 90K€ pour conservation excessive de CV (source CNIL). La conformité est un investissement rentable vs le risque.
Le cabinet est "sous-traitant" au sens RGPD, vous restez "responsable du traitement". Obligations : 1) Contrat de sous-traitance RGPD obligatoire (article 28), 2) Vérifier la conformité du cabinet (hébergement, sécurité), 3) Limiter l'accès aux données strictement nécessaires, 4) Auditer régulièrement. Vous êtes co-responsable des violations commises par le cabinet. Exigez un ATS conforme et un engagement de confidentialité signé.
Zone grise légale. LinkedIn est "public" mais RGPD s'applique. Bonnes pratiques : 1) Utiliser LinkedIn Recruiter (conformité intégrée), 2) Mentionner la source "LinkedIn" dans votre base candidats, 3) Demander confirmation du consentement au premier contact, 4) Ne pas scraper automatiquement (interdit CGU LinkedIn), 5) Purger les profils non-intéressés après 6 mois. En cas de doute, privilégiez le consentement explicite par message InMail.
