Guides pratiques

RGPD et recrutement : les données que vous pouvez (et ne pouvez pas) collecter

Sofiane Coly Sofiane Coly
2 mars 2026 4 min de lecture
RGPD et recrutement : les données que vous pouvez (et ne pouvez pas) collecter

Le recrutement est l’un des domaines les plus sensibles en matière de protection des données personnelles. Entre les CV, les tests, les prises de références et les outils de scoring, les risques de non-conformité sont nombreux. Voici comment recruter en toute légalité.

Les données que vous pouvez collecter

Le principe fondamental du RGPD est la minimisation des données (article 5.1.c du RGPD) : vous ne devez collecter que les données strictement nécessaires à l’évaluation de la capacité du candidat à occuper le poste.

Sont considérées comme légitimes :

  • L’identité : nom, prénom, coordonnées
  • La formation : diplômes, certifications
  • L’expérience professionnelle : postes occupés, compétences
  • Les éléments contractuels : disponibilité, prétentions salariales, permis de conduire (si nécessaire pour le poste)

Les données strictement interdites

Certaines informations ne doivent jamais être collectées lors du recrutement, même si le candidat les fournit spontanément :

  • L’état de santé ou le handicap (sauf pour les postes nécessitant un examen d’aptitude spécifique)
  • La situation familiale : grossesse, nombre d’enfants, projets de parentalité
  • Les opinions politiques, religieuses ou syndicales
  • L’origine raciale ou ethnique
  • L’orientation sexuelle
  • Les antécédents judiciaires (sauf cas prévus par la loi, comme l’extrait de casier judiciaire pour certaines professions réglementées)

L’article L. 1132-1 du Code du travail interdit toute discrimination à l’embauche fondée sur ces critères. Le non-respect de cette interdiction est passible de 3 ans d’emprisonnement et 45 000 € d’amende (article 225-2 du Code pénal).

Étape 1 : Définir votre base légale

Selon la CNIL, la base légale la plus appropriée pour le traitement des données de recrutement est :

  • L’intérêt légitime de l’employeur (article 6.1.f du RGPD) pour la gestion des candidatures
  • Les mesures précontractuelles (article 6.1.b du RGPD) lorsque le candidat est retenu et que le traitement vise à préparer le contrat

Le consentement n’est généralement pas la base légale appropriée car il n’est pas « libre » dans une relation déséquilibrée comme le recrutement.

Étape 2 : Respecter la durée de conservation

La CNIL recommande une durée de conservation maximale de 2 ans à compter du dernier contact avec le candidat non retenu. Au-delà, les données doivent être supprimées ou anonymisées.

Si vous constituez un vivier de candidatures (« CVthèque »), vous devez :

  1. Informer le candidat de la durée de conservation
  2. Obtenir son accord pour garder sa candidature au-delà du processus en cours
  3. Purger régulièrement votre base

Étape 3 : Encadrer la prise de références

La prise de références auprès d’anciens employeurs est licite, mais uniquement avec l’accord préalable du candidat. L’article L. 1221-8-1 du Code du travail prévoit que les informations demandées doivent avoir un lien direct et nécessaire avec le poste proposé.

Attention : Contacter un ancien employeur sans l’accord du candidat est une violation du RGPD et peut donner lieu à une sanction de la CNIL.

Étape 4 : Encadrer les outils de scoring et le CV vidéo

L’utilisation d’outils d’aide au recrutement (scoring, algorithmes de tri de CV, tests de personnalité) est soumise à des règles strictes :

  • Information du candidat : le candidat doit être informé des méthodes et techniques utilisées (article L. 1221-8 du Code du travail)
  • Pas de décision entièrement automatisée : l’article 22 du RGPD interdit les décisions produisant des effets juridiques basées uniquement sur un traitement automatisé, sauf exceptions
  • Transparence : le candidat doit pouvoir comprendre les critères utilisés

Le CV vidéo pose des risques particuliers car il expose le candidat à des discriminations fondées sur son apparence, son accent ou son expression. La CNIL recommande de ne pas en faire un critère obligatoire.

Étape 5 : Informer les candidats

Conformément aux articles 13 et 14 du RGPD, vous devez informer chaque candidat :

  • De l’identité du responsable de traitement
  • Des finalités du traitement et de la base légale
  • Des destinataires des données
  • De la durée de conservation
  • De ses droits (accès, rectification, suppression, opposition)
  • De la possibilité de saisir la CNIL

Cette information peut figurer dans l’annonce de recrutement, sur le site internet ou dans un document remis au candidat.

À retenir : Le recrutement RGPD-compatible se résume à trois principes : ne collecter que le nécessaire, informer les candidats, et supprimer les données dans les délais. Simple à dire, mais exigeant à mettre en œuvre au quotidien.

📚 Pour aller plus loin

Besoin d'un accompagnement juridique ?

DAIRIA Avocats vous accompagne sur toutes vos problématiques en droit du travail, paie et sécurité sociale. Consultation initiale offerte.

Prendre rendez-vous → Tester notre IA juridique
← Tous les articles
Partager :

Articles similaires

Intéressement PME : Guide complet pour la mise en place dans votre entreprise

Intéressement PME : Guide complet pour la mise en place dans votre entreprise

Découvrez comment mettre en place l’intéressement dans votre PME. Guide pratique, obligations légale...

Obligations d’égalité professionnelle et index : guide complet pour les employeurs

Obligations d’égalité professionnelle et index : guide complet pour les employeurs

Découvrez les obligations légales en matière d’égalité professionnelle et d’index égalité femmes-hom...

Comment gérer efficacement un conflit entre deux salariés : guide complet pour employeurs

Comment gérer efficacement un conflit entre deux salariés : guide complet pour employeurs

Découvrez les meilleures stratégies pour résoudre les conflits entre salariés, vos obligations légal...