RGPD et recrutement : gérer CV et candidatures en conformité en 2026

Un CV est une donnée personnelle. Toute la chaîne de recrutement — du sourcing au refus ou à l'embauche — est encadrée par le RGPD. Cet article répond aux 8 questions concrètes que se posent les recruteurs, RH internes et dirigeants TPE/PME en France en 2026.

1. Quelle base légale pour traiter les CV reçus ?

Trois cas distincts :

• Candidature spontanée : intérêt légitime du recruteur (article 6.1.f RGPD). Aucun consentement explicite requis.
• Candidature suite à offre publiée : exécution de mesures précontractuelles à la demande du candidat (article 6.1.b).
• Sourcing actif (LinkedIn, CVthèques externes, scraping) : intérêt légitime, à équilibrer avec les attentes du candidat, et information obligatoire dès le premier contact.

En clair : vous n'avez jamais besoin du consentement pour recevoir et instruire une candidature. Mais vous avez besoin d'informer le candidat (cf. ci-dessous).

2. Combien de temps conserver un CV ?

La CNIL distingue plusieurs durées selon le statut du candidat :

| Statut | Durée recommandée | |---|---| | Candidat non retenu | 2 ans maximum après le dernier contact, sauf opposition explicite | | Candidat retenu (embauché) | Durée du contrat de travail + durée légale post-embauche | | Vivier / talents | 2 ans maximum, et seulement si le candidat a été informé / consent | | Candidature spontanée | 2 ans après réception, à supprimer si pas d'offre correspondante |

Toute conservation au-delà de 2 ans nécessite l'accord explicite du candidat (vivier). Détails sur les durées dans notre guide durée de conservation RGPD.

3. Quelle information transmettre au candidat ?

Article 13 RGPD : dès la collecte de son CV, le candidat doit recevoir une notice d'information comprenant :

• L'identité et les coordonnées du responsable de traitement (votre entreprise).
• Les finalités (recrutement pour le poste X, ou constitution d'un vivier).
• La base légale.
• La durée de conservation prévue.
• Les destinataires (RH, manager, prestataire ATS, etc.).
• Les droits du candidat (accès, rectification, effacement, opposition, limitation).
• Le contact DPO ou référent RGPD.

En pratique : un lien vers votre politique de confidentialité (section "Candidats") dans l'accusé de réception de candidature. Modèle prêt à adapter dans notre politique de confidentialité 2026.

4. Peut-on utiliser une CVthèque externe (LinkedIn Recruiter, Indeed CV) ?

Oui, mais ces plateformes deviennent vos sous-traitants au sens RGPD. Vous devez :

• Avoir un DPA signé (généralement intégré aux CGU professionnelles).
• Vérifier la localisation des données (LinkedIn = transferts hors UE encadrés par le DPF — voir transferts hors UE).
• Informer le candidat que vous avez sourcé son profil via la plateforme dès le 1er contact.

Détails sur l'encadrement des sous-traitants dans notre guide DPA RGPD.

5. Que dire à un candidat qui demande l'effacement de son CV ?

Le candidat a un droit à l'effacement (article 17 RGPD). Vous devez :

1. Vérifier son identité (rapide : email envoyé depuis l'adresse connue + question de vérification).
2. Supprimer le CV de votre ATS, boîte mail, drive partagé, sauvegardes accessibles.
3. Confirmer au candidat la suppression sous 1 mois max (article 12.3).
4. Documenter dans votre registre des traitements.

Si la suppression est partielle (sauvegardes encore en rétention 30/90 jours par exemple), expliquez-le honnêtement au candidat. Procédure complète : demande d'effacement et d'accès.

6. Peut-on rechercher un candidat sur Google / réseaux sociaux ?

Oui, dans certaines limites :

• Réseaux pro (LinkedIn, Viadeo) : usage légitime, pas d'autorisation requise.
• Réseaux perso (Facebook, Instagram, X) : à éviter sauf si réellement pertinent pour le poste. Risque de discrimination + intrusion vie privée.
• Cherchez ce que vous évaluez. La pertinence doit être documentée.
• Ne stockez pas de captures d'écran dans le dossier candidat sans justification.

La CNIL a sanctionné en 2024 un cabinet de recrutement pour avoir constitué des fiches enrichies à partir de réseaux sociaux personnels (cf. notre récap sanctions CNIL).

7. Quid des tests de personnalité, IA, score automatisé ?

Le RGPD encadre strictement les décisions automatisées (article 22). Concrètement :

• Si un score IA filtre automatiquement des CV sans intervention humaine → vous devez offrir un droit de contestation + intervention humaine + information explicite.
• L'AI Act 2026 classe le recrutement assisté par IA comme système à haut risque : registre AI, documentation technique, supervision humaine obligatoires. Voir notre guide AI Act et RGPD.
• Tests psychométriques : licites si pertinents pour le poste, proportionnés, et transparents pour le candidat.

8. Registre des traitements : quoi y mettre pour le recrutement ?

Une fiche-traitement type "Recrutement" doit comprendre :

• Finalité : sélection des candidats pour un emploi.
• Catégories de données : identité, parcours, formation, situation pro, photo le cas échéant.
• Personnes concernées : candidats (spontanés, sur offre, sourcés).
• Destinataires : RH, managers, prestataire ATS, cabinet de recrutement.
• Durée de conservation : 2 ans / contrat de travail / autre.
• Mesures de sécurité : authentification ATS, chiffrement transit, accès limité.
• Transferts hors UE : si applicable (LinkedIn, ATS américain).

Modèle de fiche dans notre guide registre des traitements.

Checklist conformité recrutement

• [ ] Politique de confidentialité avec section "Candidats" mise à jour
• [ ] Notice d'information transmise dès la collecte (lien dans l'accusé de réception)
• [ ] Durée de conservation appliquée (purge annuelle des CV > 2 ans)
• [ ] DPA signé avec votre ATS et toute plateforme de sourcing
• [ ] Procédure interne d'effacement (qui, comment, sous 1 mois)
• [ ] Fiche-traitement "Recrutement" dans le registre
• [ ] Si IA dans le tri : transparence + intervention humaine + AI Act

Scannez votre site recrutement / page carrières gratuitement pour vérifier que votre politique de confidentialité et vos bannières cookie respectent bien le RGPD.