En ClairDroit · Économie · Décisions
Guide pratique2026-03-02· 4 min

RGPD et recrutement : les données que vous pouvez (et ne pouvez pas) collecter

Guide RGPD recrutement : données collectables, bases légales, durée conservation 2 ans, interdictions, CV vidéo et scoring. Conformité CNIL pour les employeurs.

Le recrutement est l’un des domaines les plus sensibles en matière de protection des données personnelles. Entre les CV, les tests, les prises de références et les outils de scoring, les risques de non-conformité sont nombreux. Voici comment recruter en toute légalité.

Les données que vous pouvez collecter

Le principe fondamental du RGPD est la minimisation des données (article 5.1.c du RGPD) : vous ne devez collecter que les données strictement nécessaires à l’évaluation de la capacité du candidat à occuper le poste.

Sont considérées comme légitimes :

  • L’identité : nom, prénom, coordonnées
  • La formation : diplômes, certifications
  • L’expérience professionnelle : postes occupés, compétences
  • Les éléments contractuels : disponibilité, prétentions salariales, permis de conduire (si nécessaire pour le poste)

Les données strictement interdites

Certaines informations ne doivent jamais être collectées lors du recrutement, même si le candidat les fournit spontanément :

  • L’état de santé ou le handicap (sauf pour les postes nécessitant un examen d’aptitude spécifique)
  • La situation familiale : grossesse, nombre d’enfants, projets de parentalité
  • Les opinions politiques, religieuses ou syndicales
  • L’origine raciale ou ethnique
  • L’orientation sexuelle
  • Les antécédents judiciaires (sauf cas prévus par la loi, comme l’extrait de casier judiciaire pour certaines professions réglementées)

L’article L. 1132-1 du Code du travail interdit toute discrimination à l’embauche fondée sur ces critères. Le non-respect de cette interdiction est passible de 3 ans d’emprisonnement et 45 000 € d’amende (article 225-2 du Code pénal).

Étape 1 : Définir votre base légale

Selon la CNIL, la base légale la plus appropriée pour le traitement des données de recrutement est :

  • L’intérêt légitime de l’employeur (article 6.1.f du RGPD) pour la gestion des candidatures
  • Les mesures précontractuelles (article 6.1.b du RGPD) lorsque le candidat est retenu et que le traitement vise à préparer le contrat

Le consentement n’est généralement pas la base légale appropriée car il n’est pas « libre » dans une relation déséquilibrée comme le recrutement.

Étape 2 : Respecter la durée de conservation

La CNIL recommande une durée de conservation maximale de 2 ans à compter du dernier contact avec le candidat non retenu. Au-delà, les données doivent être supprimées ou anonymisées.

Si vous constituez un vivier de candidatures (« CVthèque »), vous devez :

  • Informer le candidat de la durée de conservation
  • Obtenir son accord pour garder sa candidature au-delà du processus en cours
  • Purger régulièrement votre base

    • Étape 3 : Encadrer la prise de références

    La prise de références auprès d’anciens employeurs est licite, mais uniquement avec l’accord préalable du candidat. L’article L. 1221-8-1 du Code du travail prévoit que les informations demandées doivent avoir un lien direct et nécessaire avec le poste proposé.

    Attention : Contacter un ancien employeur sans l’accord du candidat est une violation du RGPD et peut donner lieu à une sanction de la CNIL.

    Étape 4 : Encadrer les outils de scoring et le CV vidéo

    L’utilisation d’outils d’aide au recrutement (scoring, algorithmes de tri de CV, tests de personnalité) est soumise à des règles strictes :

    • Information du candidat : le candidat doit être informé des méthodes et techniques utilisées (article L. 1221-8 du Code du travail)
    • Pas de décision entièrement automatisée : l’article 22 du RGPD interdit les décisions produisant des effets juridiques basées uniquement sur un traitement automatisé, sauf exceptions
    • Transparence : le candidat doit pouvoir comprendre les critères utilisés

    Le CV vidéo pose des risques particuliers car il expose le candidat à des discriminations fondées sur son apparence, son accent ou son expression. La CNIL recommande de ne pas en faire un critère obligatoire.

    Étape 5 : Informer les candidats

    Conformément aux articles 13 et 14 du RGPD, vous devez informer chaque candidat :

    • De l’identité du responsable de traitement
    • Des finalités du traitement et de la base légale
    • Des destinataires des données
    • De la durée de conservation
    • De ses droits (accès, rectification, suppression, opposition)
    • De la possibilité de saisir la CNIL

    Cette information peut figurer dans l’annonce de recrutement, sur le site internet ou dans un document remis au candidat.

    À retenir : Le recrutement RGPD-compatible se résume à trois principes : ne collecter que le nécessaire, informer les candidats, et supprimer les données dans les délais. Simple à dire, mais exigeant à mettre en œuvre au quotidien.

    Accédez au guide complet gratuitement

    Entrez votre email pour lire la suite et recevoir le PDF

    Recevez En Clair chaque semaine

    Les risques juridiques que vous ne voyez pas, les décisions que vous devez prendre — chaque semaine, pour les dirigeantes et dirigeants, DRH, DAF et experts-comptables.